Ein wichtiges Prinzip von BeyondCorp Enterprise ist: "Der Zugriff auf Dienste wird basierend darauf gewährt, was wir über Sie und Ihr Gerät wissen." Die Zugriffsebene, die einem einzelnen Nutzer oder einem einzelnen Gerät gewährt wird, wird dynamisch durch Abfragen mehrerer Datenquellen abgeleitet. Diese Vertrauensebene kann dann als Teil des Entscheidungsprozesses verwendet werden.
Ein wichtiges Element für den Vertrauensbewertungsprozess ist die Stärke der Anmeldedaten des Nutzers, wobei der Zugriff auf bestimmte Arten von Anwendungen davon bestimmt wird, wie sich der Nutzer beim System authentifiziert hat. Beispielsweise können Nutzer, die nur mit einem Passwort angemeldet sind, nur auf Anwendungen zugreifen, die keine vertraulichen Informationen enthalten. Ein Nutzer, der mit einem Hardwaresicherheitsschlüssel als zweiter Faktor angemeldet ist, kann hingegen auf die sensibelsten Unternehmensanwendungen zugreifen.
Richtlinien zur Stärke der Anmeldedaten sind ein Feature, mit dem Unternehmen Zugriffssteuerungen basierend auf der Stärke der während des Authentifizierungsprozesses verwendeten Anmeldedaten aktivieren können. Durch die Nutzung der Anmeldedatenstärke als weitere Bedingung in den Richtlinien für die Zugriffssteuerung können Unternehmen Zugriffskontrollen basierend auf der Verwendung von Hardwaresicherheitsschlüsseln, der Bestätigung in zwei Schritten oder anderen starken Anmeldedaten erzwingen.
Übersicht über die Richtlinie zur Anmeldedatenstärke
Mit Access Context Manager können Google Cloud-Organisationsadministratoren eine differenzierte, attributbasierte Zugriffssteuerung für Projekte und Ressourcen in Google Cloud definieren.
Zugriffsebenen werden verwendet, um den Zugriff auf Ressourcen basierend auf Kontextinformationen über die Anfrage zu ermöglichen. Mithilfe von Zugriffsebenen können Sie Vertrauensebenen organisieren. Sie können beispielsweise eine Zugriffsebene mit dem Namen "High_Level" erstellen, die Anfragen von einer kleinen Gruppe berechtigter Personen zulässt. Sie können auch eine allgemeinere Gruppe angeben, der Sie vertrauen möchten, z. B. einen IP-Bereich, für den Sie Anfragen zulassen möchten. In diesem Fall können Sie eine Zugriffsebene mit dem Namen Medium_Level erstellen, um diese Anfragen zuzulassen.
Access Context Manager bietet zwei Möglichkeiten zum Definieren von Zugriffsebenen: einfache und benutzerdefinierte. Bei der Prüfung der Anmeldedatenstärke werden derzeit benutzerdefinierte Zugriffsebenen verwendet. Die Informationen zur Stärke der Anmeldedaten, die während der Nutzerauthentifizierung verwendet wird, werden während des Google-Anmeldevorgangs erfasst. Diese Informationen werden im Sitzungsspeicherdienst von Google erfasst und gespeichert.
Die Prüfung der Anmeldedatenstärke wird derzeit für Identity-Aware Proxy, Identity-Aware Proxy für TCP und Google Workspace unterstützt.
Richtlinie für die Anmeldedatenstärke konfigurieren
Sie können die Definition für benutzerdefinierte Zugriffsebenen für Access Context Manager verwenden, um die entsprechenden Richtlinien festzulegen. Benutzerdefinierte Zugriffsebenen verwenden boolesche Ausdrücke, die in einer Teilmenge von Common Expression Language (CEL) geschrieben werden, um die Attribute eines Clients zu testen, der eine Anfrage stellt.
In der Google Cloud Console können Sie beim Erstellen einer Zugriffsebene benutzerdefinierte Zugriffsebenen im erweiterten Modus konfigurieren. So erstellen Sie eine benutzerdefinierte Zugriffsebene:
- Öffnen Sie in der Google Cloud Console die Seite „Access Context Manager“.
- Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
- Klicken Sie oben auf der Seite "Access Context Manager" auf Neu.
- Führen Sie im Bereich Neue Zugriffsebene die folgenden Schritte aus:
- Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene. Der Titel darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.
- Wählen Sie unter Bedingungen erstellen in die Option Erweiterter Modus aus.
- Geben Sie im Abschnitt Bedingungen die Ausdrücke für Ihre benutzerdefinierte Zugriffsebene ein. Die Bedingung muss in einen einzelnen booleschen Wert aufgelöst werden. Beispiele und weitere Informationen zur Unterstützung von Common Expression Language (CEL) und benutzerdefinierten Zugriffsebenen finden Sie in der Spezifikation für benutzerdefinierte Zugriffsebenen.
- Klicken Sie auf Speichern.
Unterstützte Werte für Anmeldedatenstärke
| Wert | Google-Definition | Beispiel für eine benutzerdefinierte Zugriffsebene |
|---|---|---|
pwd |
Mit einem Passwort authentifizierter Nutzer. | request.auth.claims.crd_str.pwd == true |
push |
Nutzer, der mit einer Push-Benachrichtigung an das Mobilgerät authentifiziert wurde | request.auth.claims.crd_str.push == true |
sms |
Nutzer werden mit einem Code authentifiziert, der an eine SMS oder einen Telefonanruf gesendet wird. | request.auth.claims.crd_str.sms == true |
swk |
Bei der 2SV-Methode wurde ein Softwareschlüssel wie ein Smartphone als Sicherheitsschlüssel verwendet. | request.auth.claims.crd_str.swk == true |
hwk |
Für die 2SV-Methode wurde ein Hardwareschlüssel wie der Google Titan Key verwendet. | request.auth.claims.crd_str.hwk == true |
otp |
Nutzer, der mit einmaligen Passwortmethoden (Google Authenticator und Back-up-Codes) authentifiziert wurden. | request.auth.claims.crd_str.otp == true |
mfa |
Nutzer mit einer der Methoden in dieser Tabelle außer pwd authentifiziert. |
request.auth.claims.crd_str.mfa == true |
Weitere Informationen zur Bestätigung in zwei Schritten
Die Google-Bestätigung in zwei Schritten bietet eine Funktion, mit der Nutzer ihr Gerät als vertrauenswürdig markieren können und die zusätzliche Bestätigung in zwei Schritten erforderlich ist, wenn sie sich noch einmal auf demselben Gerät anmelden müssen. Wenn diese Funktion aktiviert ist, erhält ein Nutzer, der sich abmeldet und sich wieder anmeldet, keine Bestätigung in zwei Schritten bei der zweiten Anmeldung. Google meldet dann die Anmeldedatenstärke für die zweite Anmeldung als Nur-Passwort. als Multi-Faktor-Authentifizierung, da bei der zweiten Anmeldung keine Bestätigung in zwei Schritten verwendet wurde.
Wenn Sie Anwendungen oder Workflows haben, bei denen es erforderlich ist, dass der Nutzer immer starke Anmeldedaten verwendet, sollten Sie die vertrauenswürdige Gerätefunktion deaktivieren. Informationen zum Aktivieren oder Deaktivieren des Features "Vertrauenswürdige Geräte" finden Sie unter Vertrauenswürdige Computer hinzufügen oder entfernen. Wenn Sie diese Funktion deaktivieren, müssen Nutzer bei jeder Anmeldung ihre zweite Faktoren angeben. Dies gilt auch für häufig verwendete Geräte. Nutzer müssen sich möglicherweise abmelden und noch einmal anmelden, um ihre letzte Anmeldung mit Assertions für die Multi-Faktor-Authentifizierung zu erhalten.