Gestione di identità e accessi

Last reviewed 2023-08-08 UTC

Questo documento del Framework dell'architettura Google Cloud fornisce best practice per la gestione di identità e accessi.

La pratica della gestione di identità e accessi (generalmente IAM) assicura che le persone giuste possano accedere alle risorse giuste. IAM affronta i seguenti aspetti di autenticazione e autorizzazione:

  • Gestione dell'account, compreso il provisioning
  • Governance delle identità
  • Autenticazione
  • Controllo dell'accesso (autorizzazione)
  • Federazione delle identità

La gestione di IAM può essere complessa quando hai ambienti diversi o utilizzi più provider di identità. Tuttavia, è fondamentale configurare un sistema in grado di soddisfare i requisiti aziendali riducendo al contempo i rischi.

I consigli riportati in questo documento ti aiutano a esaminare i criteri e le procedure IAM attuali e a determinare quali potrebbe essere necessario modificare per i tuoi carichi di lavoro in Google Cloud. Ad esempio, devi esaminare quanto segue:

  • Se puoi utilizzare i gruppi esistenti per gestire l'accesso o se devi crearne di nuovi.
  • I tuoi requisiti di autenticazione (ad esempio l'autenticazione a più fattori (MFA) con un token).
  • L'impatto degli account di servizio sui criteri attuali.
  • Se utilizzi Google Cloud per il ripristino di emergenza, mantieni una separazione appropriata dei compiti.

All'interno di Google Cloud, utilizzi Cloud Identity per autenticare gli utenti e le risorse e l'infrastruttura Gestione di identità e accessi (IAM) prodotto per determinare l'accesso alle risorse. Gli amministratori possono limitare l'accesso a livello di organizzazione, cartella, progetto e risorsa. I criteri IAM di Google determinano chi può cosa su quali risorse. I criteri IAM configurati correttamente contribuiscono a proteggere dell'ambiente impedendo l'accesso non autorizzato alle risorse.

Per ulteriori informazioni, consulta la Panoramica della gestione di identità e accessi.

Utilizzare un singolo provider di identità.

Molti dei nostri clienti hanno account utente gestiti e di cui viene eseguito il provisioning da fornitori di servizi di identità esterni a Google Cloud. Google Cloud supporta la federazione con la maggior parte dei provider di identità e con le directory on-premise come Active Directory.

La maggior parte dei provider di identità consente di abilitare il Single Sign-On (SSO) per gli utenti e gruppi. Per le applicazioni di cui esegui il deployment su Google Cloud e che utilizzano il tuo provider di identità esterno, puoi estendere il provider di identità a Google Cloud. Per ulteriori informazioni, consulta Architetture di riferimento e Modelli per l'autenticazione degli utenti aziendali in un ambiente ibrido.

Se non hai un provider di identità esistente, puoi utilizzare Cloud Identity Premium o Google Workspace per gestire le identità dei tuoi dipendenti.

Proteggi l'account super amministratore

L'account super amministratore (gestito da Google Workspace o Cloud Identity) ti consente di creare organizzazione Google Cloud. Questo account amministratore è quindi altamente privilegiato. Best practice in tal senso includono quanto segue:

  • Creare un nuovo account per questo scopo. non utilizzano un account utente esistente.
  • Crea e proteggi gli account di backup.
  • Attiva MFA.

Per ulteriori informazioni, vedi Best practice per gli account super amministratore.

Pianifica l'utilizzo degli account di servizio

Un account di servizio è un Account Google che le applicazioni possono utilizzare per chiamare l'API Google di un servizio.

A differenza degli account utente, gli account di servizio vengono creati e gestiti all'interno di Google Cloud. Inoltre, gli account di servizio vengono autenticati in modo diverso rispetto agli account utente:

  • Per consentire a un'applicazione in esecuzione su Google Cloud di autenticarsi utilizzando un account di servizio, puoi collegare un account di servizio alla risorsa di calcolo su cui viene eseguita l'applicazione.
  • Per consentire a un'applicazione in esecuzione su GKE di autenticarsi utilizzando un account di servizio, puoi utilizzare Workload Identity.
  • Per consentire l'autenticazione delle applicazioni in esecuzione al di fuori di Google Cloud tramite una account di servizio, puoi utilizzare la federazione delle identità per i carichi di lavoro

Quando utilizzi account di servizio, devi prendere in considerazione un'adeguata separazione delle durante il processo di progettazione. Prendi nota delle chiamate API che devi effettuare e determina gli account di servizio e i ruoli associati richiesti dalle chiamate API. Ad esempio, se stai configurando un data warehouse BigQuery, probabilmente avranno bisogno di identità per almeno i seguenti processi e servizi:

  • Cloud Storage o Pub/Sub, a seconda che tu stia fornendo un file batch o creando un servizio di flussi di dati.
  • Dataflow e Sensitive Data Protection per anonimizzare i dati sensibili.

Per ulteriori informazioni, vedi Best practice per l'utilizzo degli account di servizio.

Aggiorna le procedure di identità per il cloud

La governance delle identità consente di tenere traccia degli accessi, dei rischi e delle violazioni dei criteri in modo che puoi supportare i tuoi requisiti normativi. Questa governance richiede disporre di processi e criteri in modo da poter concedere e controllare l'accesso controllare ruoli e autorizzazioni agli utenti. Le procedure e i criteri devono riflettere i requisiti dei tuoi ambienti, ad esempio test, sviluppo e produzione.

Prima di eseguire il deployment dei carichi di lavoro su Google Cloud, rivedi le tue attuali procedure di identità e, se opportuno, aggiornale. Assicurati di pianificare adeguatamente i tipi di account di cui ha bisogno la tua organizzazione e di avere una buona conoscenza dei relativi requisiti di ruolo e accesso.

Per aiutarti a controllare le attività IAM di Google, Google Cloud crea log di controllo, che includono:

  • Attività dell'amministratore. Questo logging non può essere disattivato.
  • Attività di accesso ai dati. Devi abilitare questo logging.

Se necessario per motivi di conformità o se vuoi configurare l'analisi dei log (ad esempio con il tuo sistema SIEM), puoi esportare i log. Poiché i log possono aumentare i requisiti di spazio di archiviazione, potrebbero influire sui costi. Assicurati di registrare solo le azioni necessarie e imposta le pianificazioni di conservazione appropriate.

Configurare SSO e MFA.

Il tuo provider di identità gestisce l'autenticazione degli account utente. Confederato le identità possono eseguire l'autenticazione in Google Cloud mediante SSO. Per privilegi come i super amministratori, devi configurare la MFA. I token di sicurezza Titan sono token fisici che puoi utilizzare per l'autenticazione a due fattori (2FA) per contribuire a difenderti dagli attacchi di phishing.

Cloud Identity supporta l'MFA utilizzando vari metodi. Per ulteriori informazioni, consulta Applicare in modo uniforme l'MFA alle risorse di proprietà della società.

Google Cloud supporta l'autenticazione per le identità dei carichi di lavoro utilizzando il protocollo OAuth 2.0 o token web JSON (JWT) firmati. Per ulteriori informazioni sull'autenticazione dei carichi di lavoro, consulta Panoramica dell'autenticazione.

Implementare il privilegio minimo e la separazione dei compiti.

Devi assicurarti che le persone giuste accedano solo alle risorse e ai servizi di cui hanno bisogno per svolgere il loro lavoro. In altre parole, devi seguire il principio del privilegio minimo. Inoltre, devi assicurarti che esista una separazione delle responsabilità appropriata.

L'overprovisioning dell'accesso degli utenti può aumentare il rischio di minacce interne. risorse non configurate correttamente e mancata conformità ai controlli. Le autorizzazioni di sottoprovisioning possono impedire agli utenti di accedere alle risorse di cui hanno bisogno per completare le proprie attività.

Un modo per evitare l'overprovisioning è implementare l'accesso con privilegi just-in-time, cioè fornire accesso privilegiato solo se necessario e concedergli temporaneamente.

Tieni presente che, quando viene creata un'organizzazione Google Cloud, a tutti gli utenti del tuo dominio vengono assegnati per impostazione predefinita i ruoli di creator dell'account di fatturazione e del progetto. Identificare gli utenti che eseguiranno questi compiti e revocarli ruoli di altri utenti. Per scoprire di più, consulta la pagina Creare e gestire le organizzazioni.

Per ulteriori informazioni su come funzionano i ruoli e le autorizzazioni per Google Cloud, consulta Panoramica e Informazioni sui ruoli nella documentazione di IAM. Per ulteriori informazioni sull'applicazione forzata il privilegio minimo, vedi Imporre il privilegio minimo con i suggerimenti sui ruoli.

Controllo dell'accesso

Monitorare le attività degli account con privilegi per verificare le deviazioni dagli condizioni, utilizza Audit log di Cloud. I log di controllo cloud registrano le azioni intraprese dai membri della tua organizzazione Google Cloud nelle tue risorse Google Cloud. Puoi collaborare con vari tipi di log di controllo attraverso Servizi Google. Per saperne di più, consulta Utilizzare Cloud Audit Logs per gestire i rischi legati agli addetti ai lavori (video).

Utilizza le funzionalità di Motore per suggerimenti IAM per monitorare l'utilizzo e regolare le autorizzazioni, ove appropriato. I ruoli consigliati dal motore per suggerimenti IAM può aiutarti a determinare quali ruoli da concedere a un utente in base al suo comportamento passato e ad altri criteri. Per maggiori informazioni, consulta le best practice per i suggerimenti sui ruoli.

Per controllare e verificare l'accesso alle tue risorse da parte del personale di assistenza e tecnico di Google, puoi utilizzare la funzionalità Access Transparency. Access Transparency registra le azioni intraprese dal personale di Google. Utilizza Access Approval, che fa parte di Access Transparency, per concedere l'approvazione esplicita ogni volta che viene eseguito l'accesso ai contenuti del cliente. Per ulteriori informazioni, vedi Controllare l'accesso dei tuoi dati da parte degli amministratori cloud.

Automatizza i controlli dei criteri

Imposta le autorizzazioni di accesso in modo programmatico, se possibile. Per le best practice, consulta Vincoli dei criteri dell'organizzazione. Gli script Terraform per il progetto di base aziendale sono in repository di elementi di base di esempio.

Google Cloud include Policy Intelligence che ti consente di rivedere e aggiornare automaticamente le autorizzazioni di accesso. Policy Intelligence include Motore per suggerimenti, Strumento per la risoluzione dei problemi relativi ai criteri e Analizzatore criteri che eseguono le seguenti operazioni:

  • Fornisci suggerimenti per l'assegnazione dei ruoli IAM.
  • Monitora e contribuisci a prevenire i criteri IAM eccessivamente permissivi.
  • Offre assistenza nella risoluzione dei problemi relativi al controllo dell'accesso.

Imposta limitazioni sulle risorse

Google IAM si concentra su chi e ti consente autorizza che possono agire su risorse specifiche in base alle autorizzazioni. La Servizio Criteri dell'organizzazione si concentra su cosa e consente di impostare restrizioni sulle risorse per specificare configurarli. Ad esempio, puoi usare un criterio dell'organizzazione per le seguenti:

Oltre a utilizzare i criteri dell'organizzazione per queste attività, puoi limitare l'accesso alle risorse utilizzando uno dei seguenti metodi:

  • Utilizza i tag per gestire l'accesso alle risorse senza definire le autorizzazioni di accesso su ogni risorsa. Aggiungi il tag e poi imposta l'accesso del tag stesso.
  • Utilizza le condizioni IAM per il controllo condizionale dell'accesso alle risorse basato su attributi.
  • Implementare la difesa in profondità utilizzando Controlli di servizio VPC per limitare ulteriormente l'accesso alle risorse.

Per ulteriori informazioni sulla gestione delle risorse, consulta Decidere una gerarchia delle risorse per la tua zona di destinazione Google Cloud.

Passaggi successivi

Scopri di più su IAM con le seguenti risorse: