Configurazione di un criterio relativo alla sicurezza delle credenziali

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Un principio chiave di BeyondCorp Enterprise è "L'accesso ai servizi viene concesso in base alle informazioni che sappiamo su di te e sul tuo dispositivo". Il livello di accesso concesso a un singolo utente o a un singolo dispositivo viene dedotto in modo dinamico interrogando più origini dati. Questo livello di attendibilità può quindi essere utilizzato come parte del processo decisionale.

Un elemento chiave del processo di valutazione dell'attendibilità è la forza delle credenziali di accesso dell'utente, dove l'accesso a tipi specifici di applicazioni è determinato dal modo in cui l'utente ha eseguito l'autenticazione nel sistema. Ad esempio, gli utenti che effettuano l'accesso solo con una password possono accedere solo alle applicazioni che non contengono informazioni sensibili, mentre un utente che ha eseguito l'accesso con un token di sicurezza hardware come secondo fattore può accedere alle applicazioni aziendali più sensibili.

I criteri basati sulla sicurezza delle credenziali sono una funzionalità che consente a un'azienda di abilitare i controlli di accesso in base alla sicurezza delle credenziali utilizzate durante il processo di autenticazione. Sfruttando la forza delle credenziali come ulteriore condizione nei criteri di controllo dell'accesso, le aziende possono applicare controlli di accesso basati sull'utilizzo dei token di sicurezza hardware, la verifica in due passaggi o altre forme di credenziali efficaci.

Panoramica dei criteri di sicurezza delle credenziali

Gestore contesto accesso consente agli amministratori dell'organizzazione Google Cloud di definire il controllo dell'accesso granulare e basato sugli attributi per progetti e risorse in Google Cloud.

I livelli di accesso vengono utilizzati per consentire l'accesso alle risorse in base a informazioni contestuali sulla richiesta. Utilizzando i livelli di accesso, puoi iniziare a organizzare i livelli di fiducia. Ad esempio, puoi creare un livello di accesso denominato High_Level che consentirà le richieste di un piccolo gruppo di individui con privilegi elevati. Puoi anche identificare un gruppo più generale attendibile, ad esempio un intervallo IP da cui consentire le richieste. In tal caso, puoi creare un livello di accesso denominato Medium_Level per consentire tali richieste.

Gestore contesto accesso offre due modi per definire i livelli di accesso: di base e personalizzato. Il controllo di sicurezza delle credenziali attualmente utilizza livelli di accesso personalizzati. Le informazioni sulla sicurezza delle credenziali utilizzate durante l'autenticazione degli utenti vengono acquisite durante la procedura di accesso a Google. Tali informazioni vengono acquisite e archiviate nel servizio di archiviazione delle sessioni di Google.

Il controllo della sicurezza delle credenziali è attualmente supportato per Identity-Aware Proxy, Identity-Aware Proxy per TCP e Google Workspace.

Configurazione del criterio di sicurezza delle credenziali

Puoi utilizzare una definizione del livello di accesso personalizzato di Gestore contesto accesso per impostare i criteri appropriati. I livelli di accesso personalizzati utilizzano espressioni booleane scritte in un sottoinsieme di Common Expression Language (CEL) per testare gli attributi di un client che effettua una richiesta.

In Google Cloud Console, puoi configurare livelli di accesso personalizzati in Modalità avanzata durante la creazione di un livello di accesso. Per creare un livello di accesso personalizzato:

  1. In Google Cloud Console, apri la pagina Gestore contesto accesso.
  2. Se ti viene richiesto, seleziona l'organizzazione.
  3. Nella parte superiore della pagina Gestore contesto accesso, fai clic su Nuovo.
  4. Nel riquadro Nuovo livello di accesso, completa i seguenti passaggi:
    1. Nella casella Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e contenere solo numeri, lettere, trattini bassi e spazi.
    2. Per Crea condizioni in, seleziona Modalità avanzata.
    3. Nella sezione Condizioni, inserisci le espressioni per il tuo livello di accesso personalizzato.La condizione deve restituire un singolo valore booleano. Per esempi e ulteriori informazioni sul supporto del Common Expression Language (CEL) e sui livelli di accesso personalizzati, consulta la specifica del livello di accesso personalizzato.
    4. Fai clic su Salva.

Valori supportati per la sicurezza delle credenziali

Valore Definizione di Google Esempio di livello di accesso personalizzato
pwd Utente autenticato con una password. request.auth.claims.crd_str.pwd == true
push Utente autenticato con una notifica push al dispositivo mobile. request.auth.claims.crd_str.push == true
sms Utente autenticato utilizzando un codice inviato via SMS o tramite telefonata. request.auth.claims.crd_str.sms == true
swk La verifica in due passaggi utilizzava un token software, ad esempio un telefono, come token di sicurezza. request.auth.claims.crd_str.swk == true
hwk La verifica in due passaggi ha utilizzato un token hardware, ad esempio Google Titan Key. request.auth.claims.crd_str.hwk == true
otp Utente autenticato con metodi di password una tantum (Google Authenticator e codici di backup). request.auth.claims.crd_str.otp == true
mfa Utente autenticato con uno dei metodi in questa tabella ad eccezione di pwd. request.auth.claims.crd_str.mfa == true

Ulteriori informazioni sulla verifica in due passaggi

La verifica in due passaggi di Google include una funzione che consente agli utenti di contrassegnare il proprio dispositivo come attendibile ed evitare la necessità di ulteriori verifiche in due passaggi quando accedono di nuovo sullo stesso dispositivo. Quando questa funzionalità è attiva, un utente che si disconnette e accede di nuovo non riceve una verifica in due passaggi al secondo accesso e Google segnala correttamente la sicurezza delle credenziali per il secondo accesso come solo password e non come autenticazione a più fattori, poiché non è stata usata una verifica in due passaggi al secondo accesso.

Se hai applicazioni o flussi di lavoro che dipendono dalla richiesta dell'utente di utilizzare sempre credenziali efficaci, ti consigliamo di disabilitare la funzionalità per i dispositivi attendibili. Per informazioni su come attivare o disattivare la funzionalità dei dispositivi attendibili, vedi Aggiungere o rimuovere computer attendibili. Tieni presente che, se disattivi questa funzionalità, gli utenti dovranno presentare il secondo fattore ogni volta che accedono, anche sui dispositivi più usati. Gli utenti potrebbero dover uscire e accedere di nuovo ai propri dati di accesso più recenti per avere dichiarazioni relative all'autenticazione a più fattori.