In diesem Dokument des Google Cloud-Architektur-Frameworks finden Sie Best Practices zum Verwalten von Identität und Zugriff.
Mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie dafür sorgen, dass die richtigen Personen auf die richtigen Ressourcen zugreifen können. IAM berücksichtigt die folgenden Authentifizierungs- und Autorisierungsaspekte:
- Kontoverwaltung, einschließlich Bereitstellung
- Identity Governance
- Authentifizierung
- Zugriffssteuerung (Autorisierung)
- Identitätsföderation
Die Verwaltung von IAM kann schwierig sein, wenn Sie verschiedene Umgebungen haben oder mehrere Identitätsanbieter verwenden. Es ist jedoch wichtig, dass Sie ein System einrichten, das Ihre Geschäftsanforderungen erfüllt und gleichzeitig Risiken minimiert.
Die Empfehlungen in diesem Dokument helfen Ihnen, Ihre aktuellen IAM-Richtlinien und -Verfahren zu prüfen und zu ermitteln, welche Sie möglicherweise für Ihre Arbeitslasten in Google Cloud ändern müssen. Prüfen Sie beispielsweise Folgendes:
- Ob Sie vorhandene Gruppen zur Verwaltung des Zugriffs verwenden können oder ob Sie neue Gruppen erstellen müssen.
- Ihre Authentifizierungsanforderungen (z. B. Multi-Faktor-Authentifizierung (MFA) mit einem Token).
- Die Auswirkungen von Dienstkonten auf Ihre aktuellen Richtlinien
- Wenn Sie Google Cloud für die Notfallwiederherstellung verwenden, müssen Sie eine angemessene Aufgabentrennung beibehalten.
In Google Cloud verwenden Sie Cloud Identity, um Ihre Nutzer und Ressourcen sowie das IAM-Produkt (Identity and Access Management) zu authentifizieren und den Ressourcenzugriff zu bestimmen. Administratoren können den Zugriff auf Organisations-, Ordner-, Projekt- und Ressourcenebene einschränken. Google IAM-Richtlinien legen fest, wer was mit welchen Ressourcen tun darf. Korrekt konfigurierte IAM-Richtlinien tragen zum Schutz Ihrer Umgebung bei, indem sie unerwünschten Zugriff auf Ressourcen verhindern.
Weitere Informationen finden Sie unter Übersicht über die Identitäts- und Zugriffsverwaltung.
Einzelnen Identitätsanbieter verwenden
Viele unserer Kunden haben Nutzerkonten, die von Identitätsanbietern außerhalb von Google Cloud verwaltet und bereitgestellt werden. Google Cloud unterstützt die Föderation mit den meisten Identitätsanbietern und mit lokalen Verzeichnissen wie Active Directory.
Bei den meisten Identitätsanbietern können Sie die Einmalanmeldung (Single Sign-on, SSO) für Ihre Nutzer und Gruppen aktivieren. Für Anwendungen, die Sie in Google Cloud bereitstellen und die Ihren externen Identitätsanbieter verwenden, können Sie Ihren Identitätsanbieter auf Google Cloud erweitern. Weitere Informationen finden Sie unter Referenzarchitekturen und Muster für die Authentifizierung von Unternehmensnutzern in einer Hybridumgebung.
Wenn Sie noch keinen Identitätsanbieter haben, können Sie die Identitäten mit der Cloud Identity Premiumversion oder Google Workspace für Ihre Mitarbeiter verwalten.
Super Admin-Konto schützen
Mit dem Super Admin-Konto (von Google Workspace oder Cloud Identity verwaltet) können Sie Ihre Google Cloud-Organisation erstellen. Dieses Administratorkonto ist daher stark privilegiert. Best Practices für dieses Konto sind:
- Erstellen Sie zu diesem Zweck ein neues Konto; verwenden Sie kein vorhandenes Nutzerkonto.
- Erstellen und schützen Sie Sicherungskonten.
- Aktivieren Sie MFA.
Weitere Informationen finden Sie unter Best Practices für Super Admin-Konten.
Verwendung von Dienstkonten planen
Ein Dienstkonto ist ein Google-Konto, mit dem Anwendungen die Google API eines Dienstes aufrufen können.
Im Gegensatz zu Ihren Nutzerkonten werden Dienstkonten in Google Cloud erstellt und verwaltet. Dienstkonten authentifizieren sich auch anders als Nutzerkonten:
- Damit sich eine in Google Cloud ausgeführte Anwendung über ein Dienstkonto authentifizieren kann, können Sie an die Computing-Ressource, auf der die Anwendung ausgeführt wird, ein Dienstkonto anhängen.
- Damit sich eine in GKE ausgeführte Anwendung über ein Dienstkonto authentifizieren kann, können Sie Workload Identity verwenden.
- Damit Anwendungen, die außerhalb von Google Cloud ausgeführt werden, über ein Dienstkonto authentifiziert werden können, können Sie die Workload Identity-Föderation verwenden.
Wenn Sie Dienstkonten verwenden, müssen Sie eine geeignete Trennung der Aufgaben während des Entwurfprozesses berücksichtigen. Notieren Sie sich die erforderlichen API-Aufrufe und ermitteln Sie die Dienstkonten und die zugehörigen Rollen, die für die API-Aufrufe erforderlich sind. Wenn Sie beispielsweise ein BigQuery-Data-Warehouse einrichten, benötigen Sie wahrscheinlich Identitäten für mindestens die folgenden Prozesse und Dienste:
- Cloud Storage oder Pub/Sub, je nachdem, ob Sie eine Batchdatei bereitstellen oder einen Streamingdienst erstellen.
- Dataflow und Sensitive Data Protection, um sensible Daten zu de-identifizieren.
Weitere Informationen finden Sie unter Best Practices für die Arbeit mit Dienstkonten.
Identitätsprozesse für die Cloud aktualisieren
Mit Identity Governance können Sie den Zugriff, die Risiken und Richtlinienverstöße verfolgen und so Ihre gesetzlichen Anforderungen erfüllen. Für diese Art von Governance benötigen Sie Prozesse und Richtlinien, um Rollen und Berechtigungen für die Zugriffssteuerung gewähren und prüfen zu können. Ihre Prozesse und Richtlinien müssen den Anforderungen Ihrer Umgebungen entsprechen, z. B. Test-, Entwicklungs- und Produktionsumgebung.
Bevor Sie Arbeitslasten in Google Cloud bereitstellen, sollten Sie Ihre aktuellen Identitätsprozesse prüfen und bei Bedarf aktualisieren. Achten Sie darauf, dass Sie die Kontentypen, die Ihre Organisation benötigt, entsprechend planen und Ihre Rollen- und Zugriffsanforderungen gut kennen.
Zur Prüfung von Google IAM-Aktivitäten erstellt Google Cloud die folgenden Audit-Logs:
- Administratoraktivität Dieses Logging kann nicht deaktiviert werden.
- Datenzugriffsaktivität. Dieses Logging muss aktiviert werden.
Wenn es für die Compliance erforderlich ist oder wenn Sie eine Loganalyse einrichten wollen (z. B. mit Ihrem SIEM-System), können Sie die Logs exportieren. Da Logging den Speicherbedarf erhöhen kann, kann es sich auf Ihre Kosten auswirken. Achten Sie darauf, dass Sie nur die erforderlichen Aktionen loggen und geeignete Aufbewahrungspläne festlegen.
SSO und MFA einrichten
Ihr Identitätsanbieter verwaltet die Authentifizierung von Nutzerkonten. Föderierte Identitäten können sich mit SSO bei Google Cloud authentifizieren. Bei privilegierten Konten wie Super Admins sollten Sie MFA konfigurieren. Titan-Sicherheitsschlüssel sind physische Tokens, die Sie für die 2-Faktor-Authentifizierung (2FA) verwenden können, um Phishing-Angriffe zu verhindern.
Cloud Identity unterstützt MFA mithilfe verschiedener Methoden. Weitere Informationen finden Sie unter Einheitliche Multi-Faktor-Authentifizierung für unternehmenseigene Ressourcen erzwingen.
Google Cloud unterstützt die Authentifizierung für Arbeitslastidentitäten mit dem OAuth 2.0-Protokoll oder mit signierten JSON Web Tokens (JWT). Weitere Informationen zur Arbeitslastauthentifizierung finden Sie unter Authentifizierung.
Geringste Berechtigung und Aufgabentrennung implementieren
Sie müssen dafür sorgen, dass die richtigen Personen nur auf die Ressourcen und Dienste zugreifen können, die sie für ihre Arbeit benötigen. Das heißt, Sie sollten dem Prinzip der geringsten Berechtigung folgen. Darüber hinaus muss eine angemessene Aufgabentrennung vorhanden sein.
Eine Überdimensionierung des Nutzerzugriffs kann das Risiko von Insider-Bedrohungen, falsch konfigurierten Ressourcen und fehlender Compliance mit Audits erhöhen. Bei zu wenigen Berechtigungen haben Nutzer möglicherweise keinen Zugriff auf die Ressourcen, die sie für ihre Aufgaben benötigen.
Eine Möglichkeit zur Vermeidung einer Überdimensionierung ist die Verwendung des Just-in-Time-Zugriffs auf Berechtigungen, das heißt, der privilegierte Zugriff wird nur bei Bedarf und nur vorübergehend gewährt.
Beachten Sie, dass beim Erstellen einer Google Cloud-Organisation standardmäßig allen Nutzern in Ihrer Domain die Rollen „Rechnungskontoersteller“ und „Projektersteller“ zugewiesen werden. Bestimmen Sie die Nutzer, die diese Aufgaben übernehmen sollen, und entziehen Sie anderen Nutzern diese Rollen. Weitere Informationen finden Sie unter Organisationen erstellen und verwalten.
Weitere Informationen zur Funktionsweise von Rollen und Berechtigungen in Google Cloud finden Sie in der IAM-Dokumentation unter Übersicht und Informationen zu Rollen. Weitere Informationen zum Erzwingen der geringsten Berechtigung finden Sie unter Geringste Berechtigung mit Rollenempfehlungen erzwingen.
Zugriff prüfen
Verwenden Sie Cloud-Audit-Logs, um die Aktivitäten von privilegierten Konten auf Abweichungen von genehmigten Aktivitäten zu prüfen. Cloud-Audit-Logs loggt die Aktionen, die Mitglieder Ihrer Google Cloud-Organisation in Ihren Google Cloud-Ressourcen durchgeführt haben. Sie können mit verschiedenen Audit-Logtypen in allem Google-Diensten arbeiten. Weitere Informationen finden Sie unter Verwendung von Cloud-Audit-Logs zur Handhabung von Insiderrisiken (Video).
Verwenden Sie IAM Recommender, um die Nutzung zu verfolgen und bei Bedarf Berechtigungen anzupassen. Mit den von IAM-Recommender empfohlenen Rollen können Sie anhand des bisherigen Verhaltens und anderer Kriterien bestimmen, welche Rollen einem Nutzer zugewiesen werden sollen. Weitere Informationen finden Sie unter Best Practices für Rollenempfehlungen.
Mit Access Transparency können Sie den Zugriff auf Ihre Ressourcen durch den Support und die Entwickler von Google prüfen und steuern. Access Transparency zeichnet die von Google-Mitarbeitern ausgeführten Aktionen auf. Verwenden Sie die Zugriffsgenehmigung, die Teil von Access Transparency ist, um bei jedem Zugriff auf Kundeninhalte eine ausdrückliche Genehmigung zu erteilen. Weitere Informationen finden Sie unter Zugriff auf Cloud-Administratoren auf Ihre Daten steuern.
Richtlinienkontrollen automatisieren
Legen Sie nach Möglichkeit programmatisch Berechtigungen fest. Best Practices finden Sie unter Organisationsrichtlinieneinschränkungen. Die Terraform-Skripts für den Blueprint zu Unternehmensgrundlagen befinden sich im Beispiel-Grundlagen-Repository.
Google Cloud umfasst Policy Intelligence. Damit können Sie Ihre Zugriffsberechtigungen automatisch prüfen und aktualisieren. Policy Intelligence umfasst die Tools Recommender, Policy Troubleshooter und Policy Analyzer, mit denen Sie folgende Aufgaben ausführen können:
- Empfehlungen für die Zuweisung von IAM-Rollen geben.
- IAM-Richtlinien überwachen und verhindern, dass sie zu großzügig sind.
- Hilfestellung bei der Behebung von Problemen bei der Zugriffssteuerung erhalten.
Einschränkungen für Ressourcen festlegen
Google IAM konzentriert sich auf Identitäten. Sie können Nutzer autorisieren, auf der Grundlage ihrer Berechtigungen auf bestimmte Ressourcen zuzugreifen. Der Organisationsrichtliniendienst konzentriert sich auf Ressourcen und ermöglicht Ihnen, Einschränkungen für Ressourcen festzulegen, um anzugeben, wie diese konfiguriert werden können. Mit einer Organisationsrichtlinie können Sie beispielsweise Folgendes tun:
- Beschränken der Ressourcenfreigabe auf Grundlage der Domain.
- Nutzung von Dienstkonten einschränken.
- Beschränken des physischen Standorts neu erstellter Ressourcen.
Zusätzlich zur Verwendung von Organisationsrichtlinien für diese Aufgaben können Sie den Zugriff auf Ressourcen mit einer der folgenden Methoden einschränken:
- Verwenden Sie Tags, um den Zugriff auf Ihre Ressourcen zu verwalten, ohne die Zugriffsberechtigungen für jede Ressource zu definieren. Stattdessen fügen Sie das Tag hinzu und legen dann die Zugriffsdefinition für das Tag selbst fest.
- IAM Conditions ermöglichen eine bedingte, attributbasierte Steuerung für den Zugriff auf Ressourcen.
- Implementieren Sie mit VPC Service Controls gestaffelte Sicherheitsebenen, um den Zugriff auf Ressourcen weiter einzuschränken.
Weitere Informationen zur Ressourcenverwaltung finden Sie unter Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone auswählen.
Nächste Schritte
Weitere Informationen zu IAM finden Sie in den folgenden Ressourcen:
Computing- und Containersicherheit implementieren (nächstes Dokument in dieser Reihe)