Neste documento, você encontra as práticas recomendadas para gerenciar identidade e acesso no Framework da arquitetura do Google Cloud.
A prática de identificar e gerenciar o acesso (também conhecido como IAM) ajuda a garantir que as pessoas certas consigam acessar os recursos certos. O IAM aborda os seguintes aspectos da autenticação e autorização:
- Gerenciamento de conta, incluindo o provisionamento
- Governança da identidade
- Autenticação
- Controle de acesso (autorização)
- Federação da identidade
O gerenciamento de IAM pode ser um desafio quando você tem ambientes diferentes ou usa vários provedores de identidade. No entanto, é fundamental configurar um sistema que atenda aos requisitos da sua empresa e reduza os riscos.
As recomendações neste documento ajudam você a revisar as políticas e os procedimentos atuais do IAM e determinar quais deles podem ser necessários para modificar suas cargas de trabalho no Google Cloud. Por exemplo, revise o seguinte:
- Se você pode usar grupos existentes para gerenciar o acesso ou criar novos grupos.
- Seus requisitos de autenticação (como autenticação multifator (MFA)) usando um token.
- O impacto das contas de serviço nas suas políticas atuais.
- Se você estiver usando o Google Cloud para recuperação de desastres, manter a separação apropriada de tarefas.
No Google Cloud, você usa o Cloud Identity para autenticar seus usuários e recursos e o produto de gerenciamento de identidade e acesso (IAM) do Google para ditar o acesso a recursos. Os administradores podem restringir o acesso nos níveis da organização, da pasta, do projeto e do recurso. As políticas do Google IAM determinam quem pode fazer o que e em quais recursos. As políticas de IAM configuradas corretamente ajudam a proteger o ambiente impedindo o acesso não autorizado a recursos.
Para mais informações, consulte Visão geral do gerenciamento de identidade e acesso.
Usar um único provedor de identidade
Muitos de nossos clientes têm contas de usuário gerenciadas e provisionadas por provedores de identidade fora do Google Cloud. O Google Cloud é compatível com federação na maioria dos provedores de identidade e com diretórios no local, como o Active Directory.
A maioria dos provedores de identidade permite que você ative o Logon único (SSO) para seus usuários e grupos. Para aplicativos que você implanta no Google Cloud e que usam seu provedor de identidade externo, é possível estender seu provedor de identidade para o Google Cloud. Para mais informações, consulte Arquiteturas de referência e Padrões para autenticação de usuários corporativos em um ambiente híbrido.
Se você não tiver um provedor de identidade atual, poderá usar o Cloud Identity Premium ou o Google Workspace para gerenciar identidades. para seus funcionários.
Proteger a conta de superadministrador
A conta de superadministrador (gerenciada pelo Google Workspace ou pelo Cloud Identity) permite que você crie sua organização do Google Cloud. Portanto, esta conta de administrador é altamente privilegiada. As práticas recomendadas para esta conta incluem o seguinte:
- Criar uma nova conta para essa finalidade não usem uma conta de usuário existente.
- Crie e proteja as contas de backup.
- Ative a MFA.
Para mais informações, consulte Práticas recomendadas para contas de superadministrador.
Planejar o uso de contas de serviço
Uma conta de serviço é uma Conta do Google que os aplicativos podem usar para chamar a API Google de um serviço.
Ao contrário das suas contas de usuário, as contas de serviço são criadas e gerenciadas no Google Cloud. As contas de serviço também são autenticadas de maneira diferente das contas de usuário:
- Para permitir que um aplicativo em execução no Google Cloud seja autenticado usando uma conta de serviço, é possível anexar uma conta de serviço ao recurso de computação em que o aplicativo é executado.
- Para permitir que um aplicativo em execução no GKE seja autenticado com uma conta de serviço, é possível usar a Identidade da carga de trabalho.
- Para permitir que aplicativos executados fora do Google Cloud sejam autenticados usando uma conta de serviço, é possível usar a Federação de Identidade da carga de trabalho
Ao usar contas de serviço, considere uma segregação adequada de tarefas durante o processo de design. Observe as chamadas de API que você precisa fazer e determine as contas de serviço e os papéis associados que as chamadas de API exigem. Por exemplo, se você estiver configurando um armazenamento de dados do BigQuery, provavelmente precisará de identidades para pelo menos os seguintes processos e serviços:
- Cloud Storage ou Pub/Sub, dependendo se você está fornecendo um arquivo em lote ou criando um serviço de streaming.
- Dataflow e Proteção de Dados Sensíveis para desidentificar dados confidenciais.
Para mais informações, consulte Práticas recomendadas para trabalhar com contas de serviço.
Atualizar processos de identidade para a nuvem
A governança de identidade permite rastrear acesso, riscos e violações da política para que você atenda aos requisitos regulamentares. Essa governança exige que você tenha processos e políticas em vigor para poder conceder e auditar papéis e permissões de controle de acesso aos usuários. Seus processos e políticas precisam refletir os requisitos dos seus ambientes, por exemplo, teste, desenvolvimento e produção.
Antes de implantar cargas de trabalho no Google Cloud, revise os processos atuais de identidade e atualize-os, se apropriado. Certifique-se de planejar adequadamente os tipos de conta necessários para sua organização e entender bem os papéis e requisitos de acesso dela.
Para ajudar você a auditar as atividades do IAM do Google, o Google Cloud cria registros de auditoria, que incluem o seguinte:
- Atividade do administrador. Não é possível desativar a geração de registros.
- Atividade de acesso a dados. É preciso ativar essa geração de registros.
Se necessário, para fins de compliance ou se você quiser configurar a análise de registros (por exemplo, com o sistema SIEM), é possível exportar os registros. Como os registros podem aumentar os requisitos de armazenamento, eles podem afetar seus custos. Registre apenas as ações necessárias e defina programações de retenção adequadas.
Configurar o SSO e o MFA
Seu provedor de identidade gerencia a autenticação da conta de usuário. As identidades federadas podem ser autenticadas no Google Cloud usando o SSO. Para contas com privilégios, como superadministradores, configure a MFA. As chaves de segurança Titan são tokens físicos que podem ser usados na autenticação de dois fatores (2FA, na sigla em inglês) para evitar ataques de phishing.
O Cloud Identity é compatível com a MFA usando vários métodos. Para mais informações, consulte Aplicar MFA uniforme aos recursos da empresa.
O Google Cloud é compatível com a autenticação de identidades de carga de trabalho usando o protocolo OAuth 2.0 ou os JSON Web Tokens (JWT) assinados. Para mais informações sobre a autenticação de carga de trabalho, consulte Visão geral da autenticação.
Implementar o menor privilégio e a separação de tarefa
É preciso garantir que as pessoas certas tenham acesso apenas aos recursos e serviços necessários para executar os jobs. Ou seja, siga o princípio do menor privilégio. Além disso, é preciso garantir uma separação apropriada de tarefas.
O provisionamento excessivo do acesso do usuário pode aumentar o risco de ameaças internas, recursos configurados incorretamente e não conformidade com as auditorias. O subprovisionamento de permissões pode impedir que os usuários acessem os recursos necessários para concluir as tarefas.
Uma forma de evitar o superprovisionamento é implementar acesso privilegiado na hora certa, ou seja, fornecer acesso privilegiado somente conforme necessário e conceder esse privilégio temporariamente.
Quando uma organização do Google Cloud é criada, todos os usuários no domínio recebem os papéis Criador do projeto e Criador da conta de faturamento por padrão. Identifique os usuários que realizarão essas tarefas e revogue esses papéis de outros usuários. Para saber mais, consulte Como criar e gerenciar organizações.
Para mais informações sobre como os papéis e as permissões funcionam no Google Cloud, consulte Visão geral e Noções básicas sobre papéis na documentação do IAM. Para mais informações sobre como aplicar o privilégio mínimo, consulte Aplicar o menor privilégio com recomendações de papel.
Acesso à auditoria
Para monitorar as atividades de contas privilegiadas para desvios de condições aprovadas, use os registros de auditoria do Cloud. Os registros de auditoria do Cloud gravam as ações que os membros da sua organização no Google Cloud realizaram nos recursos do Google Cloud. É possível trabalhar com vários tipos de registro de auditoria em todos os serviços do Google. Para mais informações, consulte Como usar os registros de auditoria do Cloud para ajudar a gerenciar o risco de pessoas com informações privilegiadas (vídeo em inglês).
Use o recomendador do IAM para rastrear o uso e ajustar as permissões quando apropriado. Os papéis recomendados pelo recomendador do IAM podem ajudar a determinar quais papéis conceder a um usuário com base no comportamento anterior dele e em outros critérios. Para mais informações, consulte Práticas recomendadas para recomendações de papéis.
Para auditar e controlar o acesso aos seus recursos pela equipe de suporte e engenharia do Google, use a transparência no acesso. A transparência no acesso registra as ações realizadas pela equipe do Google. Use a Aprovação de acesso, que faz parte da transparência no acesso, para conceder aprovação explícita sempre que o conteúdo do cliente for acessado. Veja mais informações em Controlar o acesso dos administradores da nuvem aos seus dados.
Automatize seus controles de política
Defina as permissões de acesso de maneira programática sempre que possível. Para conferir as práticas recomendadas, consulte Restrições de políticas da organização. Os scripts do Terraform para o blueprint de bases empresariais estão no repositório de exemplo de bases.
O Google Cloud inclui o Policy Intelligence, que permite revisar e atualizar automaticamente suas permissões de acesso. A Inteligência de políticas inclui as ferramentas Recomendações, Solucionador de problemas de políticas e Análise de políticas, que fazem o seguinte:
- Forneça recomendações para a atribuição de papéis do IAM.
- Monitore e ajude a evitar políticas do IAM excessivamente permissivas.
- Receba ajuda para resolver problemas relacionados ao controle de acesso.
Definir restrições nos recursos
O IAM do Google se concentra em quem e permite autorizar quem pode executar ações em recursos específicos com base nas permissões. de dados. O serviço de política da organização se concentra no quê e permite definir restrições nos recursos para especificar como eles podem ser configurados. Por exemplo, é possível usar uma política da organização para fazer o seguinte:
- Limite o compartilhamento de recursos com base no domínio;
- Limitar o uso de contas de serviço.
- Restrinja a localização física dos recursos recém-criados.
Além de usar as políticas da organização para essas tarefas, é possível restringir o acesso a recursos usando um dos seguintes métodos:
- Use tags para gerenciar o acesso aos recursos sem definir as permissões de acesso em cada um. Em vez disso, você adiciona a tag e define a definição de acesso dela.
- Use as condições do IAM para ter controle extra baseado em atributos do acesso aos recursos.
- Implemente a defesa em profundidade usando o VPC Service Controls para restringir ainda mais o acesso aos recursos.
Para mais informações sobre o gerenciamento de recursos, consulte Decidir uma hierarquia de recursos para sua zona de destino do Google Cloud.
A seguir
Saiba mais sobre o IAM com os seguintes recursos:
Implemente a segurança de computação e contêineres (próximo documento desta série)