Best Practices für den kontinuierlichen Zugriff auf Google Cloud

Dieses Dokument enthält Empfehlungen, mit denen Sie den kontinuierlichen Zugriff auf Google Cloud Ressourcen aufrechterhalten können. Die Aufrechterhaltung des Geschäftsbetriebs soll sicherstellen, dass Ihre Organisation auch bei Unterbrechungen wie Stromausfällen oder Katastrophen wichtige Abläufe aufrechterhalten kann. Dieses Ziel umfasst den fortgesetzten Mitarbeiterzugriff, wenn kritische Dienste und Infrastruktur nicht verfügbar sind.

Dieses Dokument richtet sich an Sicherheits- oder Zuverlässigkeitsexperten, die für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) und die Aufrechterhaltung des sicheren Zugriffs auf Google Cloudverantwortlich sind. In diesem Dokument wird davon ausgegangen, dass Sie bereits mit Cloud Identity, Google Workspace und der IAM-Verwaltung vertraut sind.

Damit Sie sich auf Ausfälle vorbereiten und einen kontinuierlichen Zugriff sicherstellen können, werden in diesem Dokument die folgenden empfohlenen Schritte beschrieben, die Sie umsetzen können. Sie können alle oder einige dieser Schritte ausführen. Wir empfehlen jedoch, sie in der folgenden Reihenfolge zu implementieren.

1. Notfallzugriff einrichten:Ermöglichen Sie den Zugriff aufGoogle Cloud -Ressourcen im Notfall.

   Wir empfehlen, für alle IhreGoogle Cloud -Organisationen einen Notfallzugriff einzurichten, unabhängig von Ihren individuellen Anforderungen an die Geschäftskontinuität.

2. Authentifizierungsalternativen für wichtige Nutzer bereitstellen:Wenn Ihre Organisation die Einmalanmeldung (SSO) verwendet, kann sich jede Störung, die sich auf Ihren externen Identitätsanbieter (IdP) auswirkt, auf die Möglichkeit der Mitarbeiter auswirken, sich zu authentifizieren undGoogle Cloudzu verwenden.

   Um die Auswirkungen einer IdP-Unterbrechung auf Ihre Organisation zu verringern, sollten Sie eine alternative Authentifizierungsmethode für geschäftskritische Nutzer bereitstellen, damit sie weiterhin auf Google Cloud -Ressourcen zugreifen können.

3. Backup-IdP verwenden:Damit alle Nutzer während einer IdP-Unterbrechung auf Google Cloud-Ressourcen zugreifen können, können Sie einen Fallback-IdP verwenden.

   Ein Fallback-IdP kann dazu beitragen, die Auswirkungen einer Störung weiter zu minimieren. Diese Option ist jedoch möglicherweise nicht für jedes Unternehmen kosteneffektiv.

In den folgenden Abschnitten werden diese empfohlenen Schritte und Best Practices beschrieben.

Notfallzugriff einrichten

Der Notfallzugriff soll den Zugriff aufGoogle Cloud -Ressourcen im Notfall ermöglichen und verhindern, dass Sie den Zugriff vollständig verlieren.

Nutzer mit Notfallzugriff haben die folgenden Eigenschaften:

• Das sind Nutzer, die Sie in Ihrem Cloud Identity- oder Google Workspace-Konto erstellen.
• Sie haben die Super Admin-Berechtigung, die Nutzern ausreichend Zugriff bietet, um Konfigurationsfehler zu beheben, die sich auf Ihre Cloud Identity-, Google Workspace- oderGoogle Cloud -Ressourcen auswirken.
• Sie sind nicht mit einem bestimmten Mitarbeiter in der Organisation verknüpft und unterliegen nicht dem Joiner, Mover, and Leaver (JML)-Lebenszyklus von Standardnutzerkonten.
• Sie sind von SSO ausgenommen.

In den folgenden Abschnitten werden die empfohlenen Best Practices für die Verwaltung und Sicherung von Nutzern mit Notfallzugriff beschrieben.

Notfallzugriffsnutzer für jede Umgebung erstellen

Für Google Cloud Umgebungen, in denen Produktionsarbeitslasten gehostet werden, ist der Notfallzugriff von entscheidender Bedeutung. Auch für Google Cloud -Umgebungen, die für Test- oder Stagingzwecke verwendet werden, kann ein Verlust des Zugriffs störend sein.

Damit Sie jederzeit auf alle Ihre Google Cloud Umgebungen zugreifen können, erstellen und verwalten Sie für jede Umgebung Nutzer mit Notfallzugriff in Cloud Identity oder Google Workspace.

Redundanz für den Notfallzugriff sicherstellen

Ein einzelner Nutzer mit Notfallzugriff ist ein Single Point of Failure. In diesem Fall kann ein defekter Sicherheitsschlüssel, ein verlorenes Passwort oder eine Kontosperrung den Zugriff auf ein Konto unterbrechen. Um dieses Risiko zu minimieren, können Sie für jedes Cloud Identity- oder Google Workspace-Konto mehr als einen Nutzer mit Notfallzugriff erstellen.

Nutzer mit Notfallzugriff haben sehr viele Berechtigungen. Erstellen Sie daher nicht zu viele. Für die meisten Organisationen empfehlen wir mindestens zwei und maximal fünf Nutzer mit Notfallzugriff für jedes Cloud Identity- oder Google Workspace-Konto.

Separate Organisationseinheit für Nutzer mit Notfallzugriff verwenden

Nutzer mit Notfallzugriff erfordern eine spezielle Konfiguration und unterliegen nicht dem JML-Lebenszyklus, den Sie möglicherweise für andere Nutzerkonten verwenden.

Damit Nutzerkonten mit Notfallzugriff von regulären Nutzerkonten getrennt bleiben, sollten Sie eine separate Organisationseinheit für Nutzer mit Notfallzugriff verwenden. Mit einer separaten Organisationseinheit können Sie benutzerdefinierte Konfigurationen nur auf Notfallnutzer anwenden.

FIDO-Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung verwenden

Verwenden Sie Fast IDentity Online (FIDO)-Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung.

Da Nutzer mit Notfallzugriff Nutzer mit sehr hohen Berechtigungen in Ihrem Cloud Identity- oder Google Workspace-Konto sind, müssen Sie diese Nutzer durch die 2‑Faktor-Authentifizierung schützen.

Von den Methoden zur Bestätigung in zwei Schritten, die von Cloud Identity und Google Workspace unterstützt werden, empfehlen wir die Verwendung von FIDO-Sicherheitsschlüsseln. Diese Methode bietet Schutz vor Phishing und hohe Sicherheit. So sorgen Sie dafür, dass alle Nutzer mit Notfallzugriff FIDO-Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung verwenden:

• Konfigurieren Sie die 2‑Faktor-Authentifizierung in der Organisationseinheit, die Ihre Nutzer mit Notfallzugriff enthält, so, dass nur Sicherheitsschlüssel als Authentifizierungsmethode zulässig sind.
• Aktivieren Sie die 2‑Faktor-Authentifizierung für alle Nutzer mit Notfallzugriff.
• Registrieren Sie für jeden Nutzer mit Notfallzugriff mindestens zwei FIDO-Sicherheitsschlüssel.

Wenn Sie mehrere Schlüssel für jeden Nutzer registrieren, können Sie das Risiko eines Zugriffsverlusts aufgrund eines defekten Sicherheitsschlüssels verringern. Außerdem erhöhen Sie die Wahrscheinlichkeit, dass der Nutzer im Notfall auf mindestens einen der Schlüssel zugreifen kann.

Es ist zulässig, dieselben Sicherheitsschlüssel für mehrere Nutzer mit Notfallzugriff zu verwenden. Es ist jedoch besser, für jeden Nutzer mit Notfallzugriff unterschiedliche Sicherheitsschlüssel zu verwenden.

Physische Sicherheitsmaßnahmen zum Schutz von Anmeldedaten und Sicherheitsschlüsseln verwenden

Wenn Sie die Anmeldedaten und Sicherheitsschlüssel von Nutzern mit Notfallzugriff speichern, müssen Sie ein Gleichgewicht zwischen starkem Schutz und Verfügbarkeit im Notfall finden:

• Verhindern Sie, dass unbefugtes Personal auf die Anmeldedaten für den Notfallzugriff zugreifen kann. Nutzer mit Notfallzugriff dürfen diese Anmeldedaten nur im Notfall verwenden.
• Sorgen Sie dafür, dass autorisiertes Personal im Notfall mit minimaler Verzögerung auf die Anmeldedaten zugreifen kann.

Wir empfehlen, sich nicht auf einen softwarebasierten Passwortmanager zu verlassen. Stattdessen ist es besser, sich auf physische Sicherheitskontrollen zu verlassen, um die Anmeldedaten und Sicherheitsschlüssel von Nutzern mit Notfallzugriff zu schützen.

Berücksichtigen Sie bei der Auswahl der physischen Sicherheitskontrollen Folgendes:

• Verfügbarkeit verbessern:
  • Bewahren Sie Kopien von Passwörtern an mehreren physischen Standorten auf, z. B. in mehreren Tresoren in verschiedenen Büros.
  • Registrieren Sie mehrere Sicherheitsschlüssel für jeden Nutzer mit Notfallzugriff und bewahren Sie einen Schlüssel an jedem relevanten Bürostandort auf.
• Sicherheit erhöhen:Speichern Sie das Passwort und die Sicherheitsschlüssel an verschiedenen Orten.

Automatisierung für die Passwortrotation vermeiden

Es mag sinnvoll erscheinen, die Passwortrotation für Nutzer mit Notfallzugriff zu automatisieren. Diese Automatisierung kann jedoch das Risiko eines Sicherheitsrisikos erhöhen. Nutzer mit Notfallzugriff haben Super Admin-Berechtigungen. Wenn Sie das Passwort eines Poweruser-Kontos mit Automatisierungstools oder Skripts ändern möchten, benötigen diese Tools oder Skripts ebenfalls Poweruser-Berechtigungen. Diese Anforderung kann dazu führen, dass die Tools für Angreifer attraktiv sind.

Um Ihre allgemeine Sicherheitslage nicht zu schwächen, sollten Sie die Passwörter nicht automatisch rotieren.

Starke Passwörter verwenden

Um Nutzer mit Notfallzugriff zu schützen, sollten Sie darauf achten, dass sie ein langes und starkes Passwort verwenden. Wenn Sie eine Mindestkomplexität für Passwörter erzwingen möchten, verwenden Sie eine dedizierte Organisationseinheit, wie oben beschrieben, und implementieren Sie Passwortanforderungen.

Sofern Sie Passwörter nicht manuell rotieren, deaktivieren Sie den Ablauf von Passwörtern für alle Nutzer mit Notfallzugriff.

Nutzer mit Notfallzugriff aus Zugriffsrichtlinien ausschließen

In einem Notfall kann es aufgrund von Richtlinien für den kontextsensitiven Zugriff dazu kommen, dass selbst Nutzer mit Notfallzugriff nicht auf bestimmte Ressourcen zugreifen können. Um dieses Risiko zu minimieren, sollten Sie mindestens einen Nutzer mit Notfallzugriff aus allen Zugriffsebenen in Ihren Zugriffsrichtlinien ausschließen.

Mit diesen Ausnahmen können Sie dafür sorgen, dass mindestens einer Ihrer Nutzer mit Notfallzugriff kontinuierlichen Zugriff auf Ressourcen hat. Im Notfall oder bei einer falsch konfigurierten kontextsensitiven Zugriffsrichtlinie können diese Notfallzugriffsnutzer ihren Zugriff behalten.

Benachrichtigungen für Ereignisse von Nutzern mit Notfallzugriff einrichten

Alle Aktivitäten von Nutzern mit Notfallzugriff außerhalb eines Notfallereignisses deuten wahrscheinlich auf verdächtiges Verhalten hin. Wenn Sie über Ereignisse im Zusammenhang mit Aktivitäten von Nutzern mit Notfallzugriff benachrichtigt werden möchten, erstellen Sie eine Berichtsregel in der Google Admin-Konsole. Wenn Sie eine Regel für die Berichterstellung erstellen, können Sie Bedingungen wie die folgenden festlegen:

• Datenquelle:Nutzer-Protokollereignisse.

• Attribute auf dem Tab Tool zur Bedingungserstellung:Verwenden Sie Attribute und Operatoren, um einen Filter für die Organisationseinheit zu erstellen, die Ihre Nutzer mit Notfallzugriff und die Ereignisse enthält.

  Sie können beispielsweise Attribute und Operatoren festlegen, um einen Filter zu erstellen, der den folgenden bedingten Anweisungen ähnelt:

  Actor organizational unit Is /Privileged
  
  AND
  
  (Event Is Successful login OR Event Is Failed login OR Event Is Account
  password change)
  

• Schwellenwert:Jede Stunde, wenn „count“ > 0

• Aktion:E‑Mail-Benachrichtigungen senden

• E‑Mail-Empfänger:Wählen Sie eine Gruppe aus, die die relevanten Mitglieder Ihres Sicherheitsteams enthält.

Authentifizierungsalternativen für wichtige Nutzer bereitstellen

Wenn Ihre Organisation SSO verwendet, damit sich Mitarbeiter bei Google-Diensten authentifizieren können, ist die Verfügbarkeit Ihres Drittanbieter-IdP von entscheidender Bedeutung. Jede Störung Ihres IdP kann dazu führen, dass Mitarbeiter nicht auf wichtige Tools und Ressourcen zugreifen können.

Der Notfallzugriff trägt zwar dazu bei, dass der Administratorzugriff kontinuierlich gewährleistet ist, er deckt jedoch nicht die Anforderungen von Mitarbeitern während eines IdP-Ausfalls ab.

Um die potenziellen Auswirkungen einer IdP-Unterbrechung zu verringern, können Sie Ihr Cloud Identity- oder Google Workspace-Konto so konfigurieren, dass für wichtige Nutzer ein Authentifizierungs-Fallback verwendet wird. Sie können den folgenden Plan als Fallback verwenden:

• Im Normalbetrieb lassen Sie Nutzer sich über SSO authentifizieren.
• Bei einem Ausfall des Identitätsanbieters können Sie die Einmalanmeldung für diese wichtigen Nutzer selektiv deaktivieren und ihnen ermöglichen, sich mit Google-Anmeldedaten zu authentifizieren, die Sie im Voraus bereitstellen.

In den folgenden Abschnitten werden die empfohlenen Best Practices beschrieben, wenn Sie kritische Nutzer während Ausfällen des externen IdP authentifizieren lassen.

Fokus auf privilegierte Nutzer

Damit sich wichtige Nutzer während eines IdP-Ausfalls authentifizieren können, müssen sie gültige Google-Anmeldedaten haben, z. B.:

• Ein Passwort mit einem Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung.
• Ein Passkey.

Wenn Sie Anmeldedaten für die Anmeldung mit Google für Nutzer bereitstellen, die normalerweise SSO verwenden, kann dies den Betriebsaufwand und die Nutzerfreundlichkeit auf folgende Weise beeinträchtigen:

• Je nach IdP können Sie Nutzerpasswörter möglicherweise nicht automatisch synchronisieren. Daher müssen Sie Nutzer möglicherweise bitten, ein Passwort manuell festzulegen.
• Möglicherweise müssen Sie Nutzer auffordern, einen Passkey zu registrieren oder die 2-Faktor-Authentifizierung einzurichten. Dieser Schritt ist für SSO-Nutzer in der Regel nicht erforderlich.

Um die Vorteile eines unterbrechungsfreien Zugriffs auf Google-Dienste mit dem zusätzlichen Aufwand in Einklang zu bringen, sollten Sie sich auf privilegierte und geschäftskritische Nutzer konzentrieren. Diese Nutzer profitieren wahrscheinlich am meisten von einem uneingeschränkten Zugriff und machen möglicherweise nur einen Bruchteil Ihrer gesamten Nutzerbasis aus.

Identitätsbestätigung nach der Einmalanmeldung aktivieren

Wenn Sie eine alternative Authentifizierung für privilegierte Nutzer bereitstellen, kann dies zu zusätzlichem Aufwand führen. Um diesen Mehraufwand auszugleichen, können Sie auch die Identitätsbestätigung nach der Einmalanmeldung für diese Nutzer aktivieren.

Wenn Sie SSO für Ihre Nutzer einrichten, müssen sie standardmäßig keine 2‑Faktor-Authentifizierung durchführen. Diese Vorgehensweise ist zwar praktisch, aber wenn der Identitätsanbieter manipuliert wird, kann jeder Nutzer, für den die Identitätsbestätigung nach der Einmalanmeldung nicht aktiviert ist, Ziel von Angriffen zur Fälschung von Anmeldedaten werden.

Die Identitätsbestätigung nach der Einmalanmeldung kann die potenziellen Auswirkungen eines IdP-Kompromisses verringern, da Nutzer nach jedem SSO-Versuch die Bestätigung in zwei Schritten durchführen müssen. Wenn Sie Google-Anmeldedaten für privilegierte Nutzer bereitstellen, kann die Überprüfung nach der SSO dazu beitragen, die Sicherheit dieser Nutzerkonten ohne zusätzlichen Aufwand zu verbessern.

Separate Organisationseinheit für privilegierte Nutzer verwenden

Privilegierte Nutzer, die sich während Ausfällen des externen IdP authentifizieren können, benötigen eine spezielle Konfiguration. Diese Konfiguration unterscheidet sich von der Konfiguration für reguläre Nutzer und für Nutzer mit Notfallzugriff.

Um privilegierte Nutzer von diesen anderen Nutzerkonten zu trennen, verwenden Sie eine separate Organisationseinheit für privilegierte Nutzer. Mit dieser separaten Organisationseinheit können Sie benutzerdefinierte Richtlinien wie die Identitätsbestätigung nach der Einmalanmeldung nur auf diese privilegierten Nutzer anwenden.

Eine separate Organisationseinheit hilft Ihnen auch, die SSO für privilegierte Nutzer während eines IdP-Ausfalls selektiv zu deaktivieren. Wenn Sie die Einmalanmeldung für die Organisationseinheit deaktivieren möchten, können Sie die SSO-Profilzuweisungen ändern.

Backup-IdP verwenden

Wenn Sie Authentifizierungsalternativen für wichtige Nutzer bei IdP-Ausfällen bereitstellen, können Sie die Auswirkungen des IdP-Ausfalls auf Ihre Organisation reduzieren. Diese Strategie reicht jedoch möglicherweise nicht aus, um die volle Betriebskapazität aufrechtzuerhalten. Viele Nutzer können möglicherweise weiterhin nicht auf wichtige Anwendungen und Dienste zugreifen.

Um die potenziellen Auswirkungen eines IdP-Ausfalls weiter zu reduzieren, können Sie ein Failover zu einem Backup-IdP durchführen. Sie können den folgenden Sicherungsplan verwenden:

• Im Normalbetrieb lassen Sie Nutzer sich über SSO und Ihren primären IdP authentifizieren.
• Während eines IdP-Ausfalls ändern Sie die SSO-Konfiguration Ihres Cloud Identity- oder Google Workspace-Kontos, um zum Backup-IdP zu wechseln.

Der Backup-IdP muss nicht vom selben Anbieter stammen. Wenn Sie einen Backup-IdP erstellen, verwenden Sie eine Konfiguration, die der Konfiguration Ihres primären IdP entspricht. Damit sich alle Nutzer mit dem Backup-IdP authentifizieren und auf Google-Dienste zugreifen können, muss der Backup-IdP eine aktuelle Kopie der Nutzerbasis des primären IdP verwenden.

Ein Backup-Identitätsanbieter kann umfassenden Notfallzugriff ermöglichen. Sie müssen diese Vorteile jedoch gegen die zusätzlichen Risiken abwägen, die ein Backup-IdP mit sich bringen kann. Zu diesen potenziellen Risiken gehören:

• Wenn der Backup-IdP eine schwächere Sicherheit als der primäre IdP hat, kann die allgemeine Sicherheitslage Ihrer Google Cloud Umgebung während eines Failovers ebenfalls schwächer sein.
• Wenn sich der primäre und der Backup-IdP darin unterscheiden, wie SAML-Assertions ausgestellt werden, kann dies dazu führen, dass Nutzer durch Spoofing-Angriffe gefährdet werden.

In den folgenden Abschnitten werden die empfohlenen Best Practices für die Verwendung eines Backup-IdP für den Notfallzugriff beschrieben.

Separates SAML-Profil für den Backup-IdP erstellen

In Cloud Identity und Google Workspace können Sie mehrere SAML-Profile erstellen. Jedes SAML-Profil kann sich auf einen anderen SAML-IdP beziehen.

Um den Aufwand für die Failover-Umstellung auf den Backup-IdP zu minimieren, sollten Sie im Voraus ein SAML-Profil für den Backup-IdP erstellen:

• Erstellen Sie separate SAML-Profile für Ihren primären und Ihren Backup-IdP.
• Konfigurieren Sie SSO-Profilzuweisungen so, dass während des normalen Betriebs nur das SAML-Profil des primären IdP zugewiesen wird.
• SSO-Profilzuweisungen ändern, damit das SAML-Profil des Backup-IdP bei einem IdP-Ausfall verwendet wird. Ändern Sie die einzelnen SAML-Profileinstellungen nicht.

Vorhandenen lokalen IdP verwenden

Sie müssen keinen zusätzlichen IdP als Backup bereitstellen. Prüfen Sie stattdessen, ob Sie einen vorhandenen lokalen IdP für diesen Zweck verwenden können. Ihre Organisation verwendet beispielsweise Active Directory als autoritative Quelle für Identitäten und Active Directory Federation Services (AD FS) für SSO. In diesem Szenario können Sie AD FS möglicherweise als Backup-IdP verwenden.

Mit diesem Ansatz können Sie Kosten und Wartungsaufwand begrenzen.

Backup-IdP für die erforderliche Last vorbereiten

Wenn Sie die Authentifizierung auf den Backup-IdP umstellen, muss dieser alle Authentifizierungsanfragen verarbeiten, die normalerweise von Ihrem primären IdP verarbeitet werden.

Wenn Sie einen Backup-IdP bereitstellen und dimensionieren, denken Sie daran, dass die Anzahl der erwarteten Anfragen von den folgenden Faktoren abhängt:

• Die Anzahl der Nutzer in Ihrem Cloud Identity- oder Google Workspace-Konto.
• Die konfigurierte Google Cloud Sitzungslänge.

Wenn die Sitzungslänge beispielsweise zwischen 8 und 24 Stunden liegt, können die Authentifizierungsanfragen in den Morgenstunden, wenn die Mitarbeiter ihren Arbeitstag beginnen, sprunghaft ansteigen.

Failover-Verfahren regelmäßig testen

Damit der SSO-Failover-Prozess zuverlässig funktioniert, müssen Sie ihn regelmäßig überprüfen. Gehen Sie beim Testen des Failover-Verfahrens so vor:

• Ändern Sie die SSO-Profilzuweisung einer oder mehrerer Organisationseinheiten oder Gruppen manuell, um den Backup-IdP zu verwenden.
• Prüfen Sie, ob die SSO mit dem Backup-IdP wie erwartet funktioniert.
• Prüfen Sie, ob die Signaturzertifikate aktuell sind.

Nächste Schritte

• Best Practices für die Sicherheit von Administratorkonten
• Weitere Informationen zu Best Practices für die Föderation Google Cloud mit einem externen Identitätsanbieter
• Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud-Architekturcenter.

Beitragende

Autor: Johannes Passing | Cloud Solutions Architect

Weiterer Beitragender: Ido Flatow | Cloud Solutions Architect