Gestione di identità e accessi

Last reviewed 2023-08-08 UTC

Questo documento nel Framework dell'architettura Google Cloud fornisce best practice per la gestione di identità e accessi.

La pratica della gestione di identità e accessi (generalmente IAM) assicura che le persone giuste possano accedere alle risorse giuste. IAM affronta i seguenti aspetti dell'autenticazione e dell'autorizzazione:

  • Gestione dell'account, compreso il provisioning
  • Governance delle identità
  • Autenticazione
  • Controllo dell'accesso (autorizzazione)
  • Federazione delle identità

La gestione di IAM può essere difficile quando si utilizzano diversi ambienti più provider di identità. Tuttavia, è fondamentale configurare un sistema in grado di soddisfare i requisiti aziendali riducendo al contempo i rischi.

I suggerimenti in questo documento ti aiutano a rivedere i criteri IAM attuali e le procedure e determinare quali di queste potrebbero dover modificare per carichi di lavoro standard in Google Cloud. Ad esempio, devi esaminare quanto segue:

  • Se puoi utilizzare i gruppi esistenti per gestire l'accesso o se devi crearne di nuovi.
  • I tuoi requisiti di autenticazione (ad esempio autenticazione a più fattori (MFA) mediante un token).
  • L'impatto degli account di servizio sui criteri attuali.
  • Se utilizzi Google Cloud per il ripristino di emergenza, in modo appropriato la separazione dei compiti.

All'interno di Google Cloud, utilizzi Cloud Identity per autenticare gli utenti e le risorse e l'infrastruttura Gestione di identità e accessi (IAM) prodotto per determinare l'accesso alle risorse. Gli amministratori possono limitare l'accesso a livello di organizzazione, cartella, progetto e risorsa. I criteri IAM di Google determinano chi può cosa su quali risorse. I criteri IAM configurati correttamente contribuiscono a proteggere dell'ambiente impedendo l'accesso non autorizzato alle risorse.

Per saperne di più, consulta Panoramica della gestione di identità e accessi.

Utilizzare un singolo provider di identità.

Molti dei nostri clienti dispongono di account utente gestiti e di cui è stato eseguito il provisioning o provider di identità esterni a Google Cloud. Google Cloud supporta federazione con la maggior parte dei provider di identità e con directory on-premise come Active Directory.

La maggior parte dei provider di identità consente di abilitare il Single Sign-On (SSO) per gli utenti e gruppi. Per le applicazioni di cui esegui il deployment su Google Cloud e che utilizzano da un provider di identità esterno, puoi estendere il tuo in Google Cloud. Per ulteriori informazioni, vedi Architetture di riferimento e Pattern per l'autenticazione degli utenti aziendali in un ambiente ibrido.

Se non hai ancora un provider di identità, puoi usare Cloud Identity Premium o Google Workspace per gestire le identità dei dipendenti.

Proteggere l'account super amministratore

L'account super amministratore (gestito da Google Workspace o Cloud Identity) ti consente di creare organizzazione Google Cloud. Questo account amministratore dispone quindi di privilegi elevati. Best practice in tal senso includono quanto segue:

  • Creare un nuovo account per questo scopo. non utilizzano un account utente esistente.
  • Creare e proteggere account di backup.
  • Attiva MFA.

Per ulteriori informazioni, vedi Best practice per gli account super amministratore.

Pianifica l'utilizzo degli account di servizio

Un account di servizio. è un Account Google che le applicazioni possono utilizzare chiamare l'API Google di un servizio.

A differenza degli account utente, gli account di servizio vengono creati e gestiti all'interno in Google Cloud. Inoltre, gli account di servizio vengono autenticati in modo diverso rispetto agli account utente:

  • Per consentire a un'applicazione in esecuzione su Google Cloud di eseguire l'autenticazione tramite puoi collegare un account di servizio alla risorsa di computing su cui viene eseguita l'applicazione.
  • Per consentire a un'applicazione in esecuzione su GKE di eseguire l'autenticazione mediante puoi utilizzare Workload Identity.
  • Per consentire l'autenticazione delle applicazioni in esecuzione al di fuori di Google Cloud tramite una account di servizio, puoi utilizzare la federazione delle identità per i carichi di lavoro

Quando utilizzi gli account di servizio, devi prendere in considerazione un'adeguata separazione delle durante il processo di progettazione. Prendi nota delle chiamate API che devi effettuare e determinare gli account di servizio e i ruoli associati richiesti dalle chiamate API. Ad esempio, se stai configurando un data warehouse BigQuery, probabilmente avranno bisogno di identità per almeno i seguenti processi e servizi:

  • Cloud Storage o Pub/Sub, a seconda che tu stia fornendo un file batch o creando un servizio di flussi di dati.
  • Dataflow e Sensitive Data Protection per anonimizzare i dati sensibili.

Per ulteriori informazioni, vedi Best practice per l'utilizzo degli account di servizio.

Aggiornare i processi di identità per il cloud

La governance delle identità consente di tenere traccia degli accessi, dei rischi e delle violazioni dei criteri in modo che puoi supportare i tuoi requisiti normativi. Questa governance richiede disporre di processi e criteri in modo da poter concedere e controllare l'accesso controllare ruoli e autorizzazioni agli utenti. Le tue procedure e le tue norme devono rispecchiare i requisiti dei tuoi ambienti, ad esempio test, sviluppo e produzione.

Prima di eseguire il deployment dei carichi di lavoro su Google Cloud, esamina la tua identità attuale processi e, se opportuno, aggiornarli. Assicurati di avere piano per i tipi di account di cui la tua organizzazione ha bisogno e per i quali disponi di comprendere il loro ruolo e i requisiti di accesso.

Per aiutarti a controllare le attività IAM di Google, Google Cloud crea log di controllo, che includono:

  • Attività dell'amministratore. Questo logging non può essere disabilitato.
  • Attività di accesso ai dati. Devi attiva questo logging.

Se necessario per motivi di conformità o se vuoi configurare l'analisi dei log (ad esempio, con il tuo sistema SIEM), puoi esportare i log. Poiché i log possono aumentare i requisiti di archiviazione, potrebbero influire costi aggiuntivi. Assicurati di registrare solo le azioni di cui hai bisogno e imposta programmazioni di conservazione appropriate.

Configurare SSO e MFA.

Il tuo provider di identità gestisce l'autenticazione degli account utente. Confederato le identità possono eseguire l'autenticazione in Google Cloud tramite SSO. Per privilegi come i super amministratori, devi configurare MFA. Token di sicurezza Titan sono token fisici che puoi utilizzare per l'autenticazione a due fattori (2FA) per prevenire gli attacchi phishing.

Cloud Identity supporta l'MFA utilizzando vari metodi. Per ulteriori informazioni, vedi Applicare l'MFA uniforme alle risorse di proprietà dell'azienda.

Google Cloud supporta l'autenticazione per le identità dei carichi di lavoro mediante Protocollo OAuth 2.0 o token web JSON firmati (JWT). Per ulteriori informazioni sull'autenticazione dei carichi di lavoro, consulta Panoramica dell'autenticazione.

Implementare il privilegio minimo e la separazione dei compiti.

Devi assicurarti che le persone giuste abbiano accesso solo alle risorse e servizi necessari per svolgere il proprio lavoro. Vale a dire che dovresti segui le principio del privilegio minimo. Inoltre, devi assicurarti che sia disponibile separazione dei compiti.

L'overprovisioning dell'accesso degli utenti può aumentare il rischio di minacce interne. risorse non configurate correttamente e mancata conformità ai controlli. Autorizzazioni di provisioning insufficiente possono impedire agli utenti di accedere alle risorse di cui hanno bisogno per completare le proprie attività.

Un modo per evitare l'overprovisioning è implementare l'accesso con privilegi just-in-time, cioè fornire accesso privilegiato solo se necessario e concedergli temporaneamente.

Tieni presente che, quando viene creata un'organizzazione Google Cloud, tutti gli utenti al tuo dominio vengono concessi i ruoli Creatore account di fatturazione e Autore progetto predefinito. Identificare gli utenti che eseguiranno questi compiti e revocarli ruoli di altri utenti. Per ulteriori informazioni, vedi Creazione e gestione delle organizzazioni.

Per ulteriori informazioni su come funzionano i ruoli e le autorizzazioni per Google Cloud, consulta Panoramica e Informazioni sui ruoli nella documentazione di IAM. Per ulteriori informazioni sull'applicazione forzata il privilegio minimo, vedi Imporre il privilegio minimo con i suggerimenti sui ruoli.

Controllo dell'accesso

Monitorare le attività degli account con privilegi per verificare le deviazioni dagli condizioni, utilizza Audit log di Cloud. Cloud Audit Logs registra le azioni dei membri nel tuo account Google Cloud delle tue risorse Google Cloud. Puoi collaborare con vari tipi di log di controllo attraverso Servizi Google. Per ulteriori informazioni, vedi Utilizzo di Cloud Audit Logs per gestire i rischi legati agli addetti ai lavori (video).

Utilizza le funzionalità di Motore per suggerimenti IAM per monitorare l'utilizzo e regolare le autorizzazioni, ove appropriato. I ruoli consigliati dal motore per suggerimenti IAM può aiutarti a determinare quali ruoli da concedere a un utente in base al suo comportamento passato e ad altri criteri. Per ulteriori informazioni, vedi Best practice per i suggerimenti sui ruoli.

Per eseguire controlli e controlli sull'accesso alle tue risorse da parte del team di assistenza e tecnici Google personale, puoi utilizzare Access Transparency. Access Transparency registra le azioni intraprese dal personale di Google. Utilizza le funzionalità di Access Approval che fa parte di Access Transparency, per garantire un'approvazione esplicita ogni volta che il cliente l'accesso ai contenuti. Per ulteriori informazioni, vedi Controllare gli amministratori cloud l'accesso ai dati.

Automatizza i controlli dei criteri

Se possibile, imposta le autorizzazioni di accesso in modo programmatico. Per le best practice, consulta Vincoli dei criteri dell'organizzazione. Gli script Terraform per il progetto di base aziendale sono in repository di elementi di base di esempio.

Google Cloud include Policy Intelligence che ti consente di rivedere e aggiornare automaticamente le autorizzazioni di accesso. Policy Intelligence include Motore per suggerimenti, Strumento per la risoluzione dei problemi relativi ai criteri e Analizzatore criteri che eseguono le seguenti operazioni:

  • Fornisce suggerimenti per l'assegnazione del ruolo IAM.
  • Monitora e contribuisci a prevenire i criteri IAM eccessivamente permissivi.
  • Offre assistenza nella risoluzione dei problemi relativi al controllo dell'accesso.

Imposta limitazioni sulle risorse

Google IAM si concentra su chi e ti consente autorizza che possono agire su risorse specifiche in base alle autorizzazioni. La Servizio Criteri dell'organizzazione si concentra su cosa e consente di impostare restrizioni sulle risorse per specificare configurarli. Ad esempio, puoi usare un criterio dell'organizzazione per le seguenti:

Oltre a utilizzare i criteri dell'organizzazione per queste attività, puoi limitare l'accesso alle risorse utilizzando uno dei seguenti metodi:

  • Utilizzare i tag per gestire l'accesso alle risorse senza definire le autorizzazioni di accesso. su ogni risorsa. Aggiungi il tag e poi imposta l'accesso del tag stesso.
  • Utilizza le condizioni IAM per il controllo condizionale dell'accesso alle risorse basato su attributi.
  • Implementare la difesa in profondità utilizzando Controlli di servizio VPC per limitare ulteriormente l'accesso alle risorse.

Per ulteriori informazioni sulla gestione delle risorse, consulta Decidi una gerarchia delle risorse per la tua zona di destinazione di Google Cloud.

Passaggi successivi

Scopri di più su IAM con le seguenti risorse: