Questa sezione illustra come utilizzare Cloud Identity per gestire le identità che i tuoi dipendenti utilizzano per accedere a Google Cloud i servizi di machine learning.
Provider di identità esterno come fonte attendibile
Ti consigliamo di federare il tuo account Cloud Identity con il tuo o il provider di identità. La federazione ti aiuta a garantire che l'account esistente i processi di gestione si applicano a Google Cloud e ad altri servizi Google.
Se non hai un provider di identità, puoi creare account utente. direttamente in Cloud Identity.
Il seguente diagramma mostra una vista generale della federazione delle identità e dei singoli l'accesso (SSO). Utilizza Microsoft Active Directory, che si trova nell'ambiente on-premise come esempio di provider di identità.
Questo diagramma descrive le seguenti best practice:
- Le identità degli utenti vengono gestite in un dominio Active Directory nell'ambiente on-premise e federato per e Cloud Identity. Active Directory utilizza Google Cloud Directory Sync per eseguire il provisioning di identità a Cloud Identity.
- Gli utenti che tentano di accedere ai servizi Google vengono reindirizzati alla provider di identità esterno per Single Sign-On con SAML, usando le credenziali esistenti per l'autenticazione. Nessuna password sincronizzati con Cloud Identity.
La tabella seguente fornisce i link alle indicazioni per la configurazione dei provider di identità.
| Provider di identità | Consulenza |
|---|---|
| Active Directory | |
| Microsoft Entra ID (in precedenza Azure AD) | |
| Altri provider di identità esterni (ad esempio Ping o Okta) |
Ti consigliamo vivamente di applicare l'autenticazione a più fattori nel tuo di identità con un meccanismo anti-phishing come Token di sicurezza Titan.
Le impostazioni consigliate per Cloud Identity non vengono automatizzate tramite il codice Terraform in questo progetto. Consulta Controlli amministrativi per Cloud Identity per le impostazioni di sicurezza consigliate che è necessario configurare in aggiunta il deployment del codice Terraform.
Gruppi per il controllo dell'accesso
Un'entità è un'identità a cui è possibile concedere l'accesso a una risorsa. Presidi includono Account Google per gli utenti, gruppi Google, account Google Workspace, Cloud Identity domini e account di servizio. Alcuni servizi ti consentono inoltre di concedere l'accesso a tutti agli utenti che effettuano l'autenticazione con un Account Google o a tutti gli utenti su internet. Affinché un'entità possa interagire con i servizi Google Cloud, devi concedere e assegnare loro i ruoli in Identity and Access Management (IAM).
Per gestire i ruoli IAM su larga scala, consigliamo di assegnare agli utenti ai gruppi in base alle loro mansioni lavorative e ai requisiti di accesso, quindi assegna i ruoli IAM per questi gruppi. Gli utenti devono essere aggiunti ai gruppi utilizzando i processi nel tuo provider di identità esistente per la creazione di gruppi .
Sconsigliamo di concedere ruoli IAM a singoli utenti perché le singole possono aumentare la complessità della gestione e del controllo dei ruoli.
Il progetto configura gruppi e ruoli per l'accesso di sola visualizzazione alla piattaforma Google Cloud. Ti consigliamo di eseguire il deployment di tutte le risorse nel progetto pipeline di base e di non concedere ruoli agli utenti ai gruppi modificare le risorse di base al di fuori della pipeline.
La tabella seguente mostra i gruppi configurati dal progetto base per la visualizzazione delle risorse di base.
| Nome | Descrizione | Ruoli | Ambito |
|---|---|---|---|
grp-gcp-org-admin@example.com |
Amministratori con privilegi elevati che possono concedere ruoli IAM a livello a livello di organizzazione. Può accedere a qualsiasi altro ruolo. Questo privilegio è non consigliato per l'uso quotidiano. | Amministratore dell'organizzazione | organizzazione |
grp-gcp-billing-admin@example.com |
Amministratori con privilegi elevati che possono modificare di account di fatturazione Cloud. Questo privilegio non è consigliato per per gli utilizzi odierni. | Amministratore account di fatturazione | organizzazione |
grp-gcp-billing-viewer@example.com |
Il team responsabile della visualizzazione e dell'analisi della spesa in tutti i progetti. | Visualizzatore account di fatturazione | organizzazione |
| Utente BigQuery | progetto di fatturazione | ||
grp-gcp-audit-viewer@example.com |
Il team responsabile dell'audit della sicurezza logaritmi. | progetto di logging | |
grp-gcp-security-reviewer@example.com |
Il team responsabile della revisione della sicurezza del cloud. | Controllo sicurezza | organizzazione |
grp-gcp-network-viewer@example.com |
Il team responsabile della visualizzazione e della gestione della rete configurazioni. | Visualizzatore di rete Compute | organizzazione |
grp-gcp-scc-admin@example.com |
Il team responsabile della configurazione di Security Command Center. | Editor amministratore Centro sicurezza | organizzazione |
grp-gcp-secrets-admin@example.com |
Il team responsabile della gestione, dell'archiviazione e del controllo credenziali e altri secret utilizzati dalle applicazioni. | Amministratore Secret Manager | progetti secret |
grp-gcp-kms-admin@example.com |
Il team responsabile dell'applicazione della chiave di crittografia per soddisfare i requisiti di conformità. | Visualizzatore Cloud KMS | progetti kms |
Man mano che crei i tuoi carichi di lavoro sulle basi, crei ulteriori gruppi e concedere ruoli IAM basati sui requisiti di accesso per ciascuno carico di lavoro.
Ti consigliamo vivamente di evitare ruoli di base (come Proprietario, Editor o Visualizzatore) e utilizza ruoli predefiniti . I ruoli di base sono eccessivamente permissivi e rappresentano un potenziale rischio per la sicurezza. Proprietario e Editor possono portare all'escalation dei privilegi e allo spostamento laterale, Il ruolo Visualizzatore include l'accesso per leggere tutti i dati. Per le best practice su IAM ruoli, consulta Utilizza IAM in modo sicuro.
Account super amministratore
Gli utenti di Cloud Identity con account super amministratore bypassare le impostazioni SSO dell'organizzazione ed autenticarsi direttamente sul e Cloud Identity. Questa eccezione è per definizione, per cui il super amministratore può accederà comunque alla console di Cloud Identity nel caso di un SSO o in caso di interruzione del servizio. Ciò significa, però, che devi prendere in considerazione per gli account super amministratore.
Per proteggere i tuoi account super amministratore, ti consigliamo di applicare sempre Verifica in due passaggi con token di sicurezza in Cloud Identity. Per ulteriori informazioni le informazioni, vedi Best practice per la protezione degli account amministratore.
Problemi con gli account utente consumer
Se non utilizzavi Cloud Identity o Google Workspace prima di è stato eseguito l'onboarding in Google Cloud, è possibile che i dipendenti usano già account consumer associati alle proprie identità email aziendali per accedere ad altri servizi Google come Google Marketing Platform o YouTube. Gli account consumer sono account sono completamente posseduti e gestiti dagli individui che li hanno creati. Poiché tali non sono sotto il controllo della tua organizzazione e potrebbero includere entrambi dati personali e aziendali, devi decidere come consolidare questi account con altri account aziendali.
Ti consigliamo di consolidare account utente consumer esistenti nell'ambito dell'onboarding in Google Cloud. Se non utilizzi Google Workspace per tutti gli account utente, ti consigliamo il blocco della creazione di nuovi account consumer.
Controlli amministrativi per Cloud Identity
Cloud Identity dispone di vari controlli amministrativi che non automatizzata dal codice Terraform nel progetto. Ti consigliamo di applicare in modo forzato ogni di questi controlli di sicurezza basati sulle best practice nelle prime fasi del processo di creazione base.
| Controllo | Descrizione |
|---|---|
| Implementare la verifica in due passaggi | Gli account utente potrebbero essere compromessi tramite phishing, social media ingegneria informatica, password spraying o varie altre minacce. La verifica in due passaggi aiuta a ridurre queste minacce. Consigliamo di applicare la verifica in due passaggi a tutti gli utenti di sicurezza con un meccanismo anti-phishing come i token di sicurezza Titan o altri basate sul FIDO U2F (CTAP1) resistente al phishing standard. |
| Imposta la durata della sessione per Servizi Google Cloud | Token OAuth permanenti sullo sviluppatore workstation può rappresentare un rischio per la sicurezza se esposte. È consigliabile imposti un criterio di riautenticazione per richiedere l'autenticazione ogni 16 ore con un token di sicurezza. |
| Impostare la durata della sessione per Google Servizi | (Solo clienti di Google Workspace)
Le sessioni web persistenti tra altri servizi Google possono essere rischio per la sicurezza se esposti. Ti consigliamo di applicare un limite massimo durata della sessione web e allinearla ai controlli della durata della sessione al tuo provider SSO. |
| Condividere dati da Cloud Identity con i servizi Google Cloud | Audit log delle attività di amministrazione di Google Workspace o Cloud Identity sono normalmente gestiti e visualizzati nella Console di amministrazione, separatamente dai log dell'ambiente Google Cloud. Questi log contengono informazioni pertinente per il tuo ambiente Google Cloud, eventi di accesso utente. Ti consigliamo di condividere gli audit log di Cloud Identity nel tuo nell'ambiente Google Cloud per gestire centralmente i log da tutti fonti. |
| Configurare la verifica post-SSO | Il progetto presuppone che tu abbia configurato l'accesso SSO con la tua identità esterna o il provider di servizi di terze parti. Ti consigliamo di attivare un livello di controllo aggiuntivo basato Analisi del rischio di accesso di Google. Dopo aver applicato questa impostazione, gli utenti al momento dell'accesso potrebbero essere visualizzate ulteriori verifiche dell'accesso basate sul rischio se Google ritiene che l'accesso di un utente sia sospetto. |
| Risolvere i problemi relativi agli utenti consumer account | Utenti con un indirizzo email valido nel tuo dominio, ma senza un Account Google possono registrarsi per account consumer non gestiti. Questi account potrebbero Contengono dati aziendali, ma non sono controllati dal tuo account. dei processi di gestione del ciclo di vita. Ti consigliamo di adottare le misure necessarie per assicurarti che tutti gli account utente vengano e gestire account gestiti. |
| Disattiva il recupero dell'account per Super account amministratore | Il recupero autonomo dell'account super amministratore è disattivato per impostazione predefinita per tutti i nuovi account (per quelli esistenti questa impostazione potrebbe essere attivata). Girata la disattivazione di questa impostazione contribuisce a ridurre il rischio che uno smartphone compromesso, un’e-mail compromessa o un attacco di ingegneria sociale potrebbe consentire a un malintenzionato ottiene privilegi di super amministratore sul tuo ambiente. Pianificare una procedura interna per consentire a un super amministratore di contattare un altro super amministratore amministratore della tua organizzazione se ha perso l'accesso al proprio account, e assicurati che tutti i super amministratori conoscano la procedura per il recupero assistito dall'assistenza. |
| Applicare e monitorare le password requisiti per gli utenti | Nella maggior parte dei casi, le password degli utenti vengono gestite tramite il provider di identità, ma gli account super amministratore ignorano l'accesso SSO e devono utilizzare una password per accedere a Cloud Identity. Disattiva il riutilizzo della password e il monitoraggio della sicurezza delle password per tutti gli utenti che usano una password per accedere a Cloud Identity, in particolare Google Workspace for Education. |
| Imposta criteri a livello di organizzazione per utilizzando i gruppi | Per impostazione predefinita, gli account utente esterni possono essere aggiunti ai gruppi in e Cloud Identity. Ti consigliamo di configurare la condivisione impostazioni in modo che i proprietari dei gruppi non possano aggiungere membri esterni. Tieni presente che questa limitazione non si applica al super amministratore account amministratore o altri amministratori delegati con l'amministratore di Gruppi autorizzazioni aggiuntive. Poiché la federazione dal tuo provider di identità viene eseguita privilegi amministrativi, le impostazioni di condivisione per i gruppi non si applicano questa sincronizzazione dei gruppi. Ti consigliamo di rivedere i controlli in il provider di identità e il meccanismo di sincronizzazione per garantire I membri non di dominio non vengono aggiunti ai gruppi o a cui applichi limitazioni di gruppo. |
Passaggi successivi
- Scopri di più sulla struttura organizzativa (documento successivo di questa serie).