Um princípio fundamental do BeyondCorp Enterprise é que o "acesso aos serviços é concedido com base no que sabemos de você e do seu dispositivo". O nível de acesso concedido a um único usuário ou a um único dispositivo é inferido dinamicamente por meio da interrogação de várias fontes de dados. Esse nível de confiança pode ser usado como parte do processo de decisão.
Um elemento importante do processo de avaliação da confiança é a força das credenciais de login do usuário, em que o acesso a tipos específicos de aplicativos é determinado por como o usuário faz a autenticação no sistema. Por exemplo, um usuário conectado apenas com uma senha pode acessar aplicativos que não contenham informações confidenciais, enquanto um usuário conectado com uma chave de segurança de hardware como segundo fator pode acessar informações mais confidenciais. aplicativos empresariais.
As políticas com base na força da credencial são um recurso que permite a uma empresa ativar controles de acesso com base na força da credencial usada durante o processo de autenticação. Ao usar a força da credencial como outra condição nas políticas de controle de acesso, as empresas podem aplicar controles de acesso com base no uso de chaves de segurança de hardware, verificação em duas etapas ou outras formas de credenciais fortes.
Visão geral da política de força de credenciais
O Access Context Manager permite que os administradores da organização do Google Cloud definam um controle de acesso refinado e baseado em atributos para projetos e recursos no Google Cloud.
Os níveis de acesso são usados para permitir o acesso a recursos com base em informações contextuais sobre a solicitação. Usando níveis de acesso, é possível começar a organizar níveis de confiança. Por exemplo, é possível criar um nível de acesso chamado High_Level que permitirá solicitações de um pequeno grupo de indivíduos com privilégios altos. Também é possível identificar um grupo mais geral para confiar, como um intervalo de IP de onde você quer permitir solicitações. Nesse caso, você pode criar um nível de acesso chamado Medium_Level para permitir essas solicitações.
O Access Context Manager oferece duas maneiras de definir níveis de acesso: básico e personalizado. No momento, a verificação de intensidade das credenciais usa níveis de acesso personalizados. As informações sobre o nível de credencial usado durante a autenticação do usuário são capturadas durante o processo de login do Google. Essas informações são capturadas e armazenadas no serviço de armazenamento de sessões do Google.
No momento, a verificação de força de credenciais é compatível com o Identity-Aware Proxy, o Identity-Aware Proxy para TCP e o Google Workspace.
Como configurar a política de força de credenciais
Use uma definição de nível de acesso personalizado do Access Context Manager para definir as políticas apropriadas. Os níveis de acesso personalizados usam expressões booleanas escritas em um subconjunto de Common Expression Language (CEL, na sigla em inglês) para testar os atributos de um cliente que faz uma solicitação.
No console do Google Cloud, é possível configurar níveis de acesso personalizados no Modo avançado ao criar um nível de acesso. Para criar um nível de acesso personalizado, siga estas etapas:
- No console do Google Cloud, abra a página do Access Context Manager.
- Se solicitado, selecione a organização.
- Na parte superior da página do Access Context Manager, clique em Novo.
- No painel Novo nível de acesso, conclua as seguintes etapas:
- Na caixa Título do nível de acesso, digite um título para o nível de acesso. O título precisa ter no máximo 50 caracteres, começar com uma letra e pode conter apenas números, letras, sublinhados e espaços.
- Ao lado de Criar condições em, selecione Modo avançado.
- Na seção Condições, insira as expressões do seu nível de acesso personalizado. A condição precisa resolver com um único valor booleano. Para ver exemplos e mais informações sobre o suporte à Common Expression Language (CEL) e os níveis de acesso personalizados, consulte a Especificação do nível de acesso personalizado.
- Clique em Save.
Valores de força de credencial compatíveis
| Valor | Definição do Google | Exemplo de nível de acesso personalizado |
|---|---|---|
pwd |
Usuário autenticado com uma senha. | request.auth.claims.crd_str.pwd == true |
push |
Usuário autenticado com uma notificação push para o dispositivo móvel. | request.auth.claims.crd_str.push == true |
sms |
Usuário autenticado usando um código enviado para SMS ou por chamada telefônica. | request.auth.claims.crd_str.sms == true |
swk |
A verificação em duas etapas usou uma chave de software, como um smartphone, como uma chave de segurança. | request.auth.claims.crd_str.swk == true |
hwk |
A verificação em duas etapas usou uma chave de hardware, como a chave Titan do Google. | request.auth.claims.crd_str.hwk == true |
otp |
Usuário autenticado com métodos de senha única (Google Authenticator e códigos alternativos). | request.auth.claims.crd_str.otp == true |
mfa |
Usuário autenticado com qualquer um dos métodos desta tabela, exceto pwd. |
request.auth.claims.crd_str.mfa == true |
Informações adicionais sobre a verificação em duas etapas
A verificação em duas etapas do Google tem um recurso que permite aos usuários marcar o dispositivo como confiável e evitar a necessidade de desafios adicionais em duas etapas ao fazer login novamente no mesmo dispositivo. Quando esse recurso está ativado, um usuário que sai e faz login novamente não recebe um desafio de duas etapas no segundo login, e o Google informará corretamente a força da credencial do segundo login como "somente senha" e não a autenticação multifator, já que um desafio de duas etapas não foi usado no segundo login.
Se você tiver aplicativos ou fluxos de trabalho que exijam que o usuário sempre use credenciais fortes, recomendamos desativar o recurso de dispositivo confiável. Para saber como ativar ou desativar o recurso "Dispositivo confiável", consulte Adicionar ou remover computadores confiáveis. Com a desativação do recurso, os usuários precisarão apresentar o segundo fator sempre que fizerem login, mesmo em dispositivos usados com frequência. Talvez seja necessário sair e fazer login novamente no login mais recente para que a autenticação multifator seja usada.