Un modo per proteggere le risorse sensibili è limitarne l'accesso. Tuttavia, limitare l'accesso alle risorse sensibili crea anche attrito per chiunque abbia occasionalmente bisogno di accedere a queste risorse. Ad esempio, un utente potrebbe aver bisogno dell'accesso di emergenza alle risorse sensibili per risolvere un incidente.
In queste situazioni, consigliamo di concedere all'utente l'autorizzazione ad accedere alla risorsa temporaneamente. Ti consigliamo inoltre di registrare la motivazione dell'utente per l'accesso alla risorsa per migliorare il controllo.
In Google Cloud, esistono diversi modi per gestire questo tipo di accesso temporaneo con privilegi elevati.
Privileged Access Manager
Puoi utilizzare Privileged Access Manager (PAM) per gestire l'aumento temporaneo dei privilegi just-in-time per le entità selezionate e per visualizzare gli audit log in un secondo momento per scoprire chi ha avuto accesso a cosa e quando.
Potresti voler fornire l'aumento temporaneo dei privilegi tramite Privileged Access Manager nelle seguenti situazioni:
Concedi accesso di emergenza: consente a determinati personale di primo intervento di eseguire attività critiche senza dover attendere l'approvazione. Puoi richiedere giustificazioni per fornire un contesto aggiuntivo sul motivo per cui è necessario l'accesso di emergenza.
Controlla l'accesso alle risorse sensibili: controlla rigorosamente l'accesso alle risorse sensibili, richiedendo approvazioni e giustificazioni aziendali. Privileged Access Manager può essere utilizzato anche per controllare come è stato utilizzato questo accesso, ad esempio quando i ruoli concessi erano attivi per un utente, quali risorse erano accessibili durante questo periodo, la giustificazione dell'accesso e chi lo ha approvato.
Ad esempio, puoi utilizzare Privileged Access Manager per:
Concedi agli sviluppatori l'accesso temporaneo agli ambienti di produzione per la risoluzione dei problemi o i deployment.
Consenti agli ingegneri dell'assistenza di accedere ai dati sensibili dei clienti per attività specifiche.
Concedere agli amministratori del database privilegi elevati per la manutenzione o le modifiche alla configurazione.
Implementa il principio del privilegio minimo granulare: l'assegnazione di ruoli amministrativi o l'accesso ampio a tutti gli utenti può aumentare la superficie di attacco. Per evitare questo problema, gli amministratori possono assegnare ruoli permanenti con privilegio minimo e utilizzare Privileged Access Manager per fornire un accesso temporaneo con privilegi elevati per attività specifiche quando necessario. Gli amministratori possono creare diritti con condizioni basate su tag e imporre ai richiedenti di creare richieste di concessione con ambito personalizzato e revocare le concessioni al termine dell'attività. Ciò riduce notevolmente le opportunità di uso improprio e rafforza il principio dell'accesso "just-in-time".
Automatizza le approvazioni dell'accesso con privilegi: per migliorare l'efficienza, puoi configurare i service account come approvatori all'interno delle pipeline DevOps. Questi account possono automatizzare le approvazioni programmatiche convalidando i ticket direttamente dai sistemi ITSM, eliminando così i lenti controlli manuali.
Proteggi i service account: anziché concedere permanentemente ruoli ai service account, consenti ai service account di auto-elevarsi e assumere ruoli solo quando necessario per le attività automatizzate.
Mitigare le minacce interne e l'uso improprio accidentale: con le approvazioni di più parti, puoi aggiungere due livelli di approvazione nel processo decisionale. Ciò riduce il rischio associato a un singolo amministratore o a un account approvatore compromesso che approva una richiesta di accesso dannosa.
Gestisci l'accesso per i collaboratori e la forza lavoro estesa: concedi ai collaboratori o ai membri della forza lavoro estesa l'accesso temporaneo e limitato nel tempo alle risorse, con approvazioni e giustificazioni richieste.
Per ulteriori informazioni sulla configurazione di Privileged Access Manager, vedi Panoramica di Privileged Access Manager.
Per saperne di più sulla richiesta di elevazione temporanea, vedi Richiedere l'accesso elevato temporaneo.
Gruppi Google
Un modo per gestire l'accesso temporaneo con privilegi elevati è concedere l'accesso a un gruppo Google a risorse sensibili, quindi aggiungere e rimuovere utenti da quel gruppo per controllare il loro accesso.
Per configurare un gruppo Google per l'accesso temporaneo con privilegi elevati, devi prima creare un gruppo, quindi assegnargli i ruoli che vuoi concedere temporaneamente agli utenti. Se utilizzi norme di negazione, valuta anche la possibilità di esonerare il gruppo da eventuali regole di negazione pertinenti per evitare negazioni impreviste.
Dopo aver configurato il gruppo, puoi aggiungere e rimuovere utenti per modificare il loro accesso. Se utilizzi l'API Google Groups, puoi aggiungere temporaneamente utenti a un gruppo utilizzando la scadenza dell'iscrizione.
Se vuoi registrare le motivazioni dell'utente per l'accesso a risorse sensibili, devi definire i tuoi processi operativi e i tuoi strumenti.
Ad esempio, per gestire l'accesso di emergenza alle risorse Compute Engine, puoi creare un gruppo, emergency-compute-access@example.com, e concedergli il ruolo Compute Admin (roles/compute.admin). Se un utente ha bisogno dell'accesso amministrativo di emergenza alle risorse di calcolo, puoi aggiungerlo al gruppo emergency-compute-access@example.com. Una volta risolta l'emergenza,
puoi rimuoverli dal gruppo.
Condizioni IAM
Puoi utilizzare le condizioni IAM per concedere agli utenti l'accesso in scadenza alle risorseGoogle Cloud . Per saperne di più, consulta Configurare l'accesso temporaneo.
Se vuoi registrare le motivazioni dell'utente per l'accesso a risorse sensibili, devi definire i tuoi processi operativi e i tuoi strumenti.
I binding dei ruoli scaduti non vengono rimossi automaticamente dalle policy di autorizzazione. Per assicurarti che le tue norme di autorizzazione non superino le dimensioni massime per le norme di autorizzazione, ti consigliamo di rimuovere periodicamente i binding dei ruoli scaduti.
Le policy di negazione non supportano le condizioni basate sul tempo. Di conseguenza, non puoi utilizzare le condizioni nelle policy di negazione per esentare temporaneamente un utente da una regola di negazione.
Accesso privilegiato just-in-time
Just-In-Time Access è un'applicazione open source che utilizza le condizioni IAM per concedere agli utenti l'accesso privilegiato just-in-time alle risorse. Google CloudQuesta applicazione è progettata per essere eseguita su App Engine o Cloud Run.
Questa applicazione offre i seguenti vantaggi rispetto all'aggiunta manuale di associazioni di ruoli condizionali:
- Gli utenti possono cercare i ruoli che possono attivare con l'accesso JIT.
- Gli utenti sono tenuti a fornire giustificazioni prima di ottenere l'accesso.
- L'applicazione sostituisce l'associazione condizionale esistente anziché crearne di nuove, il che contribuisce a mantenere le dimensioni del criterio di autorizzazione IAM.
Per saperne di più sull'accesso Just-in-Time, consulta Gestire l'accesso privilegiato Just-in-Time ai progetti.
Simulazione dell'identità dei service account
Quando un'entità autenticata, ad esempio un utente o un altro account di servizio, esegue l'autenticazione come account di servizio per ottenere le autorizzazioni del service account, si parla di simulazione dell'identità del account di servizio. La simulazione dell'identità di un account di servizio consente a un'entità autenticata di accedere a tutto ciò a cui può accedere ilaccount di serviziot. Solo le entità autenticate con le autorizzazioni appropriate possono simulare l'identità dei service account.
Per configurare un account di servizio per l'accesso temporaneo con privilegi elevati, crea il service account, quindi concedigli i ruoli che vuoi assegnare temporaneamente a un utente. Se utilizzi norme di negazione, valuta anche la possibilità di aggiungere l'account di servizio esente da eventuali regole di negazione pertinenti per evitare negazioni impreviste.
Dopo aver configurato il account di servizio, puoi concedere agli utenti l'accesso temporaneo con privilegi elevati consentendo loro di simulare l'identità del service account. Esistono diversi modi per consentire agli utenti di rappresentare service account:
Concedi agli utenti un ruolo che consenta loro di creare credenziali di breve durata per ilaccount di serviziot. Gli utenti possono quindi utilizzare le credenziali temporanee per simulare l'identità delaccount di serviziot.
Concedi il ruolo Creatore token di identità OpenID Connect dell'account di servizio (
roles/iam.serviceAccountOpenIdTokenCreator) per consentire all'utente di creare token ID OpenID Connect (OIDC) di breve durata per l'account di servizio.Concedi il ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator) per consentire all'utente di creare i seguenti tipi di credenziali dell'account di servizio:- Token di accesso OAuth 2.0, che puoi utilizzare per l'autenticazione con le API di Google
- Token ID OIDC
- Token web JSON (JWT) firmati e blob binari
Se concedi a un utente uno di questi ruoli, può simulare l'identità dell'account di servizio in qualsiasi momento per aumentare il proprio accesso. Tuttavia, è meno probabile che accedano o modifichino risorse sensibili in modo non intenzionale.
Per scoprire come simulare l'identità dei service account, consulta Simulazione account di servizio account.
Crea un servizio di broker di token che fornisca agli utenti credenziali di breve durata per ilaccount di serviziot dopo che si sono autenticati e hanno fornito una giustificazione. Gli utenti possono quindi utilizzare le credenziali temporanee per simulare l'identità delaccount di serviziot.
Con questo metodo, puoi decidere quando consentire agli utenti di rappresentare l'account di servizio.
Per scoprire come generare credenziali di breve durata, vedi Creare credenziali di breve durata per un service account.
Per scoprire di più sulla rappresentazione dell'identità del account di servizio, vedi Rappresentazione dell'identità del service account.
Passaggi successivi
- Configura Privileged Access Manager per l'accesso temporaneo con privilegi elevati.
- Utilizza le condizioni IAM per concedere l'accesso temporaneo a un'entità.
- Esegui il deployment dell'applicazione Just-In-Time Access.
- Crea manualmente credenziali di breve durata per impersonare unaccount di serviziot.