Uno dei principi fondamentali di BeyondCorp Enterprise è "L'accesso ai servizi viene concesso in base a ciò che sappiamo su di te e sul tuo dispositivo". Il livello di accesso concesso a un singolo utente o a un singolo dispositivo viene dedotto dinamicamente interrogando più origini dati. Questo livello di attendibilità può quindi essere utilizzato nell'ambito del processo decisionale.
Un elemento chiave del processo di valutazione di attendibilità è la sicurezza delle credenziali di accesso dell'utente, in cui l'accesso a tipi specifici di applicazioni è determinato dal modo in cui l'utente ha eseguito l'autenticazione nel sistema. Ad esempio, gli utenti che eseguono l'accesso con una semplice password possono accedere solo alle applicazioni che non contengono informazioni sensibili, mentre un utente che ha eseguito l'accesso con un token di sicurezza hardware come secondo fattore può accedere alle applicazioni aziendali più sensibili.
I criteri basati sulla sicurezza delle credenziali sono una funzionalità che consente a un'azienda di attivare i controlli dell'accesso in base alla sicurezza delle credenziali utilizzate durante il processo di autenticazione. Sfruttando la sicurezza delle credenziali come altra condizione nei criteri di controllo dell'accesso dell'accesso, le aziende possono applicare controlli dell'accesso basati sull'utilizzo di token di sicurezza hardware, della verifica in due passaggi o di altre forme di credenziali efficaci.
Panoramica dei criteri di sicurezza delle credenziali
Gestore contesto accesso consente agli amministratori dell'organizzazione Google Cloud di definire un controllo dell'controllo dell'accesso granulare basato sugli attributi per progetti e risorse in Google Cloud.
I livelli di accesso vengono utilizzati per consentire l'accesso alle risorse in base a informazioni contestuali sulla richiesta. Utilizzando i livelli di accesso, puoi iniziare a organizzare i livelli di attendibilità. Ad esempio, puoi creare un livello di accesso chiamato High_Level che consentirà le richieste da un piccolo gruppo di utenti con privilegi elevati. Puoi anche identificare un gruppo più generale da considerare attendibile, ad esempio un intervallo IP da cui vuoi consentire le richieste. In questo caso, puoi creare un livello di accesso denominato Medium_Level per consentire queste richieste.
Gestore contesto accesso fornisce due modi per definire i livelli di accesso: di base e personalizzati. Il controllo della sicurezza delle credenziali attualmente utilizza livelli di accesso personalizzati. Le informazioni sulla sicurezza delle credenziali utilizzate durante l'autenticazione utente vengono acquisite durante la procedura di accesso a Google. Queste informazioni vengono acquisite e archiviate nel servizio di archiviazione delle sessioni di Google.
Il controllo della sicurezza delle credenziali è attualmente supportato per Identity-Aware Proxy, Identity-Aware Proxy per TCP e Google Workspace.
Configurazione del criterio di sicurezza delle credenziali
Puoi utilizzare una definizione di livello di accesso personalizzato di Gestore contesto accesso per impostare i criteri appropriati. I livelli di accesso personalizzati utilizzano espressioni booleane scritte in un sottoinsieme di Common Expression Language (CEL) per testare gli attributi di un client che effettua una richiesta.
Nella console Google Cloud, puoi configurare livelli di accesso personalizzati in Modalità avanzata durante la creazione di un livello di accesso. Per creare un livello di accesso personalizzato:
- Nella console Google Cloud, apri la pagina Gestore contesto accesso.
- Se ti viene richiesto, seleziona la tua organizzazione.
- Nella parte superiore della pagina Gestore contesto accesso, fai clic su Nuovo.
- Nel riquadro Nuovo livello di accesso, completa i seguenti passaggi:
- Nella casella Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.
- In Crea condizioni in, seleziona Modalità avanzata.
- Nella sezione Condizioni, inserisci le espressioni per il tuo livello di accesso personalizzato.La condizione deve essere risolta in un singolo valore booleano. Per esempi e ulteriori informazioni sul supporto del linguaggio CEL (Common Expression Language) e sui livelli di accesso personalizzati, consulta la sezione Specifica dei livelli di accesso personalizzati.
- Fai clic su Salva.
Valori supportati per l'efficacia delle credenziali
| Valore | Definizione di Google | Esempio di livello di accesso personalizzato |
|---|---|---|
pwd |
Utente autenticato con una password. | request.auth.claims.crd_str.pwd == true |
push |
L'utente è stato autenticato con una notifica push sul dispositivo mobile. | request.auth.claims.crd_str.push == true |
sms |
Utente autenticato utilizzando un codice inviato tramite SMS o telefonata. | request.auth.claims.crd_str.sms == true |
swk |
Per la verifica in due passaggi è stato utilizzato un token software, ad esempio un telefono, come token di sicurezza. | request.auth.claims.crd_str.swk == true |
hwk |
Per la verifica in due passaggi è stata utilizzata una chiave hardware, ad esempio una chiave Titan di Google. | request.auth.claims.crd_str.hwk == true |
otp |
Utente autenticato con metodi di password monouso (Google Authenticator e codici di backup). | request.auth.claims.crd_str.otp == true |
mfa |
Utente autenticato con uno dei metodi in questa tabella, ad eccezione di pwd. |
request.auth.claims.crd_str.mfa == true |
Ulteriori informazioni sulla verifica in due passaggi
La verifica in due passaggi di Google ha una funzionalità che consente agli utenti di contrassegnare il proprio dispositivo come attendibile ed evitare di dover eseguire ulteriori verifiche in due passaggi quando accedono di nuovo sullo stesso dispositivo. Quando questa funzione è attivata, un utente che esce e accede di nuovo non riceve una verifica in due passaggi al secondo accesso e Google segnala correttamente la sicurezza delle credenziali per il secondo accesso come di sola password e non di autenticazione a più fattori, poiché la verifica in due passaggi non è stata utilizzata al secondo accesso.
Se hai applicazioni o flussi di lavoro che dipendono dalla richiesta all'utente di utilizzare sempre credenziali efficaci, ti consigliamo di disattivare la funzionalità del dispositivo attendibile. Per informazioni su come attivare o disattivare la funzionalità dei dispositivi attendibili, vedi Aggiungere o rimuovere computer attendibili. Tieni presente che, se disattivi la funzionalità, gli utenti dovranno presentare i loro due fattori ogni volta che accedono, anche sui dispositivi utilizzati di frequente. Per avere asserzioni dell'autenticazione a più fattori, gli utenti potrebbero dover uscire e accedere di nuovo per l'accesso più recente.