Eine Möglichkeit, sensible Ressourcen zu schützen, besteht darin, den Zugriff darauf einzuschränken. Wenn Sie den Zugriff auf vertrauliche Ressourcen einschränken, kann das jedoch auch zu Problemen für Nutzer führen, die gelegentlich auf diese Ressourcen zugreifen müssen. Ein Nutzer benötigt beispielsweise möglicherweise einen Break-Glass- oder Notfallzugriff auf vertrauliche Ressourcen, um einen Vorfall zu beheben.
In diesen Fällen empfehlen wir, dem Nutzer vorübergehend Zugriff auf die Ressource zu gewähren. Zur Verbesserung der Prüfung empfehlen wir außerdem, die Begründung des Nutzers für den Zugriff auf die Ressource aufzuzeichnen.
In Google Cloudgibt es mehrere Möglichkeiten, diese Art von temporärem erhöhten Zugriff zu verwalten.
Privileged Access Manager
Mit Privileged Access Manager (PAM) können Sie die temporäre Just-in-Time-Ausweitung von Berechtigungen für ausgewählte Hauptkonten verwalten und anschließend Audit-Logs aufrufen, um herauszufinden, wer wann auf was zugegriffen hat.
In den folgenden Situationen kann es sinnvoll sein, vorübergehend erweiterte Berechtigungen über Privileged Access Manager zu gewähren:
Notfallzugriff gewähren: Ermöglichen Sie ausgewählten Rettungskräften, kritische Aufgaben auszuführen, ohne auf eine Genehmigung warten zu müssen. Sie können Begründungen für zusätzlichen Kontext dazu verlangen, warum der Notfallzugriff erforderlich ist.
Zugriff auf sensible Ressourcen steuern: Der Zugriff auf sensible Ressourcen muss streng kontrolliert werden. Genehmigungen und geschäftliche Begründungen sind erforderlich. Mit Privileged Access Manager lässt sich auch prüfen, wie dieser Zugriff verwendet wurde, z. B. wann zugewiesene Rollen für einen Nutzer aktiv waren, auf welche Ressourcen während dieser Zeit zugegriffen werden konnte, welche Begründung für den Zugriff vorlag und wer ihn genehmigt hat.
Mit Privileged Access Manager können Sie beispielsweise Folgendes tun:
Entwicklern vorübergehenden Zugriff auf Produktionsumgebungen für die Fehlerbehebung oder Bereitstellung gewähren
Support-Entwicklern Zugriff auf vertrauliche Kundendaten für bestimmte Aufgaben gewähren
Datenbankadministratoren erhöhte Berechtigungen für Wartungs- oder Konfigurationsänderungen gewähren
Granulares Prinzip der geringsten Berechtigung implementieren: Wenn Sie allen Nutzern Administratorrollen oder umfassenden Zugriff zuweisen, kann sich die Angriffsfläche vergrößern. Um dies zu verhindern, können Administratoren dauerhafte Rollen mit der geringsten Berechtigung zuweisen und Privileged Access Manager verwenden, um bei Bedarf vorübergehenden, zeitgebundenen erhöhten Zugriff für bestimmte Aufgaben zu gewähren. Administratoren können Berechtigungen mit tagbasierten Bedingungen erstellen und Anfragende dazu zwingen, Berechtigungsanfragen mit benutzerdefiniertem Umfang zu erstellen und Berechtigungen nach Abschluss der Aufgabe zu widerrufen. Dadurch wird das Missbrauchspotenzial erheblich reduziert und das Prinzip des „Just-in-Time“-Zugriffs gestärkt.
Genehmigungen für privilegierten Zugriff automatisieren: Um die Effizienz zu steigern, können Sie Dienstkonten als Genehmiger in Ihren DevOps-Pipelines konfigurieren. Mit diesen Konten können programmatische Genehmigungen automatisiert werden, indem Tickets direkt über ITSM-Systeme validiert werden. Dadurch entfallen langsame manuelle Prüfungen.
Dienstkonten besser schützen: Anstatt Dienstkonten dauerhaft Rollen zuzuweisen, sollten Sie Dienstkonten die Möglichkeit geben, sich selbst zu eskalieren und Rollen nur bei Bedarf für automatisierte Aufgaben zu übernehmen.
Insider-Bedrohungen und versehentlichen Missbrauch minimieren: Mit Genehmigungen durch mehrere Parteien können Sie zwei Genehmigungsebenen in die Entscheidungsfindung einbauen. Dadurch wird das Risiko verringert, dass ein einzelner Administrator oder ein manipuliertes Genehmigerkonto eine schädliche Zugriffsanfrage genehmigt.
Zugriff für Auftragnehmer und externe Mitarbeiter verwalten: Gewähren Sie Auftragnehmern oder externen Mitarbeitern vorübergehenden, zeitlich begrenzten Zugriff auf Ressourcen, wobei Genehmigungen und Begründungen erforderlich sind.
Weitere Informationen zum Einrichten von Privileged Access Manager finden Sie unter Privileged Access Manager – Übersicht.
Weitere Informationen zum Anfordern einer temporären Erhöhung finden Sie unter Temporären erweiterten Zugriff anfordern.
Google-Gruppen
Eine Möglichkeit, den vorübergehenden erweiterten Zugriff zu verwalten, besteht darin, einer Google-Gruppe Zugriff auf vertrauliche Ressourcen zu gewähren und dann Nutzer zu dieser Gruppe hinzuzufügen und daraus zu entfernen, um ihren Zugriff zu steuern.
Wenn Sie eine Google-Gruppe für den vorübergehend erhöhten Zugriff einrichten möchten, erstellen Sie zuerst eine Gruppe und weisen Sie ihr dann die Rollen zu, die Sie vorübergehend einem Nutzer zuweisen möchten. Wenn Sie Ablehnungsrichtlinien verwenden, sollten Sie die Gruppe auch von allen relevanten Ablehnungsregeln ausnehmen, um unerwartete Ablehnungen zu vermeiden.
Nachdem Sie Ihre Gruppe eingerichtet haben, können Sie Nutzer hinzufügen und entfernen, um ihren Zugriff zu ändern. Wenn Sie die Google Groups API verwenden, können Sie Nutzer mithilfe der Ablaufzeit von Mitgliedschaften vorübergehend einer Gruppe hinzufügen.
Wenn Sie die Begründungen des Nutzers für den Zugriff auf vertrauliche Ressourcen aufzeichnen möchten, müssen Sie Ihre eigenen operativen Prozesse und Tools festlegen.
Wenn Sie beispielsweise den Notfallzugriff auf Compute Engine-Ressourcen verwalten möchten, können Sie die Gruppe emergency-compute-access@example.com erstellen und ihr die Rolle „Compute Admin“ (roles/compute.admin) zuweisen. Wenn ein Nutzer Notfall-Administratorzugriff auf Compute-Ressourcen benötigt, können Sie ihn der Gruppe emergency-compute-access@example.com hinzufügen. Nachdem die Notsituation behoben ist, können Sie sie aus der Gruppe entfernen.
IAM-Bedingungen
Mit IAM-Bedingungen können Sie Nutzern einen ablaufenden Zugriff aufGoogle Cloud -Ressourcen gewähren. Weitere Informationen finden Sie unter Temporären Zugriff konfigurieren.
Wenn Sie die Begründungen des Nutzers für den Zugriff auf vertrauliche Ressourcen aufzeichnen möchten, müssen Sie Ihre eigenen operativen Prozesse und Tools festlegen.
Abgelaufene Rollenbindungen werden nicht automatisch aus den Zulassungsrichtlinien entfernt. Damit Ihre Zulassungsrichtlinien die maximale Größe für Zulassungsrichtlinien nicht überschreiten, empfehlen wir, abgelaufene Rollenbindungen regelmäßig zu entfernen.
Ablehnungsrichtlinien unterstützen keine zeitbasierten Bedingungen. Daher können Sie in Ablehnungsrichtlinien keine Bedingungen verwenden, um einen Nutzer vorübergehend von einer Ablehnungsregel auszunehmen.
Privilegierter Just-in-Time-Zugriff
Just-In-Time-Zugriff ist eine Open-Source-Anwendung, mit der Nutzern mithilfe von IAM-Bedingungen Just-in-Time-Zugriff auf Google Cloud-Ressourcen gewährt wird. Diese Anwendung ist für die Ausführung in App Engine oder Cloud Run konzipiert.
Diese Anwendung bietet folgende Vorteile gegenüber dem manuellen Hinzufügen bedingter Rollenbindungen:
- Nutzer können nach Rollen suchen, die sie mit Just-In-Time-Zugriff aktivieren können.
- Nutzer müssen eine Begründung angeben, bevor sie Zugriff erhalten.
- Die Anwendung ersetzt die vorhandene bedingte Bindung, anstatt neue Bindungen zu erstellen. So wird die Größe Ihrer IAM-Allow-Richtlinie beibehalten.
Weitere Informationen zum Just-in-Time-Zugriff finden Sie unter Just-in-Time-privilegierten Zugriff auf Projekte verwalten.
Identitätsübertragung für ein Dienstkonto
Wenn sich ein authentifiziertes Hauptkonto, z. B. ein Nutzer oder ein anderes Dienstkonto, als ein Dienstkonto authentifiziert, um die Berechtigungen des Dienstkontos zu erhalten, wird dies als Identitätsübernahme des Dienstkontos bezeichnet. Durch die Übernahme der Identität eines Dienstkontos kann ein authentifiziertes Hauptkonto auf alles zugreifen, worauf das Dienstkonto zugreifen kann. Nur authentifizierte Hauptkonten mit den entsprechenden Berechtigungen können die Identität von Dienstkonten übernehmen.
Wenn Sie ein Dienstkonto für den vorübergehend erhöhten Zugriff einrichten möchten, erstellen Sie das Dienstkonto und weisen Sie ihm die Rollen zu, die Sie vorübergehend einem Nutzer zuweisen möchten. Wenn Sie Ablehnungsrichtlinien verwenden, sollten Sie eventuell das Dienstkonto von allen relevanten Ablehnungsregeln ausnehmen, um unerwartete Ablehnungen zu vermeiden.
Nachdem Sie das Dienstkonto eingerichtet haben, können Sie Nutzern vorübergehend erhöhten Zugriff gewähren, indem Sie ihnen erlauben, die Identität des Dienstkontos zu übernehmen. Es gibt verschiedene Möglichkeiten, Nutzern die Übernahme der Identität von Dienstkonten zu ermöglichen:
Weisen Sie Nutzern eine Rolle zu, mit der sie kurzlebige Anmeldedaten für das Dienstkonto erstellen können. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.
Weisen Sie die Rolle „Ersteller des OpenID Connect-Identitätstokens für das Dienstkonto“ (
roles/iam.serviceAccountOpenIdTokenCreator) zu, damit der Nutzer kurzlebige OIDC-ID-Tokens (OpenID Connect) für das Dienstkonto erstellen kann.Weisen Sie die Rolle „Ersteller von Dienstkonto-Tokens" (
roles/iam.serviceAccountTokenCreator) zu, damit der Nutzer die folgenden Arten von Anmeldedaten für Dienstkonten erstellen kann:- OAuth 2.0-Zugriffstokens erstellen, die Sie zur Authentifizierung bei Google APIs verwenden können.
- OIDC-ID-Tokens.
- Signierte JSON-Web-Tokens (JWTs) und binäre Blobs.
Wenn Sie einem Nutzer eine dieser Rollen zuweisen, kann er jederzeit die Identität des Dienstkontos annehmen, um seinen eigenen Zugriff zu erhöhen. Es ist jedoch weniger wahrscheinlich, dass er versehentlich auf vertrauliche Ressourcen zugreift oder diese ändert.
Informationen zum Übernehmen der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos verwenden.
Erstellen Sie einen Token-Broker-Dienst, der Nutzern kurzlebige Anmeldedaten für das Dienstkonto bereitstellt, nachdem sie sich authentifiziert und eine Begründung angegeben haben. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.
Mit dieser Methode können Sie entscheiden, wann Nutzer die Identität des Dienstkontos übernehmen dürfen.
Informationen zum Erstellen kurzlebiger Anmeldedaten finden Sie unter Kurzlebige Anmeldedaten für ein Dienstkonto erstellen.
Weitere Informationen zur Übernahme der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos.
Nächste Schritte
- Richten Sie Privileged Access Manager für vorübergehend erhöhten Zugriff ein.
- Mit IAM-Bedingungen temporären Zugriff auf ein Hauptkonto gewähren.
- Die Just-In-Time-Zugriffsanwendung bereitstellen.
- Kurzlebige Anmeldedaten manuell erstellen, um die Identität eines Dienstkontos zu übernehmen.