以下关于最低可行安全平台的指南与身份验证和授权安全支柱相符。
基本级准则
请先遵循以下身份验证和授权指南。
| 项 | 定义身份源 |
|---|---|
| 说明 | 确定用于预配受管理用户身份的可靠来源。模式包括在 Cloud Identity 中创建用户身份、从现有身份提供方同步身份,或使用员工身份联合。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.4 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 创建冗余的管理员账号 |
|---|---|
| 说明 | 没有单个超级用户或 Organization Administrator。创建一个或多个(最多 20 个)后备管理员账号。如果只有一个超级用户或 Organization Administrator,可能会出现账号锁定情况。这种情况的风险也更高,因为一个人可以做出改变平台的更改,而且可能不受监督。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.7 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 强制执行安全系数高的密码政策 |
|---|---|
| 说明 | 强制所有用户账号使用安全系数高且独一无二的密码。不妨考虑使用密码管理工具。凭据安全系数低或无凭据是恶意用户可以轻松利用的常见模式。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.9 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 使用基于工作职能的角色 |
|---|---|
| 说明 | 使用基于工作职能的 Identity and Access Management (IAM) 角色向用户分配权限。工作职能是预定义角色,可让管理员提供仅限于特定工作职能的一组权限,从而提高工作效率并减少请求权限的来回沟通。为了更好地满足组织的要求,您可以基于预定义角色创建自定义角色。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.20 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 禁止创建外部服务账号密钥 |
|---|---|
| 说明 | 使用 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.17 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
中级指南
实施基本准则后,请实施以下身份验证和授权准则。
| 项 | 限制群组中的外部成员 |
|---|---|
| 说明 | 设置组织级政策,以禁止向 Google 群组添加外部成员。 默认情况下,外部用户账号可以添加到 Cloud Identity 中的群组。我们建议您配置共享设置,以免群组所有者添加外部成员。 请注意,此限制不适用于超级用户账号或拥有 Google 群组管理员权限的其他委派管理员。由于身份提供方的联合服务运行时需要使用管理员权限,因此群组共享设置不适用于此群组同步。我们建议您查看身份提供方和同步机制中的控制,确保非网域成员不会添加到群组,或者确保您应用群组限制。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.3 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 设置每日会话时长 |
|---|---|
| 说明 | 将 Google Cloud 服务的会话时长设置为至少每天过期一次。长时间保持账号登录状态会带来安全风险。强制执行最长会话时长会在设定时间过后自动结束会话,从而强制用户进行新的安全登录。 这种做法可减少恶意用户使用窃取的密码的机会,并确保定期重新验证访问权限。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.11 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 修正非受管消费者账号 |
|---|---|
| 说明 | 不允许使用非受管的个人用户账号。整合所有非受管的个人用户账号,并考虑采取解决方案,以防止用户使用您的网域进一步创建非受管的个人用户账号。 非托管消费者账号不受入职、转岗和离职 (JML) 流程的约束,因此存在员工离职后仍可访问公司资源的风险。在网域限定共享等控制措施方面,这些账号也会被视为外部账号。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.5 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 强制执行专用管理员和多方审批 |
|---|---|
| 说明 | 确保超级用户账号与日常用户账号分开。超级用户账号必须是专用账号,仅在进行重大更改时使用。为了提高安全性,请为管理员操作启用多方审批。启用多方审批后,敏感操作需要两位管理员审批,这有助于防止攻击者入侵管理员账号并锁定其他管理员用户。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.8 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 为所有 Google 账号和 Cloud Identity 用户启用多重身份验证 |
|---|---|
| 说明 | 为所有 Google 账号和 Cloud Identity 用户(而不仅仅是超级用户)启用多重身份验证 (MFA),也称为两步验证 (2SV)。默认情况下,系统会为超级用户启用多重身份验证。MFA 可再添一道防线,因为仅靠密码往往无法提供足够强大的安全保障。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.10 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 撤消默认创建者角色 |
|---|---|
| 说明 | 移除默认授予新组织中所有成员的网域级 Project Creator 和 Billing Account Creator 角色。 新组织会向网域中的所有受管理的用户身份授予 Project Creator 和 Billing Account Creator 角色。虽然这些角色有助于您快速入门,但此配置不适用于生产环境。如果结算账号数量过多,会导致管理开销增加,并且在多个结算账号之间拆分服务时会产生技术后果。允许随意创建项目可能会导致项目不符合您的治理惯例。 请改为移除这些角色,并建立项目创建流程,以便请求创建新项目并将其与结算信息相关联。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.6 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 使用 Privileged Access Manager |
|---|---|
| 说明 | 使用 Privileged Access Manager 管理特权访问权限。对于所有其他访问权限,请使用访问权限群组,让群组成员资格自动过期,并为群组成员资格实现审批工作流。 使用最小权限模型可让您仅在需要时提供对所需资源的访问权限。使用预先创建的角色可简化使用流程,并减少自定义角色造成的混乱,让您无需担心角色生命周期管理。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.18 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 停用默认服务账号的自动 IAM 授权 |
|---|---|
| 说明 | 当 Google Cloud 服务自动创建具有过于宽松角色的默认服务账号时,使用 默认情况下,某些系统会向自动化账号授予过于宽泛的权限,这可能会带来安全风险。例如,如果您不强制执行此限制条件,并且创建了默认服务账号,则系统会自动向该服务账号授予项目的 Editor 角色 ( |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.14 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 轮替服务账号密钥 |
|---|---|
| 说明 | 如果您必须使用服务账号密钥,请至少每 90 天轮替一次密钥。 轮换间隔限制了攻击者可以访问系统的时间。如果没有轮换间隔,攻击者将永远拥有访问权限。如果可能,请考虑使用工作负载身份联合,而不是服务账号密钥。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.15 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 使用工作负载身份联合 |
|---|---|
| 说明 | 使用工作负载身份联合,让在其他云上运行的 CI/CD 系统和工作负载向 Google Cloud进行身份验证。借助工作负载身份联合,在 Google Cloud 外部运行的工作负载无需服务账号密钥即可进行身份验证。通过避免使用服务账号密钥和其他长期有效的凭据,工作负载身份联合可以帮助您降低凭据泄露的风险。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.16 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
高级别指南
在实施中级准则后,请实施以下身份验证和授权准则。
| 项 | 禁止超级用户账号自行恢复 |
|---|---|
| 说明 | 对于新客户,超级用户账号自行恢复功能在默认情况下处于关闭状态。不过,现有客户可能已开启此设置。关闭此设置有助于降低攻击者利用遭到入侵的手机、被盗用的电子邮件或社会工程学攻击获得对您的环境的超级用户特权的风险。 规划超级用户在无法访问其账号时联系组织内的其他超级用户所需的内部流程,并确保所有超级用户都熟悉支持团队协助的恢复流程。 如需关闭此功能,请前往 Google 管理控制台中的账号恢复设置。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.2 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 为敏感应用场景设置空闲会话超时时间 |
|---|---|
| 说明 | 对于敏感的应用场景,请将闲置会话超时时间设置为 15 分钟。攻击者可能会利用空闲会话窃取凭据。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.12 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 强制要求管理员使用硬件安全密钥 |
|---|---|
| 说明 | 尽可能为超级用户或组织管理员提供硬件安全密钥作为第二重验证方式。超级用户账号是复杂攻击的首要目标。硬件安全密钥可防范钓鱼式攻击,因此可提供高水平的保护。对于最重要的管理员,硬件安全密钥是防范账户接管(攻击)的最有效措施,并且可以根据您的标准 MFA 政策进行设置。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.13 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 启用单点登录后验证 |
|---|---|
| 说明 | 如果您使用的是外部身份提供方,请设置单点登录后验证。 根据 Google 的登录风险分析启用额外的控制层。应用此设置后,如果 Google 认为用户登录可疑,则用户可能会在登录时看到其他基于风险的登录验证。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.1 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 启用主账号访问边界政策 |
|---|---|
| 说明 | 启用主账号访问权限边界 (PAB) 政策,以限制主账号访问权限并帮助防范钓鱼式攻击和数据渗漏。为组织启用边界政策,以避免外部网络钓鱼攻击。正文访问权限边界通过减少身份遭盗用时攻击的范围来提高安全性,还有助于防止任何外部网络钓鱼攻击和其他数据渗出攻击。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.19 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|