Questo documento fornisce consigli per aiutarti a mantenere l'accesso continuo alle risorse Google Cloud . La continuità aziendale mira a garantire che la tua organizzazione possa mantenere le operazioni essenziali, anche durante interruzioni come interruzioni di servizio o disastri. Questo obiettivo include l'accesso continuo dei dipendenti quando servizi e infrastrutture critici non sono disponibili.
Questo documento è destinato ai professionisti della sicurezza o dell'affidabilità responsabili di Identity and Access Management (IAM) e della manutenzione dell'accesso sicuro a Google Cloud. Questo documento presuppone che tu abbia già familiarità con Cloud Identity, Google Workspace e la gestione IAM.
Per aiutarti a prepararti alle interruzioni e garantire l'accesso continuo, questo documento descrive i seguenti passaggi consigliati che puoi implementare. Puoi scegliere di eseguire tutti o alcuni di questi passaggi, ma ti consigliamo di implementarli nel seguente ordine.
Configura l'accesso di emergenza: abilita l'accesso di ultima istanza alle risorse Google Cloud .
Ti consigliamo di configurare l'accesso di emergenza per tutte le tue organizzazioniGoogle Cloud , indipendentemente dai tuoi requisiti individuali di continuità aziendale.
Fornisci alternative di autenticazione per gli utenti critici:se la tua organizzazione utilizza l'accesso Single Sign-On (SSO), qualsiasi interruzione che influisce sul tuo provider di identità (IdP) esterno può influire sulla capacità dei dipendenti di autenticarsi e utilizzare Google Cloud.
Per ridurre l'impatto complessivo di un'interruzione del provider di identità sulla tua organizzazione, fornisci un'alternativa di autenticazione per gli utenti business-critical per continuare ad accedere alle risorse Google Cloud .
Utilizza un IdP di backup:per consentire a tutti gli utenti di accedere alle risorse Google Cloud durante un'interruzione dell'IdP, puoi mantenere un IdP di fallback.
Un IdP di failover può contribuire a ridurre ulteriormente l'impatto di un'interruzione, ma questa opzione potrebbe non essere conveniente per tutte le organizzazioni.
Le sezioni seguenti descrivono questi passaggi e best practice consigliati.
Configurare l'accesso di emergenza
Lo scopo dell'accesso di emergenza è consentire l'accesso di ultima istanza alle risorseGoogle Cloud e prevenire situazioni in cui potresti perdere completamente l'accesso.
Gli utenti con accesso di emergenza sono caratterizzati dalle seguenti proprietà:
- Si tratta di utenti che crei nel tuo account Cloud Identity o Google Workspace.
- Dispone del privilegio di super amministratore, che fornisce agli utenti un accesso sufficiente per risolvere qualsiasi errore di configurazione che influisce su Cloud Identity, Google Workspace o Google Cloud risorse.
- Non sono associati a un dipendente specifico dell'organizzazione e sono esenti dal ciclo di vita Joiner, Mover e Leaver (JML) degli account utente regolari.
- Sono esenti dall'SSO.
Le sezioni seguenti descrivono le best practice consigliate da seguire quando gestisci e proteggi gli utenti con accesso di emergenza.
Crea utenti con accesso di emergenza per ogni ambiente
Per gli Google Cloud ambienti che ospitano carichi di lavoro di produzione, l'accesso di emergenza è fondamentale. Per gli ambienti Google Cloud utilizzati per test o staging, la perdita dell'accesso può comunque essere problematica.
Per garantire l'accesso continuo a tutti i tuoi Google Cloud ambienti, crea e gestisci utenti con accesso di emergenza in Cloud Identity o Google Workspace per ogni ambiente.
Garantire la ridondanza dell'accesso di emergenza
Un singolo utente con accesso di emergenza è un single point of failure. In questo scenario, un token di sicurezza rotto, una password smarrita o una sospensione dell'account possono interrompere l'accesso a un account. Per ridurre questo rischio, puoi creare più di un utente con accesso di emergenza per ogni account Cloud Identity o Google Workspace.
Gli utenti con accesso di emergenza dispongono di privilegi elevati, quindi non crearne troppi. Per la maggior parte delle organizzazioni, consigliamo un minimo di due e un massimo di cinque utenti con accesso di emergenza per ogni account Cloud Identity o Google Workspace.
Utilizzare un'unità organizzativa separata per gli utenti con accesso di emergenza
Gli utenti con accesso di emergenza richiedono una configurazione speciale e non sono soggetti al ciclo di vita JML che potresti seguire per altri account utente.
Per separare gli utenti con accesso di emergenza dagli account utente regolari, utilizza un'unità organizzativa dedicata per gli utenti con accesso di emergenza. Un'UO separata ti consente di applicare configurazioni personalizzate solo agli utenti di emergenza.
Utilizzare i token di sicurezza FIDO per la verifica in due passaggi
Utilizza i token di sicurezza Fast IDentity Online (FIDO) per la verifica in due passaggi.
Poiché gli utenti con accesso di emergenza sono utenti con privilegi elevati nel tuo account Cloud Identity o Google Workspace, devi proteggerli utilizzando la verifica in due passaggi.
Tra i metodi di verifica in due passaggi supportati da Cloud Identity e Google Workspace, ti consigliamo di utilizzare i token di sicurezza FIDO. Questo metodo offre protezione contro il phishing e una sicurezza elevata. Per assicurarti che tutti gli utenti con accesso di emergenza utilizzino i token di sicurezza FIDO per la verifica in due passaggi, esegui le seguenti operazioni:
- Nell'unità organizzativa che contiene gli utenti con accesso di emergenza, configura la verifica in due passaggi in modo da consentire solo i token di sicurezza come metodo di autenticazione.
- Per tutti gli utenti con accesso di emergenza, attiva la verifica in due passaggi.
- Per ogni utente con accesso di emergenza, registra due o più token di sicurezza FIDO.
Quando registri più chiavi per ogni utente, contribuisci a ridurre il rischio di perdere l'accesso a causa di un token di sicurezza rotto. Inoltre, aumenti la probabilità che l'utente possa accedere ad almeno una delle chiavi in caso di emergenza.
È accettabile utilizzare lo stesso insieme di chiavi di sicurezza per più utenti con accesso di emergenza. Tuttavia, è preferibile utilizzare token di sicurezza diversi per ogni utente con accesso di emergenza.
Utilizzare controlli di sicurezza fisica per proteggere le credenziali e i token di sicurezza
Quando memorizzi le credenziali e i token di sicurezza degli utenti con accesso di emergenza, devi bilanciare una protezione efficace con la disponibilità durante un'emergenza:
- Impedire al personale non autorizzato di accedere alle credenziali utente di accesso di emergenza. Gli utenti con accesso di emergenza devono utilizzare queste credenziali solo in caso di emergenza.
- Assicurati che il personale autorizzato possa accedere alle credenziali con un ritardo minimo durante un'emergenza.
Ti consigliamo di non fare affidamento su un gestore delle password basato su software. È invece preferibile fare affidamento a controlli di sicurezza fisici per proteggere le credenziali e i token di sicurezza degli utenti con accesso di emergenza.
Quando scegli i controlli di sicurezza fisica da applicare, considera quanto segue:
- Migliora la disponibilità:
- Conserva copie delle password in più sedi fisiche, ad esempio in più casseforti di sicurezza in uffici diversi.
- Registra più token di sicurezza per ogni utente con accesso di emergenza e conserva un token in ogni sede dell'ufficio pertinente.
- Migliora la sicurezza:memorizza la password e i token di sicurezza in posizioni diverse.
Evita l'automazione per la rotazione delle password
Potrebbe sembrare vantaggioso automatizzare la rotazione delle password per gli utenti con accesso di emergenza. Tuttavia, questa automazione potrebbe aumentare il rischio di compromissione della sicurezza. Gli utenti con accesso di emergenza dispongono dei privilegi di super amministratore. Per ruotare la password di un utente super amministratore, anche gli strumenti o gli script di automazione devono disporre dei privilegi di super amministratore. Questo requisito può rendere gli strumenti obiettivi attraenti per gli autori di attacchi.
Per non compromettere la tua postura di sicurezza complessiva, non utilizzare l'automazione per ruotare le password.
Utilizzare password efficaci
Per contribuire a proteggere gli utenti con accesso di emergenza, assicurati che utilizzino una password lunga ed efficace. Per applicare un livello minimo di complessità della password, utilizza un'unità organizzativa dedicata come descritto in precedenza e implementa i requisiti per le password.
A meno che tu non ruoti manualmente le password, disattiva la scadenza delle password per tutti gli utenti con accesso di emergenza.
Escludere un utente con accesso di emergenza dalle policy di accesso
Durante un'emergenza, i criteri di accesso sensibile al contesto potrebbero causare una situazione in cui anche un utente con accesso di emergenza non può accedere a determinate risorse. Per ridurre questo rischio, escludi almeno un utente con accesso di emergenza da tutti i livelli di accesso nei tuoi criteri di accesso.
Queste esenzioni ti aiutano a garantire che almeno uno dei tuoi utenti con accesso di emergenza abbia accesso continuo alle risorse. In caso di emergenza o di criterio di accesso sensibile al contesto configurato in modo errato, questi utenti con accesso di emergenza possono mantenere il proprio accesso.
Configurare gli avvisi per gli eventi utente di accesso di emergenza
Qualsiasi attività utente accesso di emergenza al di fuori di un evento di emergenza indica probabilmente un comportamento sospetto. Per ricevere una notifica in caso di eventi correlati all'attività degli utenti con accesso di emergenza, crea una regola di reporting nella Console di amministrazione Google. Quando crei una regola di reporting, puoi impostare condizioni come le seguenti:
- Origine dati:eventi dei log utente.
Attributi nella scheda Generatore di condizioni: utilizza gli attributi e gli operatori per creare un filtro per l'UO che contiene gli utenti con accesso di emergenza e gli eventi.
Ad esempio, puoi impostare attributi e operatori per creare un filtro simile alle seguenti istruzioni condizionali:
Actor organizational unit Is /Privileged AND (Event Is Successful login OR Event Is Failed login OR Event Is Account password change)Soglia: ogni ora quando il conteggio è > 0
Azione:invia notifiche via email
Destinatari email:seleziona un gruppo che contenga i membri pertinenti del tuo team di sicurezza
Fornire alternative di autenticazione per gli utenti critici
Se la tua organizzazione utilizza il Single Sign-On per consentire ai dipendenti di autenticarsi nei servizi Google, la disponibilità del tuo IdP di terze parti diventa fondamentale. Qualsiasi interruzione del tuo IdP può impedire ai dipendenti di accedere a strumenti e risorse essenziali.
Sebbene l'accesso di emergenza ti aiuti a garantire l'accesso amministrativo continuo, non soddisfa le esigenze dei dipendenti durante un'interruzione del provider di identità.
Per ridurre il potenziale effetto di un'interruzione dell'IdP, puoi configurare il tuo account Cloud Identity o Google Workspace in modo da utilizzare un fallback di autenticazione per gli utenti critici. Puoi utilizzare il seguente piano di fallback:
- Durante le normali operazioni, consenti agli utenti di autenticarsi utilizzando l'SSO.
- Durante un'interruzione dell'IdP, disattiva selettivamente l'SSO per questi utenti critici e consenti loro di autenticarsi utilizzando le credenziali di accesso a Google, che fornisci in anticipo.
Le sezioni seguenti descrivono le best practice consigliate quando consenti l'autenticazione degli utenti critici durante le interruzioni dell'IdP esterno.
Concentrati sugli utenti con privilegi
Affinché gli utenti critici possano autenticarsi durante un'interruzione del provider di identità, devono disporre di credenziali di accesso con Google valide, ad esempio:
- Una password con un token di sicurezza per l'autenticazione a due fattori.
- Una passkey.
Quando esegui il provisioning delle credenziali di accesso con Google per gli utenti che normalmente utilizzano SSO, potresti aumentare il sovraccarico operativo e l'attrito degli utenti nei seguenti modi:
- A seconda dell'IdP, potresti non essere in grado di sincronizzare automaticamente le password degli utenti. Pertanto, potresti dover chiedere agli utenti di impostare una password manualmente.
- Potresti dover richiedere agli utenti di registrare una passkey o di registrarsi alla verifica in due passaggi. Questo passaggio di solito non è necessario per gli utenti SSO.
Per bilanciare i vantaggi dell'accesso ininterrotto ai servizi Google con i costi aggiuntivi, concentrati sugli utenti privilegiati e fondamentali per l'attività. Questi utenti hanno maggiori probabilità di trarre vantaggio in modo significativo dall'accesso ininterrotto e potrebbero rappresentare solo una frazione della tua base utenti complessiva.
Utilizzare l'opportunità di attivare la verifica post-SSO
Quando esegui il provisioning dell'autenticazione alternativa per gli utenti con privilegi, un risultato imprevisto potrebbe essere un sovraccarico aggiuntivo. Per contribuire a compensare questo sovraccarico, puoi anche attivare la verifica post-SSO per questi utenti.
Per impostazione predefinita, quando configuri l'SSO per i tuoi utenti, non è necessario che eseguano la verifica in due passaggi. Sebbene questa pratica sia comoda, se l'IdP viene compromesso, qualsiasi utente che non ha attivato la verifica post-SSO può diventare un bersaglio di attacchi di falsificazione delle credenziali.
La verifica post-SSO ti aiuta a mitigare il potenziale effetto di una compromissione dell'IdP perché gli utenti devono eseguire la verifica in due passaggi dopo ogni tentativo di SSO. Se esegui il provisioning delle credenziali di accesso a Google per gli utenti con privilegi, la verifica post-SSO può contribuire a migliorare la postura di sicurezza di questi account utente senza costi aggiuntivi.
Utilizzare una UO separata per gli utenti con privilegi
Gli utenti con privilegi che possono autenticarsi durante le interruzioni dell'IdP esterno richiedono una configurazione speciale. Questa configurazione è diversa da quella per gli utenti regolari e per gli utenti con accesso di emergenza.
Per separare gli utenti con privilegi da questi altri account utente, utilizza un'unità organizzativa dedicata agli utenti con privilegi. Questa unità organizzativa separata ti consente di applicare criteri personalizzati, ad esempio la verifica post-SSO, solo a questi utenti con privilegi.
Un'unità organizzativa separata ti aiuta anche a disattivare selettivamente l'SSO per gli utenti con privilegi durante un'interruzione dell'IdP. Per disattivare l'SSO per l'unità organizzativa, puoi modificare le assegnazioni dei profili SSO.
Utilizzare un IdP di backup
Quando fornisci alternative di autenticazione per gli utenti critici durante le interruzioni del provider di identità, contribuisci a ridurre l'effetto di questa interruzione sulla tua organizzazione. Tuttavia, questa strategia di mitigazione potrebbe non essere sufficiente per mantenere la piena capacità operativa. Molti utenti potrebbero ancora non essere in grado di accedere ad applicazioni e servizi essenziali.
Per ridurre ulteriormente il potenziale effetto di un'interruzione dell'IdP, puoi eseguire il failover a un IdP di backup. Puoi utilizzare il seguente piano di backup:
- Durante le normali operazioni, consenti agli utenti di autenticarsi utilizzando SSO e il tuo IdP principale.
- Durante un'interruzione dell'IdP, modifichi la configurazione SSO del tuo account Cloud Identity o Google Workspace per passare all'IdP di backup.
L'IdP di backup non deve provenire dallo stesso fornitore. Quando crei un IdP di backup, utilizza una configurazione che corrisponda a quella dell'IdP principale. Per garantire che l'IdP di backup consenta a tutti gli utenti di autenticarsi e accedere ai servizi Google, deve utilizzare una copia aggiornata della base utenti dell'IdP principale.
Un IdP di backup può contribuire a fornire un accesso di emergenza completo. Tuttavia, devi valutare questi vantaggi rispetto ai rischi aggiuntivi che un IdP di backup potrebbe introdurre. Questi potenziali rischi includono:
- Se l'IdP di backup ha una sicurezza più debole dell'IdP principale, anche la strategia di sicurezza complessiva del tuo ambiente Google Cloud potrebbe essere più debole durante un failover.
- Se l'IdP principale e l'IdP di backup differiscono nel modo in cui emettono le asserzioni SAML, l'IdP potrebbe esporre gli utenti al rischio di attacchi di spoofing.
Le seguenti sezioni descrivono le best practice consigliate quando utilizzi un IdP di backup per l'accesso di emergenza.
Crea un profilo SAML separato per l'IdP di backup
Cloud Identity e Google Workspace ti consentono di creare più profili SAML. Ogni profilo SAML può fare riferimento a un IdP SAML diverso.
Per ridurre al minimo la quantità di lavoro necessaria per eseguire il failover all'IdP di backup, prepara in anticipo un profilo SAML per l'IdP di backup:
- Crea profili SAML separati per l'IdP principale e per l'IdP di backup.
- Configura le assegnazioni dei profili SSO per assegnare solo il profilo SAML dell'IdP principale durante le normali operazioni.
- Modifica le assegnazioni dei profili SSO per utilizzare il profilo SAML dell'IdP di backup durante un'interruzione dell'IdP. Non modificare le singole impostazioni del profilo SAML.
Utilizzare un IdP on-premise esistente
Non è necessario eseguire il provisioning di un IdP aggiuntivo da utilizzare come backup. In alternativa, controlla se puoi utilizzare un IdP on-premise esistente per questo scopo. Ad esempio, la tua organizzazione potrebbe utilizzare Active Directory come origine autorevole per le identità e potrebbe anche utilizzare Active Directory Federation Services (AD FS) per l'SSO. In questo scenario, potresti essere in grado di utilizzare AD FS come IdP di backup.
Questo approccio di riutilizzo può aiutarti a limitare i costi e le spese di manutenzione.
Prepara l'IdP di backup per gestire il carico richiesto
Quando passi all'autenticazione con l'IdP di backup, questo deve gestire tutte le richieste di autenticazione che normalmente vengono gestite dall'IdP principale.
Quando esegui il deployment e dimensionamento di un IdP di backup, ricorda che il numero di richieste previste dipende dai seguenti fattori:
- Il numero di utenti nel tuo account Cloud Identity o Google Workspace.
- La Google Cloud durata della sessione configurata.
Ad esempio, se la durata della sessione è compresa tra 8 e 24 ore, le richieste di autenticazione potrebbero aumentare durante le ore mattutine, quando i dipendenti iniziano la loro giornata lavorativa.
Testa periodicamente la procedura di failover
Per assicurarti che la procedura di failover SSO funzioni in modo affidabile, devi verificare periodicamente la procedura. Quando testi la procedura di failover, procedi nel seguente modo:
- Modifica manualmente l'assegnazione del profilo SSO di una o più unità organizzative o gruppi per utilizzare l'IdP di backup.
- Verifica che il servizio SSO con l'IdP di backup funzioni come previsto.
- Verifica che i certificati di firma siano aggiornati.
Passaggi successivi
- Consulta le best practice per la protezione degli account amministratore.
- Scopri di più sulle best practice per la federazione Google Cloud con un provider di identità esterno.
- Per ulteriori architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.
Collaboratori
Autore: Johannes Passing | Cloud Solutions Architect
Altro collaboratore: Ido Flatow | Cloud Solutions Architect