En este documento del Framework de la arquitectura de Google Cloud, se proporcionan prácticas recomendadas para administrar identidades y accesos.
La práctica de la administración de identidades y accesos (generalmente denominada IAM) te ayuda a garantizar que las personas correctas puedan acceder a los recursos adecuados. IAM aborda los siguientes aspectos de autenticación y autorización:
- Administración de cuentas, incluido el aprovisionamiento
- Administración de identidades
- Authentication
- Control de acceso (autorización)
- Federación de identidades
Administrar IAM puede ser un desafío cuando tienes diferentes entornos o usas varios proveedores de identidad. Sin embargo, es fundamental que configures un sistema que pueda satisfacer los requisitos de tu negocio a la vez que mitiga los riesgos.
Las recomendaciones de este documento te ayudan a revisar tus políticas y procedimientos de IAM actuales y a determinar cuáles podrías modificar para tus cargas de trabajo en Google Cloud. Por ejemplo, debes revisar lo siguiente:
- Si puedes usar grupos existentes para administrar accesos o si necesitas crear otros nuevos.
- Tus requisitos de autenticación (como la autenticación de varios factores (MFA) con un token).
- El impacto de las cuentas de servicio en las políticas actuales
- Si usas Google Cloud para la recuperación ante desastres, manteniendo la separación de obligaciones adecuada.
En Google Cloud, usas Cloud Identity para autenticar a tus usuarios y recursos, y el producto Identity and Access Management (IAM) de Google para determinar el acceso a los recursos. Los administradores pueden restringir el acceso a nivel de organización, carpeta, proyecto y recurso. Las políticas de Google IAM determinan quién puede hacer qué en qué recursos. Las políticas de IAM configuradas de forma correcta ayudan a proteger tu entorno, ya que evitan el acceso no autorizado a los recursos.
Si quieres obtener más información, consulta la Descripción general de la administración de identidades y accesos.
Usa un solo proveedor de identidad
Muchos de nuestros clientes tienen cuentas de usuario administradas y aprovisionadas por proveedores de identidad fuera de Google Cloud. Google Cloud admite la federación con la mayoría de los proveedores de identidad y con directorios locales, como Active Directory.
La mayoría de los proveedores de identidad te permite habilitar el inicio de sesión único (SSO) para tus usuarios y grupos. Para las aplicaciones que implementas en Google Cloud y que usan tu proveedor de identidad externo, puedes extender tu proveedor de identidad a Google Cloud. Si deseas obtener más información, consulta Arquitecturas de referencia y Patrones para autenticar usuarios corporativos en un entorno híbrido.
Si no tienes un proveedor de identidad existente, puedes usar Cloud Identity Premium o Google Workspace para administrar identidades para los empleados.
Protege la cuenta de administrador avanzado
La cuenta de administrador avanzado (administrada por Google Workspace o Cloud Identity) te permite crear tu organización de Google Cloud. Por lo tanto, esta cuenta de administrador tiene muchos privilegios. Estas son algunas de las prácticas recomendadas para esta cuenta:
- Crear una cuenta nueva para este fin, no uses una cuenta de usuario existente.
- Crear y proteger cuentas de copia de seguridad.
- Habilitar la MFA.
Para obtener más información, consulta las Prácticas recomendadas para cuentas de administrador avanzado.
Planifica el uso de las cuentas de servicio
Una cuenta de servicio es una Cuenta de Google que las aplicaciones pueden usar para llamar a la API de Google de un servicio.
A diferencia de las cuentas de usuario, las cuentas de servicio se crean y administran en Google Cloud. Las cuentas de servicio también se autentican de manera diferente que las cuentas de usuario:
- Para permitir que una aplicación que se ejecuta en Google Cloud se autentique con una cuenta de servicio, puedes conectar una cuenta de servicio al recurso de procesamiento en el que se ejecuta la aplicación.
- Para permitir que una aplicación que se ejecuta en GKE se autentique con una cuenta de servicio, puedes usar Workload Identity.
- Para permitir que las aplicaciones que se ejecutan fuera de Google Cloud se autentiquen con una cuenta de servicio, puedes usar la Federación de Workload Identity.
Cuando usas cuentas de servicio, debes considerar una división de tareas adecuada durante el proceso de diseño. Ten en cuenta las llamadas a la API que debes realizar y determina las cuentas de servicio y los roles asociados que requieren estas llamadas. Por ejemplo, si configuras un almacén de datos de BigQuery, es probable que necesites identidades para al menos los siguientes procesos y servicios:
- Cloud Storage o Pub/Sub, según si proporcionas un archivo por lotes o creas un servicio de transmisión.
- Dataflow y Sensitive Data Protection para desidentificar datos sensibles.
Si deseas obtener más información, consulta Prácticas recomendadas para trabajar con cuentas de servicio.
Actualiza los procesos de identidad para la nube
La administración de identidades te permite hacer un seguimiento del acceso, los riesgos y los incumplimientos de políticas para que puedas cumplir con tus requisitos normativos. Esta administración requiere que tengas procesos y políticas implementados para que puedas otorgar roles y permisos de control de acceso a los usuarios y auditarlos. Los procesos y las políticas deben reflejar los requisitos de tus entornos, por ejemplo, pruebas, desarrollo y producción.
Antes de implementar cargas de trabajo en Google Cloud, revisa tus procesos de identidad actuales y actualízalos si corresponde. Asegúrate de planificar de forma adecuada los tipos de cuentas que tu organización necesita y comprender los roles y accesos necesarios.
Para ayudarte a auditar las actividades de Google IAM, Google Cloud crea registros de auditoría que incluyen lo siguiente:
- Actividad del administrador. No se puede inhabilitar este registro.
- Actividad de acceso a los datos. Debes habilitar este registro.
Si es necesario para fines de cumplimiento o si deseas configurar el análisis de registros (por ejemplo, con tu sistema SIEM), puedes exportar los registros. Debido a que los registros pueden aumentar tus requisitos de almacenamiento, pueden afectar tus costos. Asegúrate de registrar solo las acciones que necesitas y establece los programas de retención adecuados.
Configura el SSO y la MFA
Tu proveedor de identidad administra la autenticación de la cuenta de usuario. Las identidades federadas pueden autenticarse en Google Cloud mediante el SSO. Para las cuentas con privilegios, como los administradores avanzados, debes configurar la MFA. Las llaves de seguridad Titan son tokens físicos que puedes usar para la autenticación de dos factores (2FA) a fin de evitar ataques de suplantación de identidad (phishing).
Cloud Identity admite la MFA mediante varios métodos. Si deseas obtener más información, consulta Aplica MFA uniforme a recursos de empresas.
Google Cloud admite la autenticación para identidades de carga de trabajo mediante el protocolo OAuth 2.0 o tokens web JSON (JWT) firmados. Para obtener más información sobre la autenticación de la carga de trabajo, consulta Descripción general de la autenticación.
Implementa los privilegios mínimos y la separación de obligaciones
Debes asegurarte de que las personas correctas obtengan acceso solo a los recursos y servicios que necesitan para ejecutar sus trabajos. Es decir, debes seguir el principio de privilegio mínimo. Además, debes asegurarte de que haya una separación de obligaciones adecuada.
El aprovisionamiento excesivo de acceso a los usuarios puede aumentar el riesgo de amenazas de usuarios con información privilegiada, recursos mal configurados e incumplimiento de las auditorías. El aprovisionamiento de permisos insuficientes pueden impedir que los usuarios accedan a los recursos que necesitan para completar sus tareas.
Una forma de evitar el aprovisionamiento excesivo es implementar acceso privilegiado justo a tiempo, es decir, proporcionar acceso privilegiado solo cuando sea necesario y solo otorgarle acceso de forma temporal.
Ten en cuenta que, cuando se crea una organización de Google Cloud, a todos los usuarios de tu dominio se les otorgan los roles de creador de cuentas de facturación y creador de proyectos de forma predeterminada. Identifica a los usuarios que realizarán estas tareas y revoca estos roles para otros usuarios. Para obtener más información, consulta Crea y administra organizaciones.
Para obtener más información sobre cómo funcionan las funciones y los permisos en Google Cloud, consulta Descripción general y Información sobre las funciones en la documentación de IAM. Para obtener más información sobre la aplicación del privilegio mínimo, consulta Aplica el privilegio mínimo con recomendaciones de roles .
Audita el acceso
Para supervisar las actividades de las cuentas privilegiadas a fin de detectar desviaciones de las condiciones aprobadas, usa los Registros de auditoría de Cloud. Los Registros de auditoría de Cloud registran las acciones que los miembros de tu organización de Google Cloud realizaron en los recursos de Google Cloud. Puedes trabajar con varios tipos de registro de auditoría en los servicios de Google. Si quieres obtener más información, consulta Usa los Registros de auditoría de Cloud para ayudar a administrar el riesgo de que existan usuarios con información privilegiada (video).
Usa el recomendador de IAM para realizar un seguimiento del uso y ajustar los permisos cuando corresponda. Los roles que recomienda el recomendador de IAM pueden ayudarte a determinar qué roles otorgar a un usuario según su comportamiento anterior y otros criterios. Si deseas obtener más información, consulta Prácticas recomendadas para las recomendaciones de roles.
Para auditar y controlar el acceso a tus recursos por parte del personal de ingeniería y de Atención al cliente de Google, puedes usar Transparencia de acceso. Transparencia de acceso registra las acciones que realizan los empleados de Google. Usa la aprobación de acceso, que forma parte de Transparencia de acceso, para otorgar aprobación explícita cada vez que se accede al contenido del cliente. Para obtener más información, consulta Controla el acceso de los administradores de la nube a tus datos.
Automatiza tus controles de políticas
Establece permisos de acceso de manera programática siempre que puedas. Para obtener prácticas recomendadas, consulta Restricciones de políticas de la organización. Las secuencias de comandos de Terraform para el plano de bases empresariales se encuentran en el repositorio de bases de ejemplo.
Google Cloud incluye Policy Intelligence, que te permite revisar y actualizar automáticamente tus permisos de acceso. Policy Intelligence incluye las herramientas Recomendador, Solucionador de problemas de políticas y Analizador de políticas, que hacen lo siguiente:
- Proporcionan recomendaciones para la asignación de roles de IAM.
- Supervisan y ayudan a evitar políticas de IAM demasiado permisivas.
- Ayudan a solucionar problemas relacionados con el control de acceso.
Configura restricciones en los recursos
IAM de Google se enfoca en quién y te permite autorizar quién puede actuar sobre recursos específicos en función de los permisos. El Servicio de políticas de la organización se enfoca en qué y te permite establecer restricciones en los recursos para especificar cómo se pueden configurar. Por ejemplo, puedes usar una política de la organización para hacer lo siguiente:
- Limitar el uso compartido de recursos según el dominio.
- Limitar el uso de cuentas de servicio.
- Restringir la ubicación física de los recursos recién creados.
Además de usar políticas de la organización para estas tareas, puedes restringir el acceso a los recursos mediante uno de los siguientes métodos:
- Usa etiquetas para administrar el acceso a tus recursos sin definir los permisos de acceso en cada recurso. En su lugar, debes agregar la etiqueta y, luego, configurar la definición de acceso para la etiqueta.
- Usa las condiciones de IAM para el control condicional basado en atributos del acceso a los recursos.
- Implementa una defensa en profundidad mediante los Controles del servicio de VPC para restringir aún más el acceso a los recursos.
Para obtener más información sobre la administración de recursos, consulta Administración de recursos.
¿Qué sigue?
Obtén más información sobre IAM con los siguientes recursos:
Implementa la seguridad de procesamiento y contenedores (el siguiente documento de esta serie)
Descripción general de la administración de identidades y accesos