En este documento, se proporcionan recomendaciones para ayudarte a mantener el acceso continuo a los recursos de Google Cloud . La continuidad empresarial tiene como objetivo garantizar que tu organización pueda mantener las operaciones esenciales, incluso durante interrupciones como cortes o desastres. Este objetivo incluye el acceso continuo de los empleados cuando no están disponibles los servicios y la infraestructura críticos.
Este documento está dirigido a los profesionales de seguridad o confiabilidad que son responsables de Identity and Access Management (IAM) y del mantenimiento del acceso seguro a Google Cloud. En este documento, se supone que ya conoces Cloud Identity, Google Workspace y la administración de IAM.
Para ayudarte a prepararte ante las interrupciones y garantizar el acceso continuo, en este documento se describen los siguientes pasos recomendados que puedes implementar. Puedes elegir realizar todos o algunos de estos pasos, pero te recomendamos que los implementes en el siguiente orden.
Configura el acceso de emergencia: Habilita el acceso de último recurso a los recursos deGoogle Cloud .
Te recomendamos que configures el acceso de emergencia para todas tus organizaciones deGoogle Cloud , independientemente de tus requisitos individuales de continuidad del negocio.
Proporciona alternativas de autenticación para los usuarios críticos: Si tu organización usa el inicio de sesión único (SSO), cualquier interrupción que afecte a tu proveedor de identidad externo (IdP) puede afectar la capacidad de los empleados para autenticarse y usarGoogle Cloud.
Para reducir el impacto general de una interrupción del IdP en tu organización, proporciona una alternativa de autenticación para que los usuarios críticos para el negocio sigan accediendo a los recursos de Google Cloud .
Usa un IdP de copia de seguridad: Para permitir que todos los usuarios accedan a los recursos de Google Clouddurante una interrupción del IdP, puedes mantener un IdP de respaldo.
Un IdP de respaldo puede ayudar a minimizar aún más el impacto de una interrupción, pero es posible que esta opción no sea rentable para todas las organizaciones.
En las siguientes secciones, se describen estos pasos recomendados y prácticas recomendadas.
Cómo configurar el acceso de emergencia
El propósito del acceso de emergencia es permitir el acceso de último recurso a los recursos deGoogle Cloud y evitar situaciones en las que podrías perder el acceso por completo.
Los usuarios con acceso de emergencia se caracterizan por las siguientes propiedades:
- Son usuarios que creas en tu cuenta de Cloud Identity o Google Workspace.
- Tienen el privilegio de administrador avanzado, que proporciona a los usuarios acceso suficiente para resolver cualquier configuración incorrecta que afecte tus recursos de Cloud Identity, Google Workspace oGoogle Cloud .
- No están asociadas con un empleado específico de la organización y están exentas del ciclo de vida de Joiner, Mover, and Leaver (JML) de las cuentas de usuario normales.
- Están exentos del SSO.
En las siguientes secciones, se describen las prácticas recomendadas que se deben seguir cuando administras y proteges a los usuarios con acceso de emergencia.
Crea usuarios con acceso de emergencia para cada entorno
Para los entornos de Google Cloud que alojan cargas de trabajo de producción, el acceso de emergencia es fundamental. En el caso de los entornos de Google Cloud que se usan para pruebas o etapas de pruebas, la pérdida de acceso puede ser perjudicial.
Para garantizar el acceso continuo a todos tus Google Cloud entornos, crea y mantén usuarios de acceso de emergencia en Cloud Identity o Google Workspace para cada entorno.
Garantiza la redundancia del acceso de emergencia
Un solo usuario con acceso de emergencia es un punto único de falla. En este caso, una llave de seguridad rota, una contraseña perdida o la suspensión de una cuenta pueden interrumpir el acceso a ella. Para mitigar este riesgo, puedes crear más de un usuario de acceso de emergencia para cada cuenta de Cloud Identity o Google Workspace.
Los usuarios con acceso de emergencia tienen muchos privilegios, por lo que no debes crear demasiados. Para la mayoría de las organizaciones, recomendamos un mínimo de dos y un máximo de cinco usuarios con acceso de emergencia para cada cuenta de Cloud Identity o Google Workspace.
Usa una unidad organizativa separada para los usuarios con acceso de emergencia
Los usuarios con acceso de emergencia requieren una configuración especial y no están sujetos al ciclo de vida de JML que podrías seguir para otras cuentas de usuario.
Para mantener a los usuarios con acceso de emergencia separados de las cuentas de usuario normales, usa una unidad organizativa (UO) exclusiva para los usuarios con acceso de emergencia. Una UO independiente te permite aplicar parámetros de configuración personalizados solo a los usuarios de emergencia.
Cómo usar llaves de seguridad FIDO para la verificación en 2 pasos
Usa llaves de seguridad Fast IDentity Online (FIDO) para la verificación en 2 pasos.
Dado que los usuarios con acceso de emergencia tienen privilegios elevados en tu cuenta de Cloud Identity o Google Workspace, debes protegerlos con la verificación en 2 pasos.
Entre los métodos de verificación en 2 pasos que admiten Cloud Identity y Google Workspace, te recomendamos que uses llaves de seguridad FIDO. Este método proporciona protección contra el phishing y una seguridad sólida. Para asegurarte de que todos tus usuarios con acceso de emergencia usen llaves de seguridad FIDO para la verificación en 2 pasos, haz lo siguiente:
- En la UO que contiene a los usuarios con acceso de emergencia, configura la verificación en 2 pasos para permitir solo las llaves de seguridad como método de autenticación.
- Habilita la verificación en 2 pasos para todos los usuarios con acceso de emergencia.
- Para cada usuario con acceso de emergencia, inscribe dos o más llaves de seguridad FIDO.
Cuando inscribes varias llaves para cada usuario, ayudas a mitigar el riesgo de perder el acceso debido a una llave de seguridad dañada. También aumentas la probabilidad de que el usuario pueda acceder a al menos una de las llaves en caso de emergencia.
Se acepta usar el mismo conjunto de llaves de seguridad para varios usuarios con acceso de emergencia. Sin embargo, es mejor usar diferentes llaves de seguridad para cada usuario con acceso de emergencia.
Usa controles de seguridad físicos para proteger las credenciales y las llaves de seguridad
Cuando almacenes las credenciales y las claves de seguridad de los usuarios con acceso de emergencia, debes equilibrar la protección sólida con la disponibilidad durante una emergencia:
- Impedir que el personal no autorizado pueda acceder a las credenciales de usuario de acceso de emergencia Los usuarios con acceso de emergencia solo deben usar estas credenciales en caso de emergencia.
- Asegúrate de que el personal autorizado pueda acceder a las credenciales con la menor demora posible en caso de emergencia.
Te recomendamos que no uses un administrador de contraseñas basado en software. En cambio, es mejor confiar en los controles de seguridad física para proteger las credenciales y las llaves de seguridad de los usuarios con acceso de emergencia.
Cuando elijas qué controles de seguridad física aplicar, ten en cuenta lo siguiente:
- Mejora la disponibilidad:
- Almacena copias de las contraseñas en varias ubicaciones físicas, como en varias cajas de seguridad en diferentes oficinas.
- Inscribe varias llaves de seguridad para cada usuario de acceso de emergencia y almacena una llave en cada ubicación de oficina pertinente.
- Mejora la seguridad: Guarda la contraseña y las llaves de seguridad en diferentes ubicaciones.
Evita la automatización para la rotación de contraseñas
Puede parecer beneficioso automatizar la rotación de contraseñas para los usuarios con acceso de emergencia. Sin embargo, esta automatización podría aumentar el riesgo de que se vulnere la seguridad. Los usuarios con acceso de emergencia tienen privilegios de administrador avanzado. Para rotar la contraseña de un usuario administrador avanzado, las herramientas o los lenguajes de secuencias de comandos de automatización también deben tener privilegios de administrador avanzado. Este requisito puede hacer que las herramientas sean objetivos atractivos para los atacantes.
Para asegurarte de no debilitar tu postura de seguridad general, no uses la automatización para rotar las contraseñas.
Usa contraseñas seguras
Para ayudar a proteger a los usuarios con acceso de emergencia, asegúrate de que usen una contraseña larga y segura. Para aplicar un nivel mínimo de complejidad de contraseñas, usa una UO dedicada como se describió anteriormente y aplica los requisitos de contraseñas.
A menos que rotes las contraseñas de forma manual, inhabilita el vencimiento de contraseñas para todos los usuarios de acceso de emergencia.
Cómo excluir a un usuario de acceso de emergencia de las políticas de acceso
Durante una emergencia, las políticas de acceso adaptado al contexto pueden generar una situación en la que incluso un usuario con acceso de emergencia no pueda acceder a ciertos recursos. Para mitigar este riesgo, excluye al menos a un usuario de acceso de emergencia de todos los niveles de acceso en tus políticas de acceso.
Estas exenciones te ayudan a garantizar que, al menos, uno de tus usuarios de acceso de emergencia tenga acceso continuo a los recursos. En caso de emergencia o de una política de acceso adaptado al contexto mal configurada, estos usuarios de acceso de emergencia pueden mantener su acceso.
Configura alertas para los eventos de usuarios con acceso de emergencia
Es probable que cualquier actividad del usuario con acceso de emergencia fuera de un evento de emergencia indique un comportamiento sospechoso. Para recibir notificaciones sobre cualquier evento relacionado con la actividad de los usuarios con acceso de emergencia, crea una regla de informes en la Consola del administrador de Google. Cuando creas una regla de informes, puedes establecer condiciones como las siguientes:
- Fuente de datos: Eventos de registro del usuario
Atributos en la pestaña Creador de condiciones: Usa atributos y operadores para crear un filtro para la UO que contiene a tus usuarios con acceso de emergencia y los eventos.
Por ejemplo, puedes establecer atributos y operadores para crear un filtro similar a las siguientes instrucciones condicionales:
Actor organizational unit Is /Privileged AND (Event Is Successful login OR Event Is Failed login OR Event Is Account password change)Umbral: Cada 1 hora cuando el recuento es > 0
Acción: Enviar notificaciones por correo electrónico
Destinatarios de correo electrónico: Selecciona un grupo que contenga a los miembros pertinentes de tu equipo de seguridad.
Proporciona alternativas de autenticación para los usuarios críticos
Si tu organización usa SSO para permitir que los empleados se autentiquen en los servicios de Google, la disponibilidad de tu IdP externo se vuelve fundamental. Cualquier interrupción en tu IdP puede impedir que los empleados accedan a herramientas y recursos esenciales.
Si bien el acceso de emergencia te ayuda a garantizar el acceso administrativo continuo, no aborda las necesidades de los empleados durante una interrupción del IdP.
Para reducir el posible efecto de una interrupción del IdP, puedes configurar tu cuenta de Cloud Identity o Google Workspace para que use una alternativa de autenticación para los usuarios críticos. Puedes usar el siguiente plan de contingencia:
- Durante las operaciones normales, permites que los usuarios se autentiquen con el SSO.
- Durante una interrupción del IdP, puedes inhabilitar de forma selectiva el SSO para estos usuarios críticos y permitirles que se autentiquen con las credenciales de acceso de Google que aprovisionas con anticipación.
En las siguientes secciones, se describen las prácticas recomendadas cuando permites que los usuarios críticos se autentiquen durante las interrupciones del IdP externo.
Enfócate en los usuarios con privilegios
Para que los usuarios críticos se puedan autenticar durante una interrupción del IdP, deben tener credenciales de acceso con Google válidas, como las siguientes:
- Una contraseña con una llave de seguridad para la autenticación de dos factores
- Una llave de acceso
Cuando aprovisionas credenciales de acceso con Google para los usuarios que normalmente usan el SSO, es posible que aumentes la sobrecarga operativa y la fricción del usuario de las siguientes maneras:
- Es posible que no puedas sincronizar las contraseñas de los usuarios automáticamente, según tu IdP. Por lo tanto, es posible que debas pedirles a los usuarios que establezcan una contraseña de forma manual.
- Es posible que debas solicitar a los usuarios que registren una llave de acceso o que se inscriban en la verificación en 2 pasos. Por lo general, este paso no es necesario para los usuarios del SSO.
Para equilibrar los beneficios del acceso ininterrumpido a los servicios de Google con la sobrecarga adicional, enfócate en los usuarios privilegiados y los usuarios críticos para la empresa. Es más probable que estos usuarios se beneficien significativamente del acceso ininterrumpido, y es posible que solo representen una fracción de tu base de usuarios general.
Aprovecha la oportunidad para habilitar la verificación posterior al SSO
Cuando aprovisionas la autenticación alternativa para usuarios con privilegios, un resultado no deseado podría ser una sobrecarga adicional. Para ayudar a compensar esta sobrecarga, también puedes habilitar la verificación posterior al SSO para estos usuarios.
De forma predeterminada, cuando configuras el SSO para tus usuarios, no se les exige que realicen la verificación en 2 pasos. Si bien esta práctica es conveniente, si el IdP se ve comprometido, cualquier usuario que no tenga habilitada la verificación posterior al SSO puede convertirse en un objetivo de ataques de falsificación de credenciales.
La verificación posterior al SSO te ayuda a mitigar el posible efecto de una vulneración del IdP, ya que los usuarios deben realizar la verificación en 2 pasos después de cada intento de SSO. Si aprovisionas credenciales de acceso con Google para usuarios con privilegios, la verificación posterior al SSO puede ayudar a mejorar la seguridad de estas cuentas de usuario sin una sobrecarga adicional.
Usa una UO separada para los usuarios con privilegios
Los usuarios privilegiados que pueden autenticarse durante las interrupciones del IdP externo requieren una configuración especial. Esta configuración difiere de la de los usuarios normales y de los usuarios con acceso de emergencia.
Para ayudarte a mantener a los usuarios con privilegios separados de estas otras cuentas de usuario, usa una UO dedicada para los usuarios con privilegios. Esta UO independiente te ayuda a aplicar políticas personalizadas, como la verificación posterior al SSO, solo a estos usuarios con privilegios.
Una UO separada también te ayuda a inhabilitar de forma selectiva el SSO para los usuarios con privilegios durante una interrupción del IdP. Para inhabilitar el SSO en la UO, puedes modificar las asignaciones de perfiles de SSO.
Usa un IdP de respaldo
Cuando proporcionas alternativas de autenticación para los usuarios críticos durante las interrupciones del IdP, ayudas a reducir el efecto de esa interrupción en tu organización. Sin embargo, es posible que esta estrategia de mitigación no sea suficiente para mantener la capacidad operativa completa. Es posible que muchos usuarios aún no puedan acceder a aplicaciones y servicios esenciales.
Para reducir aún más el posible efecto de una interrupción del IdP, puedes conmutar por error a un IdP de copia de seguridad. Puedes usar el siguiente plan de copias de seguridad:
- Durante las operaciones normales, permites que los usuarios se autentiquen con el SSO y tu IdP principal.
- Durante una interrupción del IdP, cambias la configuración del SSO de tu cuenta de Cloud Identity o Google Workspace para cambiar al IdP de copia de seguridad.
No es necesario que el IdP de copia de seguridad sea del mismo proveedor. Cuando crees un IdP de copia de seguridad, usa una configuración que coincida con la de tu IdP principal. Para garantizar que el IdP de copia de seguridad permita que todos tus usuarios se autentiquen y accedan a los servicios de Google, debe usar una copia actualizada de la base de usuarios del IdP principal.
Un IdP de copia de seguridad puede ayudar a proporcionar acceso integral en caso de contingencias. Sin embargo, debes sopesar estas ventajas con los riesgos adicionales que podría introducir un IdP de copia de seguridad. Estos riesgos potenciales incluyen los siguientes:
- Si el IdP de copia de seguridad tiene una seguridad más débil que el IdP principal, la postura de seguridad general de tu entorno de Google Cloud también podría ser más débil durante una conmutación por error.
- Si el IdP principal y el de copia de seguridad difieren en cómo emiten aserciones de SAML, es posible que el IdP ponga a los usuarios en riesgo de sufrir ataques de suplantación de identidad.
En las siguientes secciones, se describen las prácticas recomendadas cuando usas un IdP de copia de seguridad para el acceso de contingencia.
Crea un perfil de SAML independiente para el IdP de copia de seguridad
Cloud Identity y Google Workspace te permiten crear varios perfiles de SAML. Cada perfil de SAML puede hacer referencia a un IdP de SAML diferente.
Para minimizar la cantidad de trabajo que se requiere para conmutar por error al IdP de copia de seguridad, prepara un perfil de SAML para el IdP de copia de seguridad con anticipación:
- Crea perfiles de SAML separados para tu IdP principal y tu IdP de copia de seguridad.
- Configura las asignaciones de perfiles de SSO para asignar solo el perfil de SAML del IdP principal durante las operaciones normales.
- Modifica las asignaciones de perfiles de SSO para usar el perfil de SAML del IdP de copia de seguridad durante una interrupción del IdP. No cambies la configuración individual del perfil de SAML.
Usa un IdP local existente
No necesitas aprovisionar un IdP adicional para que funcione como copia de seguridad. En su lugar, verifica si puedes usar un IdP local existente para este fin. Por ejemplo, tu organización podría usar Active Directory como fuente autorizada de identidades y también podría usar Active Directory Federation Services (AD FS) para el SSO. En este caso, es posible que puedas usar AD FS como IdP de copia de seguridad.
Este enfoque de reutilización puede ayudarte a limitar los costos y la sobrecarga de mantenimiento.
Prepara el IdP de respaldo para que controle la carga requerida
Cuando cambias la autenticación al IdP de copia de seguridad, este debe controlar todas las solicitudes de autenticación que normalmente controla tu IdP principal.
Cuando implementes y dimensionas un IdP de copia de seguridad, recuerda que la cantidad de solicitudes esperadas depende de los siguientes factores:
- La cantidad de usuarios en tu cuenta de Cloud Identity o Google Workspace
- La Google Cloud duración de la sesión configurada.
Por ejemplo, si la duración de la sesión es de entre 8 y 24 horas, es posible que las solicitudes de autenticación aumenten durante las horas de la mañana, cuando los empleados comienzan su jornada laboral.
Prueba el procedimiento de conmutación por error de forma periódica
Para garantizar que el proceso de conmutación por error del SSO funcione de manera confiable, debes verificarlo periódicamente. Cuando pruebes el procedimiento de conmutación por error, haz lo siguiente:
- Modifica manualmente la asignación del perfil de SSO de una o más OU o grupos para usar el IdP de copia de seguridad.
- Verifica que el SSO con el IdP de copia de seguridad funcione según lo esperado.
- Verifica que los certificados de firma estén actualizados.
¿Qué sigue?
- Revisa las prácticas recomendadas de seguridad para las cuentas de administrador.
- Obtén más información sobre las prácticas recomendadas para la federación Google Cloud con un proveedor de identidad externo.
- Para obtener más información sobre las arquitecturas de referencia, los diagramas y las prácticas recomendadas, explora Cloud Architecture Center.
Colaboradores
Autor: Johannes Passing | Arquitecto de soluciones de Cloud
Otro colaborador: Ido Flatow | Arquitecto de Soluciones de Cloud