אתם יכולים להשתמש ב-Privileged Access Manager (PAM) כדי לשלוט בהעלאת הרשאות זמנית של חשבונות משתמשים נבחרים, וכדי לצפות ביומני ביקורת לאחר מכן ולגלות למי הייתה גישה לאילו משאבים ומתי.
כדי לאפשר שינוי זמני של רמת הגישה, יוצרים הרשאה ב-Privileged Access Manager ומוסיפים לה את המאפיינים הבאים:
קבוצה של ישויות מורשות שמורשות לבקש מענק כנגד הזכאות.
האם נדרש נימוק למתן ההרשאה.
קבוצה של תפקידים להקצאה זמנית. אפשר להגדיר תנאי IAM לתפקידים.
משך הזמן המקסימלי של בקשת הגישה.
אופציונלי: האם הבקשות צריכות אישור ממספר ישויות מורשות, והאם הישויות המורשות האלה צריכות להסביר למה הן נותנות אישור.
אופציונלי: בעלי עניין נוספים שצריך לעדכן אותם לגבי אירועים חשובים, כמו מענקים ואישורים בהמתנה.
ישות מורשית שנוספה כמגיש בקשה להרשאה יכולה לבקש מענק כנגד הרשאה זו. אם הפעולה תצליח, התפקידים שמופיעים בהרשאה יוקצו להם עד לסיום משך ההרשאה, ולאחר מכן התפקידים יבוטלו על ידי Privileged Access Manager.
תרחישים לדוגמה
כדי להשתמש ב-Privileged Access Manager בצורה יעילה, כדאי להתחיל בזיהוי של תרחישי שימוש ספציפיים שבהם הוא יכול לתת מענה לצרכים של הארגון. אפשר להתאים את ההרשאות ב-Privileged Access Manager על סמך תרחישי השימוש האלה, הדרישות והאמצעים הנחוצים. התהליך הזה כולל מיפוי של המשתמשים, התפקידים, המשאבים והמשכי הזמן הרלוונטיים, וגם של ההצדקות והאישורים הנדרשים.
אפשר להשתמש ב-Privileged Access Manager כשיטה מומלצת כללית למתן הרשאות זמניות ולא קבועות, אבל הנה כמה תרחישים שבהם נהוג להשתמש בו:
מתן גישה לשעת חירום: מאפשר לכוחות ההצלה נבחרים לבצע משימות קריטיות בלי לחכות לאישור. אתם יכולים לדרוש הצדקות כדי לקבל הקשר נוסף לגבי הסיבה לצורך בגישת חירום.
שליטה בגישה למשאבים רגישים: שליטה הדוקה בגישה למשאבים רגישים, עם דרישה לאישורים ולהצדקות עסקיות. אפשר גם להשתמש ב-Privileged Access Manager כדי לבדוק איך נעשה שימוש בגישה הזו – למשל, מתי התפקידים שהוקצו היו פעילים עבור משתמש, אילו משאבים היו נגישים במהלך הזמן הזה, מה היה הנימוק לגישה ומי אישר אותה.
לדוגמה, אפשר להשתמש ב-Privileged Access Manager כדי:
לתת למפתחים גישה זמנית לסביבות ייצור לצורך פתרון בעיות או פריסות.
לתת למהנדסי תמיכה גישה לנתונים רגישים של לקוחות למשימות ספציפיות.
להעניק לאדמינים של מסד הנתונים הרשאות מורחבות לצורך תחזוקה או שינויים בהגדרות.
הטמעה של הרשאות מינימליות ברמת גרנולרית: הקצאת תפקידי אדמין או גישה רחבה לכל המשתמשים עלולה להגדיל את שטח הפנים להתקפה. כדי למנוע את זה, אדמינים יכולים להקצות תפקידים קבועים עם הרשאות מינימליות ולהשתמש ב-Privileged Access Manager כדי לספק גישה זמנית ומוגבלת בזמן עם הרשאות מורחבות למשימות ספציפיות כשצריך. אדמינים יכולים ליצור הרשאות עם תנאים מבוססי-תגים ולאכוף על מבקשי ההרשאות ליצור בקשות למתן הרשאות עם היקף מותאם אישית, ולבטל את ההרשאות אחרי שהמשימה הושלמה. כך מצטמצמים באופן משמעותי הסיכויים לשימוש לרעה, ומתחזק העיקרון של גישה 'בזמן אמת'.
הפיכת אישורי גישה עם הרשאות מיוחדות לאוטומטיים: כדי לשפר את היעילות, אתם יכולים להגדיר חשבונות שירות כגורמים מאשרים בצינורות ה-DevOps. בחשבונות האלה אפשר לבצע אוטומציה של אישורים פרוגרמטיים באמצעות אימות כרטיסים ישירות ממערכות ITSM, וכך לבטל בדיקות ידניות איטיות.
עזרה באבטחת חשבונות שירות: במקום להעניק תפקידים לחשבונות שירות באופן קבוע, אפשר לאפשר לחשבונות שירות להעלות את רמת ההרשאות שלהם ולקבל תפקידים רק כשצריך אותם למשימות אוטומטיות.
צמצום האיומים מבפנים ושימוש לרעה בשוגג: באמצעות קבלת אישור ממספר משתמשים, אפשר להוסיף שתי רמות של אישורים בתהליך קבלת ההחלטות. כך אפשר להפחית את הסיכון שקשור לאדמין יחיד או לחשבון מאשר שנפרץ, שיאשרו בקשת גישה זדונית.
ניהול גישה לקבלנים ולעובדים חיצוניים: מתן גישה זמנית ומוגבלת בזמן למשאבים לקבלנים או לחברים בכוח העבודה המורחב, עם דרישה לאישורים ולהצדקות.
יכולות ומגבלות
בקטעים הבאים מתוארות היכולות והמגבלות השונות של Privileged Access Manager.
משאבים נתמכים
בעזרת Privileged Access Manager אפשר ליצור הרשאות ולבקש מענקים לפרויקטים, לתיקיות ולארגונים.
אם רוצים להגביל את הגישה לקבוצת משנה של משאבים בפרויקט, בתיקייה או בארגון, אפשר להוסיף תנאים ב-IAM להרשאה. Privileged Access Manager תומך בכל מאפייני התנאים שנתמכים בקישורי תפקידים של מדיניות הרשאות.
תפקידים נתמכים
Privileged Access Manager תומך בתפקידים מוגדרים מראש, בתפקידים בהתאמה אישית ובתפקידים הבסיסיים Admin, Writer ו-Reader. Privileged Access Manager לא תומך בתפקידים בסיסיים מדור קודם (בעלים, עורך וצופה).
זהויות נתמכות
הכלי Privileged Access Manager תומך בכל סוגי הזהויות, כולל Cloud Identity, איחוד זהויות של כוח עבודה ו-איחוד זהויות של עומסי עבודה.
רישום ביומן ביקורת
אירועים של Privileged Access Manager, כמו יצירת הרשאות, בקשה או בדיקה של מענקים, מתועדים ביומני הביקורת של Cloud. רשימה מלאה של האירועים שיומנים נוצרים לגביהם ב-Privileged Access Manager זמינה במאמר יומן הביקורת של Privileged Access Manager. מידע על צפייה ביומנים האלה זמין במאמר ביקורת על אירועי הרשאות ואירועי הענקת הרשאות ב-Privileged Access Manager.
אישורים בכמה רמות ומכמה משתמשים
אדמינים של Privileged Access Manager יכולים להגדיר אישורים רב-שלביים ואישורים ממספר משתמשים. האפשרות הזו שימושית בתרחישי שימוש שכוללים את הפעולות הבאות:
- פעולות בסיכון גבוה, כמו שינוי של תשתית חיונית או גישה למידע אישי רגיש
- אכיפה של הפרדת סמכויות
- אוטומציה של תהליכי אישור מרובי-רמות בתהליכי עבודה דינמיים באמצעות חשבונות שירות כמאשרים חכמים
התכונה הזו מאפשרת לאדמינים של Privileged Access Manager להגדיר יותר מרמת אישור אחת לכל הרשאה, כך שניתן להגדיר עד שתי רמות של אישורים עוקבים לכל הרשאה. אדמינים יכולים לחייב עד חמש אישורים לכל רמה. מידע נוסף זמין במאמר בנושא יצירת זכויות גישה.
התאמה אישית של היקף הגישה
הגורמים המבקשים יכולים להתאים אישית את היקף בקשות ההרשאה שלהם כך שיכללו רק את התפקידים והמשאבים הספציפיים שהם צריכים במסגרת ההרשאה שלהם. מידע נוסף זמין במאמר בנושא שליחת בקשה להרשאות גישה זמניות.
אישורים של חשבונות שירות
אדמינים של Privileged Access Manager יכולים להגדיר חשבונות שירות כבעלי הרשאה לאישור. כך האדמינים יכולים להוסיף חשבונות שירות וזהויות במאגרי זהויות של עומסי עבודה כמאשרים כשהם יוצרים או משנים הרשאות. מידע נוסף זמין במאמר הגדרת ההגדרות של Privileged Access Manager.
תמיכה בירושה
הזכויות וההרשאות שמוגדרות ברמת הארגון או התיקייה מוצגות בתיקיות ובפרויקטים שנגזרים מהם במסוף Google Cloud . מגישי הבקשות יכולים לבקש גישה למשאבי הצאצא ישירות מתוך משאבי הצאצא, על סמך ההרשאות האלה. מידע נוסף זמין במאמר בנושא שליחת בקשה לגישה זמנית עם הרשאות גבוהות באמצעות Privileged Access Manager.
התאמה אישית של ההעדפות לגבי התראות
אדמינים עם הרשאות להגדרות של Privileged Access Manager יכולים לשנות את העדפות ההתראות לגבי אירועים שונים ב-Privileged Access Manager ברמת המשאב. ההגדרות האלה מאפשרות לאדמינים להשבית באופן סלקטיבי התראות לגבי אירועים ספציפיים ופרסונות ספציפיות, או להשבית את כל ההתראות. מידע נוסף זמין במאמר הגדרת ההגדרות של Privileged Access Manager.
ביטול הרשאה
מגישי הבקשה יכולים לבטל בקשות למתן הרשאות שממתינות לאישור, או לסיים את ההרשאות הפעילות שלהם כשהמשימה שדורשת הרשאות מיוחדות מסתיימת או כשהגישה כבר לא נדרשת. ארגונים יכולים להמליץ על השיטה הזו כשיטה מומלצת להגבלת משך הגישה עם הרשאות מיוחדות רק לזמן שבו היא נדרשת באופן פעיל. מידע נוסף זמין במאמר בנושא ביטול הרשאות.
שימור הרשאות
ההרשאות נמחקות אוטומטית מ-Privileged Access Manager 30 ימים אחרי שהן נדחו, בוטלו, נסגרו או פג תוקפן. היומנים של ההרשאות נשמרים ביומני הביקורת של Cloud למשך תקופת השמירה של היומנים בדלי _Required.
למידע על אופן הצגת היומנים האלה, אפשר לעיין במאמר ביקורת על אירועי הרשאה והענקת הרשאה ב-Privileged Access Manager.
שינויים במדיניות IAM וב-Privileged Access Manager
מערכת Privileged Access Manager מנהלת גישה זמנית על ידי הוספה והסרה של קישורי תפקידים ממדיניות ה-IAM של המשאבים. אם שינויים בקישורי התפקידים האלה מתבצעים על ידי גורם אחר מלבד Privileged Access Manager, יכול להיות ש-Privileged Access Manager לא יפעל כצפוי.
כדי למנוע את הבעיה הזו, מומלץ לבצע את הפעולות הבאות:
- אל תשנו באופן ידני את הקישורים לתפקידים שמנוהלים על ידי Privileged Access Manager.
- אם אתם משתמשים ב-Terraform כדי לנהל את מדיניות ה-IAM, חשוב לוודא שאתם משתמשים במשאבים לא סמכותיים במקום במשאבים סמכותיים. כך אפשר לוודא ש-Terraform לא יבטל את הקישורים של תפקידים ב-Privileged Access Manager, גם אם הם לא מופיעים בהגדרות של מדיניות IAM הצהרתית.
התראות
הכלי Privileged Access Manager יכול לשלוח לכם התראות על אירועים שונים שמתרחשים בו, כמו שמתואר בקטעים הבאים.
התראות באימייל
מערכת Privileged Access Manager שולחת התראות באימייל לבעלי העניין הרלוונטיים לגבי שינויים בהרשאות ובמענקים. קבוצות הנמענים הן:
מי יכולים לבקש הרשאה:
- כתובות אימייל של משתמשים וקבוצות ב-Cloud Identity שצוינו כמבקשים בהרשאה.
- כתובות אימייל שהוגדרו ידנית בהרשאה: כשמשתמשים במסוףGoogle Cloud , כתובות האימייל האלה מופיעות בשדה כתובות אימייל של מקבלי בקשות בקטע הוספת מבקשים. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
requesterEmailRecipients.
הענקת הרשאות לאישור זכאות:
- כתובות האימייל של משתמשים וקבוצות ב-Cloud Identity שצוינו כבעלי הרשאת אישור ברמת האישור.
- כתובות אימייל שהוגדרו ידנית בהרשאה: כשמשתמשים במסוףGoogle Cloud , כתובות האימייל האלה מופיעות בשדה נמעני אישור בקטע הוספת מאשרים. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
approverEmailRecipientsשל שלבי תהליך העבודה לאישור.
אדמין של זכויות הגישה:
- כתובות אימייל שהוגדרו ידנית בהרשאה: כשמשתמשים במסוףGoogle Cloud , כתובות האימייל האלה מופיעות בשדה נמעני אימייל של אדמין בקטע פרטי ההרשאה. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
adminEmailRecipients.
- כתובות אימייל שהוגדרו ידנית בהרשאה: כשמשתמשים במסוףGoogle Cloud , כתובות האימייל האלה מופיעות בשדה נמעני אימייל של אדמין בקטע פרטי ההרשאה. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
מגיש הבקשה למתן הרשאה:
- כתובת האימייל של מגיש הבקשה למענק, אם הוא משתמש ב-Cloud Identity.
- כתובות אימייל נוספות שנוספו על ידי המבקש בזמן שליחת הבקשה למתן ההרשאה: כשמשתמשים ב Google Cloud מסוף, כתובות האימייל האלה מופיעות בשדה כתובות אימייל נוספות. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
additionalEmailRecipients.
Privileged Access Manager שולח אימיילים לכתובות האימייל האלה במקרים הבאים:
| נמענים | אירוע |
|---|---|
| מי יכול לבקש הרשאה | כשההרשאה מוקצית וזמינה לשימוש על ידי מגיש הבקשה |
| מתן הרשאות למאשרים של זכאות | כשמבקשים גישה ונדרש אישור |
| מגיש הבקשה למענק |
|
| אדמין של ההרשאה |
|
התראות Pub/Sub
Privileged Access Manager משולב עם מאגר משאבי הענן.
אתם יכולים להשתמש בתכונה פידים של מאגר משאבי ענן כדי לקבל התראות על כל השינויים בהרשאות דרך Pub/Sub. סוג הנכס שמשמש למענקים הוא privilegedaccessmanager.googleapis.com/Grant.