Prinsip utama BeyondCorp Enterprise adalah "Akses ke layanan diberikan berdasarkan hal yang kami ketahui tentang Anda dan perangkat Anda". Tingkat akses yang diberikan kepada satu pengguna atau satu perangkat disimpulkan secara dinamis dengan menginterogasi beberapa sumber data. Tingkat kepercayaan ini kemudian dapat digunakan sebagai bagian dari proses keputusan.
Elemen kunci untuk proses evaluasi kepercayaan adalah kekuatan kredensial login pengguna, dengan akses ke jenis aplikasi tertentu ditentukan oleh cara pengguna diautentikasi ke sistem. Misalnya, pengguna yang login dengan sandi hanya dapat mengakses aplikasi yang tidak berisi informasi sensitif, sedangkan pengguna yang login dengan kunci keamanan hardware sebagai faktor kedua dapat mengakses aplikasi perusahaan yang paling sensitif.
Kebijakan berbasis kekuatan kredensial adalah fitur yang memungkinkan perusahaan mengaktifkan kontrol akses berdasarkan kekuatan kredensial yang digunakan selama proses autentikasi. Dengan memanfaatkan kekuatan kredensial sebagai kondisi lain dalam kebijakan kontrol akses, perusahaan dapat menerapkan kontrol akses berdasarkan penggunaan kunci keamanan hardware, verifikasi 2 langkah, atau bentuk kredensial kuat lainnya.
Ringkasan kebijakan kekuatan kredensial
Dengan Access Context Manager, administrator organisasi Google Cloud dapat menentukan kontrol akses berbasis atribut yang terperinci untuk project dan resource di Google Cloud.
Tingkat akses digunakan untuk mengizinkan akses ke resource berdasarkan informasi kontekstual tentang permintaan. Dengan menggunakan tingkat akses, Anda dapat mulai mengatur tingkat kepercayaan. Misalnya, Anda dapat membuat tingkat akses yang disebut High_Level yang akan mengizinkan permintaan dari sekelompok kecil individu dengan hak istimewa tinggi. Anda juga dapat mengidentifikasi grup yang lebih umum untuk dipercaya, seperti rentang IP yang permintaannya ingin Anda izinkan. Dalam hal ini, Anda dapat membuat tingkat akses yang disebut Medium_Level untuk mengizinkan permintaan tersebut.
Access Context Manager menyediakan dua cara untuk menentukan tingkat akses: dasar dan kustom. Pemeriksaan kekuatan kredensial saat ini menggunakan tingkat akses kustom. Informasi tentang kekuatan kredensial yang digunakan selama autentikasi pengguna diambil selama proses login Google. Informasi itu diambil dan disimpan di layanan penyimpanan sesi Google.
Pemeriksaan kekuatan kredensial saat ini didukung untuk Identity-Aware Proxy, Identity-Aware Proxy untuk TCP, dan Google Workspace.
Mengonfigurasi kebijakan kekuatan kredensial
Anda dapat menggunakan definisi tingkat akses kustom Access Context Manager untuk menetapkan kebijakan yang sesuai. Tingkat akses kustom menggunakan ekspresi boolean yang ditulis dalam subset Common Expression Language (CEL) untuk menguji atribut klien yang membuat permintaan.
Di Konsol Google Cloud, Anda dapat mengonfigurasi tingkat akses kustom dalam Mode Lanjutan saat membuat tingkat akses. Untuk membuat tingkat akses kustom, selesaikan langkah-langkah berikut:
- Di konsol Google Cloud, Buka halaman Access Context Manager.
- Jika diminta, pilih organisasi Anda.
- Di bagian atas halaman Access Context Manager, klik Baru.
- Di panel New Access Level, selesaikan langkah-langkah berikut:
- Di kotak Judul tingkat akses, masukkan judul untuk tingkat akses. Judul harus berisi maksimal 50 karakter, diawali dengan huruf, dan hanya dapat berisi angka, huruf, garis bawah, dan spasi.
- Untuk Buat Kondisi di, pilih Mode Lanjutan.
- Di bagian Kondisi, masukkan ekspresi untuk tingkat akses kustom Anda.Kondisi harus di-resolve menjadi satu nilai boolean. Untuk mengetahui contoh dan informasi selengkapnya tentang dukungan Common Expression Language (CEL) dan tingkat akses kustom, lihat Spesifikasi tingkat akses kustom.
- Klik Simpan.
Nilai kekuatan kredensial yang didukung
Nilai | Definisi Google | Contoh Tingkat Akses Kustom |
---|---|---|
pwd |
Pengguna diautentikasi dengan sandi. | request.auth.claims.crd_str.pwd == true |
push |
Pengguna diautentikasi dengan notifikasi push ke perangkat seluler. | request.auth.claims.crd_str.push == true |
sms |
Pengguna diautentikasi menggunakan kode yang dikirim ke SMS atau melalui panggilan telepon. | request.auth.claims.crd_str.sms == true |
swk |
Verifikasi 2 Langkah menggunakan kunci software, seperti ponsel, sebagai kunci keamanan. | request.auth.claims.crd_str.swk == true |
hwk |
Verifikasi 2 Langkah menggunakan kunci hardware, seperti Kunci Titan Google. | request.auth.claims.crd_str.hwk == true |
otp |
Pengguna diautentikasi dengan metode sandi sekali pakai (Google Authenticator dan Kode Cadangan). | request.auth.claims.crd_str.otp == true |
mfa |
Pengguna diautentikasi dengan salah satu metode dalam tabel ini, kecuali pwd . |
request.auth.claims.crd_str.mfa == true |
Informasi tambahan tentang verifikasi 2 langkah
Verifikasi 2 Langkah Google memiliki fitur yang memungkinkan pengguna menandai perangkat mereka sebagai dipercaya dan tidak memerlukan verifikasi login 2 langkah tambahan saat login kembali di perangkat yang sama. Jika fitur ini diaktifkan, pengguna yang logout dan login kembali tidak akan menerima verifikasi login 2 langkah pada saat login kedua, dan Google akan melaporkan kekuatan kredensial untuk login kedua dengan benar sebagai hanya sandi, dan bukan Autentikasi Multi-Faktor, karena verifikasi login 2 langkah tidak digunakan pada login kedua.
Jika memiliki aplikasi atau alur kerja yang bergantung pada kewajiban pengguna untuk selalu menggunakan kredensial yang kuat, Anda dapat menonaktifkan fitur perangkat tepercaya. Untuk informasi tentang cara mengaktifkan atau menonaktifkan fitur perangkat tepercaya, lihat Menambahkan atau menghapus komputer tepercaya. Perhatikan bahwa menonaktifkan fitur ini akan mengharuskan pengguna untuk menampilkan faktor kedua setiap kali mereka login, bahkan pada perangkat yang sering digunakan. Pengguna mungkin harus logout dan login kembali untuk login terbaru agar dapat memiliki pernyataan Autentikasi Multi-Faktor.