Eine Möglichkeit, vertrauliche Ressourcen zu schützen, besteht darin, den Zugriff darauf zu beschränken. Wenn Sie den Zugriff auf vertrauliche Ressourcen beschränken, kann das jedoch zu Problemen für Nutzer führen, die gelegentlich auf diese Ressourcen zugreifen müssen. Ein Nutzer benötigt beispielsweise möglicherweise einen Break-Glass- oder Notfallzugriff auf vertrauliche Ressourcen, um einen Vorfall zu beheben.
In diesen Fällen empfehlen wir, dem Nutzer die Berechtigung zu erteilen, vorübergehend auf die Ressource zuzugreifen. Außerdem empfehlen wir, die Begründung des Nutzers für den Zugriff auf die Ressource aufzuzeichnen, um die Prüfung zu verbessern.
In der Google Cloud gibt es mehrere Möglichkeiten, diese Art von vorübergehendem erweitertem Zugriff zu verwalten. Google Cloud
Privileged Access Manager
Mit Privileged Access Manager (PAM) können Sie die temporäre Just-in-Time-Ausweitung von Berechtigungen für ausgewählte Hauptkonten verwalten und anschließend Audit-Logs aufrufen, um herauszufinden, wer wann auf was zugegriffen hat.
In den folgenden Situationen kann es sinnvoll sein, eine vorübergehende Ausweitung der Berechtigungen über Privileged Access Manager zu gewähren:
Notfallzugriff gewähren: Ermöglichen Sie ausgewählten Rettungskräften, kritische Aufgaben auszuführen, ohne auf eine Genehmigung warten zu müssen. Sie können Begründungen für zusätzlichen Kontext dazu verlangen, warum der Notfallzugriff erforderlich ist.
Zugriff auf vertrauliche Ressourcen steuern: Steuern Sie den Zugriff auf vertrauliche Ressourcen genau und fordern Sie Genehmigungen und geschäftliche Begründungen an. Privileged Access Manager kann auch verwendet werden, um zu prüfen, wie dieser Zugriff verwendet wurde. Zum Beispiel, wann gewährte Rollen für einen Nutzer aktiv waren, auf welche Ressourcen während dieser Zeit zugegriffen werden konnte, die Begründung für den Zugriff und wer ihn genehmigt hat.
Mit Privileged Access Manager können Sie beispielsweise Folgendes tun:
Entwicklern vorübergehenden Zugriff auf Produktionsumgebungen für die Fehlerbehebung oder Bereitstellungen gewähren.
Support-Entwicklern Zugriff auf vertrauliche Kundendaten für bestimmte Aufgaben gewähren
Datenbankadministratoren erhöhte Berechtigungen für Wartungs- oder Konfigurationsänderungen gewähren
Granulare geringste Berechtigung implementieren: Das Zuweisen von Administratorrollen oder umfassendem Zugriff an alle Nutzer kann die Angriffsfläche vergrößern. Um dies zu verhindern, können Administratoren dauerhafte Rollen mit geringsten Berechtigungen zuweisen und Privileged Access Manager verwenden, um bei Bedarf vorübergehenden, zeitgebundenen erweiterten Zugriff für bestimmte Aufgaben zu gewähren. Administratoren können Berechtigungen mit tagbasierten Bedingungen erstellen und Anfragende zwingen, Berechtigungsanfragen mit benutzerdefiniertem Umfang zu erstellen und Berechtigungen nach Abschluss der Aufgabe zu widerrufen. Dadurch werden die Möglichkeiten für Missbrauch erheblich reduziert und das Prinzip des Just-in-Time-Zugriffs gestärkt.
Genehmigungen für privilegierten Zugriff automatisieren: Um die Effizienz zu steigern, können Sie Dienstkonten oder Agentenidentitäten als Genehmiger in Ihren DevOps-Pipelines konfigurieren. Diese Konten können programmatische Genehmigungen automatisieren, indem sie Tickets direkt aus ITSM-Systemen validieren. Dadurch werden langsame manuelle Prüfungen vermieden.
Dienstkonten und Agentenidentitäten schützen: Anstatt Dienstkonten oder Agentenidentitäten dauerhaft Rollen zuzuweisen, können Sie ihnen erlauben, ihre Berechtigungen selbst zu erhöhen und Rollen nur dann zu übernehmen, wenn sie für automatisierte Aufgaben erforderlich sind.
Insider-Bedrohungen und versehentlichen Missbrauch minimieren: Mit Genehmigungen durch mehrere Parteien, können Sie zwei Genehmigungsebenen in die Entscheidungsfindung einbeziehen. Dadurch wird das Risiko verringert, dass ein einzelner Administrator oder ein kompromittiertes Genehmigerkonto eine böswillige Zugriffsanfrage genehmigt.
Zugriff für Auftragnehmer und Fremdpersonal verwalten: Gewähren Sie Auftragnehmern oder Mitgliedern des Fremdpersonals vorübergehenden, zeitlich begrenzten Zugriff auf Ressourcen, wobei Genehmigungen und Begründungen erforderlich sind.
Weitere Informationen zum Einrichten von Privileged Access Manager finden Sie unter Privileged Access Manager – Übersicht.
Weitere Informationen zum Anfordern einer vorübergehenden Ausweitung finden Sie unter Vorübergehenden erweiterten Zugriff anfordern.
Google-Gruppen
Eine Möglichkeit, den vorübergehenden erweiterten Zugriff zu verwalten, besteht darin, einer Google-Gruppe Zugriff auf vertrauliche Ressourcen zu gewähren und dann Nutzer zu dieser Gruppe hinzuzufügen und daraus zu entfernen, um ihren Zugriff zu steuern.
Wenn Sie eine Google-Gruppe für den vorübergehenden erweiterten Zugriff einrichten möchten, erstellen Sie zuerst eine Gruppe und weisen Sie ihr dann die Rollen zu, die Sie den Nutzern vorübergehend zuweisen möchten. Wenn Sie Ablehnungsrichtlinien verwenden, sollten Sie die Gruppe auch von allen relevanten Ablehnungsregeln ausnehmen, um unerwartete Ablehnungen zu vermeiden.
Nachdem Sie die Gruppe eingerichtet haben, können Sie Nutzer hinzufügen und entfernen, um ihren Zugriff zu ändern. Wenn Sie die Google Groups API verwenden, können Sie Nutzer mithilfe der Ablaufzeit von Mitgliedschaften vorübergehend einer Gruppe hinzufügen.
Wenn Sie die Begründungen des Nutzers für den Zugriff auf vertrauliche Ressourcen aufzeichnen möchten, müssen Sie Ihre eigenen operativen Prozesse und Tools festlegen.
Wenn Sie beispielsweise den Notfallzugriff auf Compute Engine-Ressourcen verwalten möchten, können Sie die Gruppe emergency-compute-access@example.com erstellen und ihr die Rolle „Compute Admin“ (roles/compute.admin) zuweisen. Wenn ein Nutzer Notfall-Administratorzugriff auf Compute-Ressourcen benötigt, können Sie ihn der Gruppe emergency-compute-access@example.com hinzufügen. Nachdem der Notfall behoben wurde, können Sie ihn aus der Gruppe entfernen.
IAM-Bedingungen
Mit IAM-Bedingungen können Sie Nutzern ablaufenden Zugriff auf Google Cloud Ressourcen gewähren. Weitere Informationen finden Sie unter Temporären Zugriff konfigurieren.
Wenn Sie die Begründungen des Nutzers für den Zugriff auf vertrauliche Ressourcen aufzeichnen möchten, müssen Sie Ihre eigenen operativen Prozesse und Tools festlegen.
Abgelaufene Rollenbindungen werden nicht automatisch aus den Zulassungsrichtlinien entfernt. Damit die Größe Ihrer Zulassungsrichtlinien das Maximum nicht überschreitet, empfehlen wir, abgelaufene Rollenbindungen regelmäßig zu entfernen.
Ablehnungsrichtlinien unterstützen keine zeitbasierten Bedingungen. Daher können Sie in Ablehnungsrichtlinien keine Bedingungen verwenden, um einen Nutzer vorübergehend von einer Ablehnungsregel auszunehmen.
Privilegierter Just-in-Time-Zugriff
Just-In-Time-Zugriff ist eine Open-Source-Anwendung, die IAM Conditions verwendet, um Nutzern privilegierten Just-in-Time-Zugriff auf Google CloudRessourcen zu gewähren. Diese Anwendung kann in App Engine oder Cloud Run ausgeführt werden.
Diese Anwendung bietet folgende Vorteile gegenüber dem manuellen Hinzufügen bedingter Rollenbindungen:
- Nutzer können nach Rollen suchen, die sie mit Just-In-Time-Zugriff aktivieren können.
- Nutzer müssen eine Begründung angeben, bevor sie Zugriff erhalten.
- Die Anwendung ersetzt die vorhandene bedingte Bindung, anstatt neue Bindungen zu erstellen. So bleibt die Größe Ihrer IAM-Zulassungsrichtlinie überschaubar.
Weitere Informationen zum Just-In-Time-Zugriff finden Sie unter Privilegierten Just-in-Time Zugriff auf Projekte verwalten.
Identitätsübertragung für ein Dienstkonto
Wenn sich ein authentifiziertes Hauptkonto, z. B. ein Nutzer oder ein anderes Dienstkonto, als ein Dienstkonto authentifiziert, um die Berechtigungen des Dienstkontos zu erhalten, wird dies als Identitätsübernahme des Dienstkontos bezeichnet. Durch die Identitätsübernahme eines Dienstkontos kann ein authentifiziertes Hauptkonto auf alles zugreifen, worauf das Dienstkonto Zugriff hat. Nur authentifizierte Hauptkonten mit den entsprechenden Berechtigungen können die Identität von Dienstkonten übernehmen.
Wenn Sie ein Dienstkonto für den vorübergehend erhöhten Zugriff einrichten möchten, erstellen Sie das Dienstkonto und weisen Sie ihm die Rollen zu, die Sie vorübergehend einem Nutzer zuweisen möchten. Wenn Sie Ablehnungsrichtlinien verwenden, sollten Sie eventuell das Dienstkonto von allen relevanten Ablehnungsregeln ausnehmen, um unerwartete Ablehnungen zu vermeiden.
Nachdem Sie das Dienstkonto eingerichtet haben, können Sie Nutzern vorübergehenden erweiterten Zugriff gewähren, indem Sie ihnen erlauben, die Identität des Dienstkontos zu übernehmen. Es gibt mehrere Möglichkeiten, Nutzern die Identitätsübernahme von Dienstkonten zu ermöglichen:
Gewähren Sie Nutzern eine Rolle, mit der sie kurzlebige Anmeldedaten für das Dienstkonto erstellen können. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.
Weisen Sie die Rolle „Ersteller des OpenID Connect-Identitätstokens für das Dienstkonto“ (
roles/iam.serviceAccountOpenIdTokenCreator) zu, damit der Nutzer kurzlebige OIDC-ID-Tokens (OpenID Connect) für das Dienstkonto erstellen kann.Weisen Sie die Rolle „Ersteller von Dienstkonto-Tokens" (
roles/iam.serviceAccountTokenCreator) zu, damit der Nutzer die folgenden Arten von Anmeldedaten für Dienstkonten erstellen kann:- OAuth 2.0-Zugriffstokens erstellen, die Sie zur Authentifizierung bei Google APIs verwenden können.
- OIDC-ID-Tokens.
- Signierte JSON-Web-Tokens (JWTs) und binäre Blobs.
Wenn Sie einem Nutzer eine dieser Rollen zuweisen, kann er jederzeit die Identität des Dienstkontos übernehmen, um seine eigenen Zugriffsrechte zu erhöhen. Es ist jedoch weniger wahrscheinlich, dass er versehentlich auf vertrauliche Ressourcen zugreift oder diese ändert.
Informationen zum Übernehmen der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos verwenden.
Erstellen Sie einen Token-Broker-Dienst, der Nutzern kurzlebige Anmeldedaten für das Dienstkonto bereitstellt, nachdem sie sich authentifiziert und eine Begründung angegeben haben. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.
Mit dieser Methode können Sie entscheiden, wann Nutzer die Identität des Dienstkontos übernehmen dürfen.
Informationen zum Erstellen kurzlebiger Anmeldedaten finden Sie unter Kurzlebige Anmeldedaten für ein Dienstkonto erstellen.
Weitere Informationen zur Übernahme der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos.
Nächste Schritte
- Privileged Access Manager für vorübergehenden erweiterten Zugriff einrichten.
- Mit IAM-Bedingungen einem Hauptkonto vorübergehenden Zugriff gewähren.
- Die Just-In-Time-Zugriffsanwendung bereitstellen.
- Kurzlebige Anmeldedaten manuell erstellen, um die Identität eines Dienstkontos zu übernehmen.