Le chiavi dei service account sono chiavi private che ti consentono di autenticarti come account di servizio. La rotazione delle chiavi è il processo di sostituzione delle chiavi esistenti con nuove chiavi e di invalidazione delle chiavi sostituite. Ti consigliamo di ruotare regolarmente tutte le chiavi che gestisci, incluse le chiavi dei account di servizio.
La rotazione delle chiavi dei account di servizio può contribuire a ridurre il rischio rappresentato da chiavi rubate o trapelate. Se una chiave trapela, gli autori di attacchi potrebbero impiegare giorni o settimane per scoprirla. Se ruoti regolarmente le chiavi dei account di servizio, è più probabile che le chiavi trapelate non siano valide quando un malintenzionato le ottiene.
Disporre di una procedura consolidata per la rotazione delle chiavi dei account di servizio ti aiuta anche ad agire rapidamente se sospetti che una chiave del account di servizio sia stata compromessa.
Frequenza di rotazione delle chiavi
Ti consigliamo di ruotare le chiavi almeno ogni 90 giorni per ridurre il rischio rappresentato dalle chiavi trapelate.
Se ritieni che una chiave del account di servizio sia stata compromessa, ti consigliamo di ruotarla immediatamente.
Procedura di rotazione delle chiavi
Per ruotare le chiavi dei account di servizio:
- Identifica le chiavi dei account di servizio che devono essere ruotate.
- Crea nuove chiavi per gli stessi service account.
- Sostituisci le chiavi esistenti con le nuove chiavi in tutte le applicazioni.
- Disattiva le chiavi sostituite e monitora le applicazioni per verificare che funzionino come previsto.
- Elimina le chiavi dei account di servizio sostituite.
Puoi completare questi passaggi utilizzando un servizio di gestione dei secret centralizzato o un sistema di notifica personalizzato.
Servizio di gestione dei secret centralizzato
Molti servizi di gestione dei secret centralizzati, come HashiCorp Vault, forniscono la rotazione automatica dei secret. Puoi utilizzare questi servizi per archiviare e ruotare le chiavi dei account di servizio.
Ti sconsigliamo di utilizzare Google Cloud's Secret Manager per archiviare e ruotare le chiavi dei account di servizio. Questo perché, per accedere a i secret di Secret Manager, la tua applicazione ha bisogno di un'identità che Google Cloud possa riconoscere. Se la tua applicazione ha già un'identità che Google Cloud può riconoscere, può utilizzare quell' identità per autenticarsi Google Cloud anziché utilizzare una chiave dell' account di servizio.Lo stesso concetto si applica ad altri servizi di gestione dei secret basati sul cloud, come Azure KeyVault e AWS Secret Manager. Se un'applicazione ha già un'identità che questi fornitori di servizi cloud possono riconoscere, l'applicazione potrà utilizzare questa identità per autenticarsi Google Cloud anziché utilizzare una chiave del service account.
Sistema di notifica personalizzato
Un altro approccio alla rotazione della chiave dei account di servizio consiste nel creare un sistema che invii notifiche quando le chiavi devono essere ruotate. Ad esempio, puoi creare un sistema che invii avvisi quando rileva chiavi create più di 90 giorni fa.
Innanzitutto, devi identificare le chiavi che devono essere ruotate. Per identificare queste chiavi, ti consigliamo di utilizzare Cloud Asset Inventory per cercare tutte le chiavi dei account di servizio create prima di una determinata ora.
Ad esempio, il seguente comando elenca tutte le chiavi dei account di servizio create prima di 2023-03-10 00:00:00 UTC nell'organizzazione con ID 123456789012:
gcloud asset search-all-resources \
--scope="organizations/123456789012" \
--query="createTime < 2023-03-10" \
--asset-types="iam.googleapis.com/ServiceAccountKey" \
--order-by="createTime"
Per scoprire di più sulla ricerca delle risorse in Cloud Asset Inventory, consulta Ricerca dellerisorse. Dopo aver identificato le chiavi che devono essere ruotate, puoi inviare notifiche ai team appropriati.
Inoltre, per aiutare i team appropriati a ricevere avvisi critici nella categoria Sicurezza, ad esempio notifiche relative a chiavi compromesse, configura i contatti personalizzati utilizzando Contatti fondamentali.
Quando un utente riceve una notifica per ruotare una chiave, deve eseguire le seguenti operazioni:
- Crea una nuova chiave per lo stesso account di servizio.
- Sostituisci la chiave esistente con la nuova chiave in tutte le applicazioni.
- Disattiva la chiave sostituita e monitora le applicazioni per verificare che funzionino come previsto.
- Dopo aver verificato che le applicazioni funzionano come previsto, elimina la chiave sostituita.
Scadenza delle chiavi dei account di servizio
Ti sconsigliamo di utilizzare chiavi dei account di servizio in scadenza per rotazione della chiave. Questo perché le chiavi in scadenza possono causare interruzioni se non vengono ruotate correttamente. Per ulteriori informazioni sui casi d'uso delle chiavi dei account di servizio in scadenza, consulta Tempi di scadenza per le chiavi gestite dall'utente.
Passaggi successivi
- Utilizza Cloud Asset Inventory per cercare le risorse, incluse le chiavi dei account di servizio, in base all'ora di creazione.
- Crea, disattiva ed elimina le chiavi dei service account.