Un principio clave de BeyondCorp Enterprise es “El acceso a los servicios se otorga en función de lo que sabemos sobre ti y tu dispositivo”. El nivel de acceso otorgado a un solo usuario o a un solo dispositivo se infiere de forma dinámica mediante la búsqueda de varias fuentes de datos. Este nivel de confianza se puede usar como parte del proceso de decisión.
Un elemento clave del proceso de evaluación de confianza es la fortaleza de las credenciales de acceso del usuario, en las que el acceso a tipos específicos de aplicaciones se determina según la forma en que el usuario se autentica en el sistema. Por ejemplo, los usuarios que acceden solo con una contraseña pueden acceder a las aplicaciones que no contienen información sensible, mientras que un usuario que accedió con una llave de seguridad de hardware como segundo factor puede acceder a la información más sensible de las aplicaciones empresariales.
Las políticas basadas en la credencial de credenciales son una función que permite a una empresa habilitar los controles de acceso en función de la fortaleza de la credencial que se usó durante el proceso de autenticación. Gracias a la fortaleza de las credenciales como otra condición en las políticas de control de acceso, las empresas pueden aplicar controles de acceso basados en el uso de llaves de seguridad de hardware, la verificación en 2 pasos o alguna otra forma de credenciales sólidas.
Descripción general de la política de seguridad de las credenciales
Access Context Manager permite a los administradores de organizaciones de Google Cloud definir un control de acceso detallado basado en atributos para proyectos y recursos en Google Cloud.
Los niveles de acceso se usan para permitir el acceso a los recursos según la información contextual de la solicitud. Mediante los niveles de acceso, puedes comenzar a organizar niveles de confianza. Por ejemplo, puedes crear un nivel de acceso llamado High_Level que permita solicitudes de un grupo pequeño de personas con muchos privilegios. También puedes identificar un grupo más general para confiar, como un rango de IP desde el que deseas permitir solicitudes. En ese caso, puedes crear un nivel de acceso llamado Medium_Level para permitir esas solicitudes.
Access Context Manager proporciona dos formas de definir los niveles de acceso: básico y personalizado. En la actualidad, la verificación de seguridad de las credenciales usa niveles de acceso personalizados. La información sobre la solidez de las credenciales que se usa durante la autenticación de usuarios se captura durante el proceso de acceso de Google. Esa información se captura y almacena en el servicio de almacenamiento de sesiones de Google.
Por el momento, la verificación de seguridad de las credenciales es compatible con Identity-Aware Proxy, Identity-Aware Proxy para TCP y Google Workspace.
Configura la política de seguridad de credenciales
Puedes usar una definición de nivel de acceso personalizado de Access Context Manager para establecer las políticas adecuadas. Los niveles de acceso personalizados usan expresiones booleanas escritas en un subconjunto de Common Expression Language (CEL) para probar los atributos de un cliente que realiza una solicitud.
En la consola de Google Cloud, puedes configurar niveles de acceso personalizados en el Modo avanzado cuando creas un nivel de acceso. Para crear un nivel de acceso personalizado, completa los siguientes pasos:
- En la consola de Google Cloud, abre la página de Access Context Manager.
- Si se te solicita, selecciona tu organización.
- En la parte superior de la página Access Context Manager, haz clic en Nuevo.
- En el panel Nivel de acceso nuevo, completa los siguientes pasos:
- En el cuadro de texto Título del nivel de acceso, ingresa un título para el nivel de acceso. El título debe tener un máximo de 50 caracteres y comenzar con una letra, y solo puede contener números, letras, guiones bajos y espacios.
- Para Crear condiciones en, selecciona Modo avanzado.
- En la sección Condiciones, ingresa las expresiones para tu nivel de acceso personalizado. La condición debe resolverse en un solo valor booleano. Para obtener ejemplos y más información sobre la compatibilidad con Common Expression Language (CEL) y los niveles de acceso personalizados, consulta la especificación del nivel de acceso personalizado.
- Haz clic en Guardar.
Valores de seguridad de las credenciales admitidos
| Valor | Definición de Google | Ejemplo de nivel de acceso personalizado |
|---|---|---|
pwd |
Usuario autenticado con una contraseña | request.auth.claims.crd_str.pwd == true |
push |
Usuario autenticado con una notificación push en el dispositivo móvil. | request.auth.claims.crd_str.push == true |
sms |
Usuario autenticado mediante un código enviado a SMS o a través de una llamada telefónica. | request.auth.claims.crd_str.sms == true |
swk |
La 2SV usó una clave de software, como un teléfono, como llave de seguridad. | request.auth.claims.crd_str.swk == true |
hwk |
La 2SV usó una clave de hardware, como Google Titan Key. | request.auth.claims.crd_str.hwk == true |
otp |
Usuario autenticado con métodos de contraseña de un solo uso (Autenticador de Google y códigos de respaldo). | request.auth.claims.crd_str.otp == true |
mfa |
Usuario autenticado con cualquiera de los métodos de esta tabla, excepto pwd |
request.auth.claims.crd_str.mfa == true |
Información adicional sobre la verificación en 2 pasos
La verificación en 2 pasos de Google tiene una función que permite que los usuarios marquen su dispositivo como confiable y eviten la necesidad de realizar pasos adicionales en dos pasos cuando vuelvan a acceder en el mismo dispositivo. Cuando se habilita esta función, un usuario que sale y vuelve a acceder no recibe un desafío en 2 pasos durante el segundo acceso, y Google informa de manera correcta la solidez de la credencial para el segundo acceso como solo contraseña y la autenticación de varios factores, ya que no se usó un desafío en 2 pasos el segundo acceso.
Si tienes aplicaciones o flujos de trabajo que requieren que el usuario use siempre credenciales sólidas, te recomendamos inhabilitar la función del dispositivo de confianza. Si deseas obtener información para habilitar o inhabilitar la función de dispositivo de confianza, consulta Agrega o quita computadoras de confianza. Ten en cuenta que si inhabilitas la función, los usuarios deberán presentar sus segundos factores cada vez que accedan, incluso en dispositivos que se usan con frecuencia. Le recomendamos a los usuarios salir y volver a acceder para que su acceso más reciente tenga aserciones de autenticación de varios factores.