Apps und Ressourcen mit kontextsensitiven Zugriff schützen

In diesem Dokument wird beschrieben, wie Sie den kontextsensitiven Zugriff verwenden können, um verschiedene Arten von Apps und Ressourcen zu schützen. Der kontextsensitiven Zugriff ist ein Sicherheitsansatz, bei dem Sie den Zugriff von Nutzern basierend auf ihrer Authentifizierungsstärke, dem Sicherheitsstatus des Geräts, dem Netzwerkstandort, dem geografischen Standort oder anderen Attributen steuern. Dieser Ansatz geht über die Verwendung grundlegender Nutzeridentitäten für den Sicherheitszugriff hinaus und kann Ihnen helfen, ein Zero-Trust-Sicherheitsmodell zu implementieren, um Ihren allgemeinen Sicherheitsstatus zu verbessern. Weitere Informationen zu Best Practices finden Sie unter Best Practices zum Sichern von Apps und Ressourcen mit kontextbezogenem Zugriff.

Um Ihre Apps und Google Cloud Ressourcen zu schützen, können Sie detaillierte Zugriffssteuerungen basierend auf einer Vielzahl von Kontextfaktoren und Kombinationen davon definieren. Mit Access Context Manager können Sie Zugriffsrichtlinien definieren, die Zugriffsebenen und Dienstparameter enthalten.

Dieses Dokument richtet sich an alle Sicherheitsexperten, die für Identity and Access Management (IAM) und die Sicherheit von Google Cloud Ressourcen und ‑Apps verantwortlich sind. In diesem Dokument wird davon ausgegangen, dass Sie bereits mit Access Context Manager,Google Cloudund der IAM-Verwaltung vertraut sind.

Zugriffsebenen

Mit Zugriffsebenen können Sie eine Reihe von Anforderungen definieren, die Nutzer und ihre Geräte erfüllen müssen, um ein bestimmtes Vertrauensniveau zu erreichen.

Mit Access Context Manager können Sie beispielsweise die folgenden Zugriffsebenen für Ihre Organisation konfigurieren:

• Einfach: Eine grundlegende Reihe von Anforderungen, die Sie als Mindestniveau betrachten.
• Mittel: Eine strengere Reihe von Anforderungen, die Mitarbeiter und Unternehmensgeräte erfüllen müssen. Bei dieser Zugriffsebene werden möglicherweise Nutzer mit erweiterten Arbeitskräften und nicht unternehmenseigene Geräte ausgeschlossen.
• Hoch: Strenge Anforderungen, die nur von bestimmten Mitarbeitern und Geräten erfüllt werden.

Eine Zugriffsebene hat an sich keine unmittelbaren Auswirkungen auf Nutzer oder Geräte. Die Zugriffsebene gibt Anforderungen an, definiert aber nicht die Nutzer, Apps oder Ressourcen, für die diese Anforderungen durchgesetzt werden sollen. Eine Zugriffsebene ist wie ein wiederverwendbarer Teil der Konfiguration, auf den Sie verweisen können, wenn Sie den Zugriff auf bestimmte Apps oder Ressourcen konfigurieren.

MitGoogle Cloud können Sie Zugriffsebenen für verschiedene Arten von Apps oder Ressourcen verwenden, darunter die folgenden, die in diesem Dokument beschrieben werden:

• Google Workspace und andere Apps und Dienste außerhalb von Google Cloud
• Die Google Cloud Console und Google Cloud APIs
• VPC-Dienstperimeter (Virtual Private Cloud)
• Identity-Aware Proxy (IAP) für SSH- und RDP-Zugriff
• IAP für Web-Apps

Apps und Ressourcen

In den folgenden Abschnitten wird beschrieben, wie Sie Zugriffsebenen auf die verschiedenen Arten von Apps und Ressourcen anwenden und wie sich die Prozesse für die verschiedenen Arten unterscheiden.

Google Workspace und andere Apps und Dienste außerhalb von Google Cloud

Zu den Apps und Diensten außerhalb von Google Cloud , die kontextbezogenen Zugriff unterstützen, gehören:

• Admin-Konsole
• Google Workspace-Apps wie Gmail, Google Meet und Google Kalender
• Andere Google-Apps wie Gemini oder Looker Studio
• Benutzerdefinierte SAML-Apps

Wenn Sie den Zugriff auf Google Workspace sowie auf Apps und Dienste außerhalb vonGoogle Cloudeinschränken möchten, konfigurieren Sie den kontextsensitiven Zugriff für jeden Dienst oder jede App einzeln in der Admin-Konsole. In der Admin-Konsole gehen Sie so vor:

• Legen Sie den Bereich fest, für den Sie eine Zugriffsebene anwenden möchten. Ein Bereich ist eine Kombination aus den folgenden Elementen:

  • Ein bestimmter Dienst oder eine bestimmte SAML-App, die geschützt werden soll.
  • Eine Organisationseinheit (OE) oder eine Gruppe, die relevante Nutzer enthält.

• Wählen Sie die Zugriffsebene aus, die auf den ausgewählten Bereich angewendet werden soll.

Wenn Sie eine Zugriffsebene zuweisen, können Sie auch die Einstellungen dieser Zugriffsebene ändern. Sie können festlegen, dass die Zugriffsebene nur gilt, wenn Nutzer direkt auf die Web-App zugreifen. Sie können auch festlegen, dass die Ebene auch gilt, wenn mobile Apps und andere Apps auf die API zugreifen. Weitere Informationen finden Sie im Hilfeartikel Apps kontextsensitive Zugriffsebenen zuweisen im Abschnitt App-Verhalten basierend auf den Einstellungen der Zugriffsebene.

Es kann mehr als eine Zuweisung für einen bestimmten Nutzer und eine bestimmte App geben. Ein Nutzer kann beispielsweise Mitglied der Organisationseinheit Employees und des Teams all-apac sein. Der jeweiligen Organisationseinheit und Gruppe sind möglicherweise unterschiedliche Zugriffsebenen zugewiesen. In diesem Fall wird in Cloud Identity und Google Workspace nur eine der Zuweisungen angewendet, nämlich die mit der höchsten Priorität:

• Gruppenbasierte Zuweisungen haben eine höhere Priorität als organisationsbasierte Zuweisungen.
• Innerhalb von Gruppen können Sie die relative Priorität anpassen.
• Innerhalb von Organisationseinheiten hat die Stamm-Organisationseinheit die niedrigste relative Priorität.

Mit Cloud Identity und Google Workspace können Sie Ereignisse für den kontextsensitiven Zugriff im Protokoll für den kontextsensitiven Zugriff prüfen und analysieren.

Die Google Cloud Console und Google Cloud APIs

Sie können den kontextsensitiven Zugriff auf die Google Cloud Console und dieGoogle Cloud APIs mithilfe von Zugriffsberechtigungen konfigurieren.

Google Cloud APIs verwenden OAuth 2.0 zur Authentifizierung. Wenn Nutzer eine Google CloudAPI verwenden möchten, benötigen sie ein gültiges, von Google ausgestelltes OAuth-Zugriffstoken. Das Token muss für einen der Google Cloud OAuth-Bereiche ausgestellt werden. Zugriffsberechtigungen schränken die Möglichkeit von Nutzern ein, solche Zugriffstokens zu erhalten. Zugriffsbindungen beschränken den Zugriff auf die Google Cloud -Konsole und auf alle OAuth-Apps, die Google Cloud OAuth-Bereiche verwenden, z. B.:

• Die gcloud CLI
• Drittanbieter-Tools wie Terraform
• Selbst erstellte OAuth-Apps, die einen Google Cloud OAuth-Bereich verwenden

Eine Zugriffsbindung verknüpft eine Gruppe mit einer Zugriffsebene. Jede Gruppe kann nur eine Zugriffsbindung haben. Für jede Zugriffsbindung können die folgenden Konfigurationen definiert werden:

• Eine scopedAccessSettings-Liste, in der einzelnen OAuth-Apps Zugriffsebenen zugewiesen werden.
• Eine Standardzugriffsebene.

Wenn in einer Zugriffsbindung sowohl eine Einstellung für den eingeschränkten Zugriff als auch eine Standardzugriffsebene angegeben sind, werden die beiden Zugriffsebenen mit der Semantik von OR kombiniert. Ein Nutzer muss dann nur eine der Zugriffsebenen erfüllen, um auf die OAuth-App zugreifen zu können.

Eine Zugriffsbindung gilt sowohl für direkte als auch für indirekte Mitglieder der Gruppe. Wenn ein Nutzer Mitglied mehrerer Gruppen ist, können mehrere Zugriffsbindungen auf ihn angewendet werden, was zu mehreren Zugriffsebenen führen kann. In diesem Fall werden die Zugriffsebenen auch mit der OR-Semantik kombiniert. Das bedeutet, dass der Nutzer nur eine der Zugriffsebenen erfüllen muss.

VPC-Dienstperimeter

Wenn Sie einen VPC-Dienstperimeter erstellen, geben Sie eine Liste eingeschränkter Dienste an. Auf eingeschränkte Dienste kann innerhalb des Dienstperimeters zugegriffen werden, standardmäßig jedoch nicht von außerhalb des Dienstperimeters.

Wenn Sie Zugriff von außerhalb des Dienstperimeters zulassen möchten, verwenden Sie Regeln für eingehenden Traffic. Mit Regeln für eingehenden Traffic können Sie die Bedingungen festlegen, unter denen Sie externen Zugriff zulassen möchten. Mit Zugriffsebenen können Sie erzwingen, dass eine Regel für eingehenden Traffic den kontextsensitiven Zugriff erzwingt.

Ein VPC-Dienstperimeter kann mehrere Regeln für eingehenden Traffic haben. Daher können für einen bestimmten Nutzer und eine bestimmte App mehrere Ingress-Regeln gelten, die unterschiedliche Zugriffsebenen erfordern. In diesem Fall werden die Zugriffsebenen mit der Semantik OR ausgewertet und der Nutzer muss nur eine der Zugriffsebenen erfüllen.

Sie können Zugriffsbindungen mit Regeln für eingehenden Traffic für VPC-Dienstperimeter kombinieren. Wenn in den Zugriffsbindingen und Regeln für eingehenden Traffic unterschiedliche Zugriffsebenen für einen bestimmten Nutzer und eine bestimmte App angegeben sind, werden die Ebenen mithilfe der AND-Semantik kombiniert. In diesem Fall muss der Nutzer beide Zugriffsebenen erfüllen.

Wenn Sie die Versuche analysieren möchten, auf Ressourcen in einem VPC-Dienstperimeter zuzugreifen, können Sie die VPC Service Controls-Audit-Logs oder die VPC Service Controls-Verstoßanalyse verwenden.

SSH- und RDP-Zugriff auf VMs

Sie können den kontextsensitiven Zugriff für den SSH- und RDP-Zugriff auf VMs mithilfe der IAP-TCP-Weiterleitung konfigurieren.

Die IAP-TCP-Weiterleitung unterstützt Zugriffsbindungen und VPC Service Controls-Regeln für eingehenden Traffic. Ihre Zugriffsberechtigungen für die Google Cloud Console und Cloud APIs werden automatisch auf die IAP-TCP-Weiterleitung angewendet.

Wenn Ihr Dienstperimeter den Dienst iaptunnel.googleapis.com als eingeschränkten Dienst enthält, werden Ihre Regeln für eingehenden Traffic automatisch auf die IAP-TCP-Weiterleitung angewendet. Weitere Informationen zu Best Practices finden Sie unter IAP-TCP-Weiterleitung als eingeschränkten Dienst einbeziehen.

Sie können den kontextsensitiven Zugriff auch mit IAM-Bedingungen konfigurieren. Sie können IAM-Bedingungen als Alternative zu Zugriffsberechtigungen und VPC Service Controls-Regeln für eingehenden Traffic verwenden oder alle zusammen.

• Weisen Sie einem Nutzer oder einer Gruppe die Rolle „Nutzer IAP-gesicherter Tunnel“ (roles/iap.tunnelResourceAccessor) zu. Fügen Sie dann in der Rollenbindung einen IAM-Bedingungsausdruck hinzu, der erfordert, dass der Nutzer ein bestimmtes Zugriffsniveau erfüllt. Der Ausdruck könnte beispielsweise so aussehen:

  "accessPolicies/123/accessLevels/fully-trusted" in request.auth.access_levels
  

• Optional können Sie die IAM-Bedingung anpassen, um mehrere Zugriffsebenen zu erfordern oder andere Prüfungen einzubeziehen.

Ein bestimmter Nutzer und eine bestimmte App können einer Zugriffsbindung, einer Ingress-Regel und einer IAM-Bedingung unterliegen, wenn der Nutzer und die App auf die IAP-TCP-Weiterleitung zugreifen. In diesem Szenario werden Zugriffsebenen mithilfe der AND-Semantik kombiniert und der Nutzer muss alle Zugriffsebenen erfüllen.

Wenn Sie die Versuche, auf IAP-TCP-Weiterleitung zuzugreifen, prüfen und analysieren möchten, müssen Sie Audit-Logs zum Datenzugriff für IAP aktivieren.

Web-Apps

Sie können den kontextsensitiven Zugriff für Web-Apps mit IAP konfigurieren.

IAP für Web-Apps unterscheidet sich von der IAP-TCP-Weiterleitung:

• Zugriffsbindungen gelten nicht für Web-Apps, die mit IAP konfiguriert sind, da die OAuth-App, die IAP verwendet, keine Google Cloud OAuth-Bereiche verwendet.
• VPC-Dienstperimeterregeln für eingehenden Traffic gelten nicht für Web-Apps, die mit IAP konfiguriert sind, da IAP keineGoogle Cloud API ist und nicht als eingeschränkter Dienst konfiguriert werden kann.

Wenn Sie den kontextsensitiven Zugriff für Web-Apps mit IAP konfigurieren möchten, müssen Sie IAM-Bedingungen verwenden:

• Weisen Sie einem Nutzer oder einer Gruppe die Rolle „Nutzer von IAP-gesicherten Web-Apps“ (roles/iap.httpsResourceAccessor) zu. Fügen Sie dann in der Rollenbindung einen IAM-Bedingungsausdruck hinzu, der erfordert, dass der Nutzer eine bestimmte Zugriffsebene erfüllt. Der Ausdruck könnte beispielsweise so aussehen:

  "accessPolicies/123/accessLevels/fully-trusted" in request.auth.access_levels
  

• Optional können Sie die IAM-Bedingung anpassen, um mehrere Zugriffsebenen zu erfordern oder andere Prüfungen einzubeziehen.

Wenn Sie die Versuche zum Zugriff auf Web-Apps, die mit IAP konfiguriert sind, prüfen und analysieren möchten, müssen Sie Audit-Logs zum Datenzugriff für IAP aktivieren.

Nächste Schritte

• Best Practices zum Sichern von Apps und Ressourcen mit kontextsensitiven Zugriff
• Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud-Architekturcenter.

Beitragende

Autor: Johannes Passing | Cloud Solutions Architect

Weiterer Beitragender: Ido Flatow | Cloud Solutions Architect