Bonnes pratiques pour un accès continu à Google Cloud

Ce document fournit des recommandations pour vous aider à conserver un accès continu aux ressources Google Cloud . La continuité des activités vise à garantir que votre organisation peut maintenir ses opérations essentielles, même en cas d'interruption de service ou de sinistre. Cet objectif inclut l'accès continu des employés lorsque les services et l'infrastructure critiques ne sont pas disponibles.

Ce document est destiné aux professionnels de la sécurité ou de la fiabilité responsables de la gestion des identités et des accès (IAM) et du maintien d'un accès sécurisé à Google Cloud. Dans ce document, nous partons du principe que vous connaissez déjà Cloud Identity, Google Workspace et la gestion IAM.

Pour vous aider à vous préparer aux pannes et à assurer un accès continu, ce document décrit les étapes recommandées que vous pouvez mettre en œuvre. Vous pouvez choisir d'effectuer toutes ces étapes ou seulement certaines d'entre elles, mais nous vous recommandons de les implémenter dans l'ordre suivant.

1. Configurer l'accès d'urgence : activez l'accès de dernier recours aux ressourcesGoogle Cloud .

   Nous vous recommandons de configurer un accès d'urgence pour toutes vos organisationsGoogle Cloud , quels que soient vos besoins individuels en matière de continuité des activités.

2. Proposez des alternatives d'authentification pour les utilisateurs critiques : si votre organisation utilise l'authentification unique (SSO), toute interruption affectant votre fournisseur d'identité (IdP) externe peut avoir un impact sur la capacité des employés à s'authentifier et à utiliserGoogle Cloud.

   Pour réduire l'impact global d'une interruption de l'IdP sur votre organisation, proposez une méthode d'authentification alternative aux utilisateurs essentiels pour qu'ils puissent continuer à accéder aux ressources Google Cloud .

3. Utiliser un IdP de secours : pour permettre à tous les utilisateurs d'accéder aux ressources Google Clouden cas de problème avec l'IdP, vous pouvez conserver un IdP de secours.

   Un IdP de secours peut aider à minimiser davantage l'impact d'une interruption, mais cette option peut ne pas être rentable pour toutes les organisations.

Les sections suivantes décrivent ces étapes recommandées et ces bonnes pratiques.

Configurer l'accès d'urgence

L'accès d'urgence permet d'accéder en dernier recours aux ressourcesGoogle Cloud et d'éviter les situations dans lesquelles vous pourriez perdre complètement l'accès.

Les utilisateurs ayant un accès d'urgence sont caractérisés par les propriétés suivantes :

• Il s'agit des utilisateurs que vous créez dans votre compte Cloud Identity ou Google Workspace.
• Ils disposent des droits de super-administrateur, qui leur permettent d'accéder aux ressources Cloud Identity, Google Workspace ouGoogle Cloud et de résoudre toute erreur de configuration les affectant.
• Ils ne sont pas associés à un employé spécifique de l'organisation et sont exemptés du cycle de vie Joiner, Mover, and Leaver (JML) des comptes utilisateur standards.
• Ils sont exemptés du SSO.

Les sections suivantes décrivent les bonnes pratiques recommandées à suivre lorsque vous gérez et sécurisez les utilisateurs ayant un accès d'urgence.

Créer des utilisateurs disposant d'un accès d'urgence pour chaque environnement

L'accès d'urgence est essentiel pour les environnements Google Cloud qui hébergent des charges de travail de production. Pour les environnements Google Cloud utilisés à des fins de test ou de préproduction, une perte d'accès peut tout de même être perturbante.

Pour garantir un accès continu à tous vos environnements Google Cloud , créez et gérez des utilisateurs disposant d'un accès d'urgence dans Cloud Identity ou Google Workspace pour chaque environnement.

Assurer la redondance de l'accès d'urgence

Un seul utilisateur disposant de l'accès d'urgence constitue un point de défaillance unique. Dans ce scénario, une clé de sécurité défectueuse, un mot de passe perdu ou une suspension de compte peuvent perturber l'accès à un compte. Pour atténuer ce risque, vous pouvez créer plusieurs utilisateurs ayant accès en cas d'urgence pour chaque compte Cloud Identity ou Google Workspace.

Les utilisateurs disposant d'un accès d'urgence sont très privilégiés. Ne créez donc pas trop de comptes de ce type. Pour la plupart des organisations, nous recommandons un minimum de deux et un maximum de cinq utilisateurs ayant accès à la fonctionnalité d'accès d'urgence pour chaque compte Cloud Identity ou Google Workspace.

Utiliser une unité organisationnelle distincte pour les utilisateurs ayant un accès d'urgence

Les utilisateurs ayant un accès d'urgence nécessitent une configuration spéciale et ne sont pas soumis au cycle de vie JML que vous pouvez suivre pour d'autres comptes utilisateur.

Pour séparer les utilisateurs avec accès d'urgence des comptes utilisateur standards, utilisez une unité organisationnelle (UO) dédiée. Une UO distincte vous permet d'appliquer des configurations personnalisées uniquement aux utilisateurs d'urgence.

Utiliser des clés de sécurité FIDO pour la validation en deux étapes

Utilisez des clés de sécurité Fast IDentity Online (FIDO) pour la validation en deux étapes.

Étant donné que les utilisateurs ayant un accès d'urgence disposent de droits très étendus dans votre compte Cloud Identity ou Google Workspace, vous devez les protéger à l'aide de la validation en deux étapes.

Parmi les méthodes de validation en deux étapes compatibles avec Cloud Identity et Google Workspace, nous vous recommandons d'utiliser des clés de sécurité FIDO. Cette méthode offre une protection contre l'hameçonnage et une sécurité renforcée. Pour vous assurer que tous vos utilisateurs ayant un accès d'urgence utilisent des clés de sécurité FIDO pour la validation en deux étapes, procédez comme suit :

• Dans l'UO qui contient vos utilisateurs ayant un accès d'urgence, configurez la validation en deux étapes pour autoriser uniquement les clés de sécurité comme méthode d'authentification.
• Activez la validation en deux étapes pour tous les utilisateurs ayant un accès d'urgence.
• Inscrivez au moins deux clés de sécurité FIDO pour chaque utilisateur ayant accès à la récupération d'urgence.

En enregistrant plusieurs clés pour chaque utilisateur, vous contribuez à réduire le risque de perte d'accès en cas de clé de sécurité défectueuse. Vous augmentez également la probabilité que l'utilisateur puisse accéder à au moins l'une des clés en cas d'urgence.

Il est acceptable d'utiliser le même ensemble de clés de sécurité pour plusieurs utilisateurs ayant accès à la récupération d'urgence. Toutefois, il est préférable d'utiliser des clés de sécurité différentes pour chaque utilisateur ayant accès à la récupération d'urgence.

Utiliser des contrôles de sécurité physique pour protéger les identifiants et les clés de sécurité

Lorsque vous stockez les identifiants et les clés de sécurité des utilisateurs ayant un accès d'urgence, vous devez trouver un équilibre entre une protection renforcée et la disponibilité en cas d'urgence :

• Empêchez le personnel non autorisé d'accéder aux identifiants des utilisateurs ayant un accès d'urgence. Les utilisateurs ayant un accès d'urgence ne doivent utiliser ces identifiants qu'en cas d'urgence.
• Assurez-vous que le personnel autorisé peut accéder aux identifiants avec un délai minimal en cas d'urgence.

Nous vous recommandons de ne pas vous fier à un gestionnaire de mots de passe logiciel. Il est préférable de s'appuyer sur des contrôles de sécurité physique pour protéger les identifiants et les clés de sécurité des utilisateurs ayant un accès d'urgence.

Lorsque vous choisissez les contrôles de sécurité physique à appliquer, tenez compte des points suivants :

• Améliorer la disponibilité
  • Stockez des copies des mots de passe dans plusieurs emplacements physiques, par exemple dans plusieurs coffres-forts sécurisés situés dans différents bureaux.
  • Enregistrez plusieurs clés de sécurité pour chaque utilisateur ayant un accès d'urgence et stockez une clé dans chaque bureau concerné.
• Améliorer la sécurité : stockez le mot de passe et les clés de sécurité dans des emplacements différents.

Évitez l'automatisation pour la rotation des mots de passe

Il peut sembler avantageux d'automatiser la rotation des mots de passe pour les utilisateurs ayant un accès d'urgence. Toutefois, cette automatisation peut augmenter le risque de compromission de la sécurité. Les utilisateurs disposant d'un accès d'urgence ont les droits d'un super-administrateur. Pour modifier le mot de passe d'un super-administrateur, les outils ou scripts d'automatisation doivent également disposer des droits de super-administrateur. Cette exigence peut faire de ces outils des cibles intéressantes pour les pirates informatiques.

Pour ne pas affaiblir votre niveau de sécurité global, n'utilisez pas l'automatisation pour alterner les mots de passe.

Utiliser des mots de passe sécurisés

Pour protéger les utilisateurs ayant un accès d'urgence, assurez-vous qu'ils utilisent un mot de passe long et sécurisé. Pour appliquer un niveau de complexité minimal pour les mots de passe, utilisez une UO dédiée comme décrit précédemment et mettez en œuvre des exigences concernant les mots de passe.

À moins que vous ne changiez manuellement les mots de passe, désactivez l'expiration des mots de passe pour tous les utilisateurs ayant accès en cas d'urgence.

Exclure un utilisateur ayant un accès d'urgence des règles d'accès

En cas d'urgence, les règles d'accès contextuel peuvent entraîner une situation dans laquelle même un utilisateur disposant d'un accès d'urgence ne peut pas accéder à certaines ressources. Pour limiter ce risque, excluez au moins un utilisateur disposant d'un accès d'urgence de tous les niveaux d'accès de vos règles d'accès.

Ces exemptions vous aident à vous assurer qu'au moins l'un de vos utilisateurs ayant accès en cas d'urgence dispose d'un accès continu aux ressources. En cas d'urgence ou de règle d'accès contextuel mal configurée, ces utilisateurs peuvent conserver leur accès.

Configurer des alertes pour les événements utilisateur liés à l'accès d'urgence

Toute activité d'un utilisateur ayant un accès d'urgence en dehors d'un événement d'urgence indique probablement un comportement suspect. Pour recevoir des notifications concernant les événements liés à l'activité des utilisateurs ayant un accès d'urgence, créez une règle de reporting dans la console d'administration Google. Lorsque vous créez une règle de reporting, vous pouvez définir des conditions telles que les suivantes :

• Source de données : événements de journaux des utilisateurs.

• Attributs de l'onglet Générateur de conditions : utilisez des attributs et des opérateurs pour créer un filtre pour l'UO contenant vos utilisateurs ayant un accès d'urgence et les événements.

  Par exemple, vous pouvez définir des attributs et des opérateurs pour créer un filtre semblable aux instructions conditionnelles suivantes :

  Actor organizational unit Is /Privileged
  
  AND
  
  (Event Is Successful login OR Event Is Failed login OR Event Is Account
  password change)
  

• Seuil : toutes les heures lorsque le nombre est supérieur à 0

• Action : envoyer des notifications par e-mail

• Destinataires des e-mails : sélectionnez un groupe contenant les membres concernés de votre équipe de sécurité.

Proposer des alternatives d'authentification pour les utilisateurs critiques

Si votre organisation utilise l'authentification unique pour permettre aux employés de s'authentifier auprès des services Google, la disponibilité de votre fournisseur d'identité tiers devient essentielle. Toute interruption de votre IdP peut empêcher les employés d'accéder aux outils et ressources essentiels.

Bien que l'accès d'urgence vous aide à garantir un accès administratif continu, il ne répond pas aux besoins des employés en cas d'indisponibilité de l'IdP.

Pour réduire l'impact potentiel d'une interruption de l'IdP, vous pouvez configurer votre compte Cloud Identity ou Google Workspace pour utiliser une solution de secours pour l'authentification des utilisateurs critiques. Vous pouvez utiliser le plan de secours suivant :

• En temps normal, vous autorisez les utilisateurs à s'authentifier à l'aide de l'authentification unique.
• En cas d'indisponibilité de l'IdP, vous pouvez désactiver sélectivement l'authentification unique pour ces utilisateurs critiques et leur permettre de s'authentifier à l'aide des identifiants de connexion Google que vous avez provisionnés à l'avance.

Les sections suivantes décrivent les bonnes pratiques recommandées lorsque vous autorisez les utilisateurs critiques à s'authentifier en cas de panne du fournisseur d'identité externe.

Se concentrer sur les utilisateurs privilégiés

Pour que les utilisateurs critiques puissent s'authentifier en cas d'indisponibilité du fournisseur d'identité, ils doivent disposer d'identifiants de connexion Google valides, tels que les suivants :

• Un mot de passe avec une clé de sécurité pour l'authentification à deux facteurs.
• Clé d'accès.

Lorsque vous provisionnez des identifiants de connexion Google pour les utilisateurs qui utilisent normalement l'authentification unique, vous pouvez augmenter la charge opérationnelle et les frictions pour les utilisateurs de la manière suivante :

• Selon votre IdP, il est possible que vous ne puissiez pas synchroniser automatiquement les mots de passe des utilisateurs. Vous devrez peut-être demander aux utilisateurs de définir un mot de passe manuellement.
• Vous devrez peut-être demander aux utilisateurs d'enregistrer une clé d'accès ou de s'inscrire à la validation en deux étapes. Cette étape n'est généralement pas nécessaire pour les utilisateurs de l'authentification unique.

Pour équilibrer les avantages d'un accès ininterrompu aux services Google avec les frais supplémentaires, concentrez-vous sur les utilisateurs privilégiés et essentiels à l'activité. Ces utilisateurs sont plus susceptibles de bénéficier d'un accès ininterrompu, et ils ne représentent peut-être qu'une fraction de votre base d'utilisateurs globale.

Profitez-en pour activer la validation post-authentification unique

Lorsque vous provisionnez une authentification alternative pour les utilisateurs privilégiés, vous risquez d'obtenir un résultat inattendu, à savoir une surcharge supplémentaire. Pour compenser ces frais généraux, vous pouvez également activer la validation post-SSO pour ces utilisateurs.

Par défaut, lorsque vous configurez l'authentification unique pour vos utilisateurs, ils ne sont pas tenus d'effectuer la validation en deux étapes. Bien que cette pratique soit pratique, si le fournisseur d'identité est compromis, tout utilisateur pour lequel la validation post-authentification unique n'est pas activée peut devenir la cible d'attaques par falsification d'identifiants.

La validation post-authentification unique vous aide à atténuer l'impact potentiel d'une compromission du fournisseur d'identité, car les utilisateurs doivent effectuer la validation en deux étapes après chaque tentative d'authentification unique. Si vous provisionnez des identifiants de connexion Google pour les utilisateurs privilégiés, la validation post-SSO peut contribuer à améliorer la sécurité de ces comptes utilisateur sans surcharge supplémentaire.

Utiliser une UO distincte pour les utilisateurs privilégiés

Les utilisateurs privilégiés qui peuvent s'authentifier en cas de panne du fournisseur d'identité externe nécessitent une configuration spéciale. Cette configuration diffère de celle des utilisateurs standards et des utilisateurs ayant un accès d'urgence.

Pour vous aider à séparer les utilisateurs privilégiés de ces autres comptes utilisateur, utilisez une UO dédiée aux utilisateurs privilégiés. Cette UO distincte vous permet d'appliquer des règles personnalisées, telles que la validation post-authentification unique, uniquement à ces utilisateurs privilégiés.

Une UO distincte vous permet également de désactiver sélectivement l'authentification unique pour les utilisateurs privilégiés en cas d'indisponibilité de l'IdP. Pour désactiver le SSO pour l'UO, vous pouvez modifier les attributions de profil SSO.

Utiliser un FIdP de secours

Lorsque vous proposez des alternatives d'authentification aux utilisateurs critiques en cas de panne de l'IdP, vous contribuez à réduire l'impact de cette panne sur votre organisation. Toutefois, cette stratégie d'atténuation peut ne pas suffire à maintenir la pleine capacité opérationnelle. De nombreux utilisateurs peuvent encore être dans l'impossibilité d'accéder aux applications et services essentiels.

Pour réduire davantage l'effet potentiel d'une panne de fournisseur d'identité, vous pouvez basculer vers un fournisseur d'identité de sauvegarde. Vous pouvez utiliser le plan de sauvegarde suivant :

• En temps normal, vous autorisez les utilisateurs à s'authentifier à l'aide de l'authentification unique et de votre IdP principal.
• En cas d'indisponibilité de l'IdP, vous modifiez la configuration SSO de votre compte Cloud Identity ou Google Workspace pour passer à l'IdP de sauvegarde.

L'IdP de sauvegarde ne doit pas nécessairement provenir du même fournisseur. Lorsque vous créez un IdP de sauvegarde, utilisez une configuration qui correspond à celle de votre IdP principal. Pour vous assurer que l'IdP de sauvegarde permet à tous vos utilisateurs de s'authentifier et d'accéder aux services Google, il doit utiliser une copie à jour de la base d'utilisateurs de l'IdP principal.

Un FIdP de sauvegarde peut vous aider à bénéficier d'un accès complet en cas d'urgence. Toutefois, vous devez mettre en balance ces avantages et les risques supplémentaires qu'un FIdP de sauvegarde peut introduire. Voici quelques exemples de risques potentiels :

• Si l'IdP de secours présente une sécurité plus faible que l'IdP principal, la stratégie de sécurité globale de votre environnement Google Cloud peut également être plus faible lors d'un basculement.
• Si l'IdP principal et l'IdP de sauvegarde diffèrent dans la manière dont ils émettent les assertions SAML, l'IdP peut exposer les utilisateurs à des attaques par usurpation d'identité.

Les sections suivantes décrivent les bonnes pratiques recommandées lorsque vous utilisez un IdP de sauvegarde pour l'accès en cas d'urgence.

Créer un profil SAML distinct pour l'IdP de secours

Cloud Identity et Google Workspace vous permettent de créer plusieurs profils SAML. Chaque profil SAML peut faire référence à un IdP SAML différent.

Pour minimiser la quantité de travail nécessaire pour basculer vers l'IdP de sauvegarde, préparez un profil SAML pour l'IdP de sauvegarde à l'avance :

• Créez des profils SAML distincts pour votre IdP principal et votre IdP de secours.
• Configurez les attributions de profil SSO pour n'attribuer que le profil SAML du fournisseur d'identité principal lors des opérations normales.
• Modifiez les attributions de profil SSO pour utiliser le profil SAML de l'IdP de secours en cas d'indisponibilité de l'IdP. Ne modifiez pas les paramètres individuels du profil SAML.

Utiliser un IdP sur site existant

Vous n'avez pas besoin de provisionner un fournisseur d'identité supplémentaire pour servir de sauvegarde. Vérifiez plutôt si vous pouvez utiliser un IdP sur site existant à cette fin. Par exemple, votre organisation peut utiliser Active Directory comme source faisant autorité pour les identités et Active Directory Federation Services (AD FS) pour l'authentification unique. Dans ce cas, vous pourrez peut-être utiliser AD FS comme IdP de secours.

Cette approche de réutilisation peut vous aider à limiter les coûts et les frais généraux de maintenance.

Préparez le FIdP de sauvegarde pour qu'il puisse gérer la charge requise.

Lorsque vous passez à l'IdP de sauvegarde pour l'authentification, il doit gérer toutes les demandes d'authentification que votre IdP principal gère normalement.

Lorsque vous déployez et dimensionnez un IdP de sauvegarde, n'oubliez pas que le nombre de requêtes attendues dépend des facteurs suivants :

• Le nombre d'utilisateurs dans votre compte Cloud Identity ou Google Workspace.
• La durée de session configurée :Google Cloud .

Par exemple, si la durée de la session est comprise entre 8 et 24 heures, les demandes d'authentification peuvent augmenter pendant les heures du matin, lorsque les employés commencent leur journée de travail.

Tester régulièrement la procédure de basculement

Pour vous assurer que le processus de basculement du SSO fonctionne de manière fiable, vous devez le vérifier régulièrement. Lorsque vous testez la procédure de basculement, procédez comme suit :

• Modifiez manuellement l'attribution du profil SSO d'une ou de plusieurs unités organisationnelles ou groupes pour utiliser l'IdP de sauvegarde.
• Vérifiez que l'authentification unique avec l'IdP de secours fonctionne comme prévu.
• Vérifiez que les certificats de signature sont à jour.

Étapes suivantes

• Consultez les bonnes pratiques de sécurité pour les comptes administrateur.
• Découvrez les bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.
• Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.

Contributeurs

Auteur : Johannes Passing | Architecte de solutions cloud

Autre contributeur : Ido Flatow | Architecte de solutions cloud