配置凭据强度政策

BeyondCorp Enterprise 的主要原则是“根据我们对您和您的设备的了解来授予服务访问权限”。通过查询多个数据源,系统会动态推断授予单个用户或单个设备的访问权限级别。此信任级别随后会用于决定过程。

信任评估过程的一个关键元素是用户登录凭据的强度,其中对特定类型的应用的访问权限取决于用户向系统进行身份验证的方式。例如,仅使用密码登录的用户只能访问不包含任何敏感信息的应用,而使用硬件安全键作为第二重身份验证措施登录的用户可以访问最敏感的企业应用。

基于凭据强度的政策是一项功能,允许企业根据身份验证过程中使用的凭据强度启用访问权限控制。通过将凭据强度用作访问权限控制政策中的另一个条件,企业可以根据使用硬件安全密钥、两步验证或其他形式的安全系数高的凭据实施访问权限控制。

凭据强度政策概览

Access Context Manager 允许 Google Cloud 组织管理员为 Google Cloud 中的项目和资源定义基于特性的细粒度访问权限控制。

访问权限级别用于允许访问资源(根据与请求相关的上下文信息)。借助访问权限级别,您可以开始组织信任层。例如,您可以创建一个名为 High_Level 的访问权限级别,该级别将允许一小部分具有高度特权的用户发出请求。您也可以识别一个更通用的组来信任,例如您允许发出请求的 IP 范围。在这种情况下,您可以创建一个名为 Medium_Level 的访问权限级别来允许这些请求。

Access Context Manager 提供两种定义访问权限级别的方法:基本和自定义。凭据强度检查目前使用自定义访问权限级别。用户身份验证过程中使用的凭据强度的信息会在 Google 登录过程中被系统捕获。系统会捕获这些信息并将其存储在 Google 的会话存储服务中。

目前 Identity-Aware Proxy、Identity-Aware Proxy for TCP 和 Google Workspace 支持凭据强度检查。

配置凭据强度政策

您可以使用 Access Context Manager 自定义访问权限级别定义来设置适当的政策。自定义访问权限级别使用在通用表达式语言 (CEL) 的子集中编写的布尔表达式来测试发出请求的客户端的属性。

在 Cloud Console 中,您可以在创建访问权限级别时在高级模式中配置自定义访问权限级别。如需创建自定义访问权限级别,请完成以下步骤:

  1. 在 Cloud Console 中,打开 Access Context Manager 页面
  2. 如果收到提示,请选择您的组织。
  3. 在 Access Context Manager 页面的顶部,点击新建
  4. 新建访问权限级别窗格中,完成以下步骤:
    1. 访问权限级别标题框中,输入访问权限级别的标题。 标题最多不能超过 50 个字符,以字母开头,并且只能包含数字、字母、下划线和空格。
    2. 对于在以下条件中创建条件,选择高级模式
    3. 条件部分中,输入自定义访问权限级别的表达式。条件必须解析为单个布尔值。有关通用表达式语言 (CEL) 支持和自定义访问权限级别的示例和更多信息,请参阅自定义访问权限级别规范
    4. 点击保存

支持的凭据强度值

Google 定义 自定义访问权限级别示例
pwd 使用密码对用户进行身份验证。 request.auth.claims.crd_str.pwd == true
push 通过向移动设备推送通知对用户进行身份验证。 request.auth.claims.crd_str.push == true
sms 使用通过短信发送的代码或者通过电话告知的代码对用户进行身份验证。 request.auth.claims.crd_str.sms == true
swk 两步验证使用软件键(例如手机)作为安全键。 request.auth.claims.crd_str.swk == true
hwk 两步验证使用硬件键,例如 Google Titan 键。 request.auth.claims.crd_str.hwk == true
otp 使用动态密码方法(Google 身份验证器和备用验证码)对用户进行身份验证。 request.auth.claims.crd_str.otp == true
mfa 使用此表中的任何方法(pwd 除外)对用户进行身份验证。 request.auth.claims.crd_str.mfa == true

关于两步验证的更多信息

Google 两步验证功能可让用户将其设备标记为“受信任”,这样便无需在同一设备上重新登录时执行额外的两步验证。启用此功能后,退出后又重新登录的用户在第二次登录时将不会进行两步验证。Google 会将第二次登录的凭据强度正确报告为“仅密码”,而不是“多重身份验证”,因为第二次登录未使用两步验证。

如果您的应用或工作流依赖于要求用户始终使用安全系数高的凭据,您可能希望停用可信设备功能。如需了解如何启用或停用可信设备功能,请参阅添加或移除可信计算机。请注意,停用该功能后,用户每次登录时都需要提供第二重身份验证,即使在常用设备上也是如此。用户可能需要退出登录并重新登录,才能使其最近一次的登录具有多重身份验证断言。