Este documento fornece recomendações para ajudar a manter o acesso contínuo aos recursos. Google Cloud A continuidade da atividade empresarial visa garantir que a sua organização pode manter as operações essenciais, mesmo durante interrupções, como falhas de energia ou desastres. Este objetivo inclui o acesso contínuo dos funcionários quando os serviços e a infraestrutura críticos não estão disponíveis.
Este documento destina-se a profissionais de segurança ou fiabilidade responsáveis pela gestão de identidade e acesso (IAM) e pela manutenção do acesso seguro a Google Cloud. Este documento pressupõe que já está familiarizado com o Cloud ID, o Google Workspace e a gestão do IAM.
Para ajudar a preparar-se para indisponibilidades e garantir o acesso contínuo, este documento descreve os seguintes passos recomendados que pode implementar. Pode optar por realizar todos ou alguns destes passos, mas recomendamos que os implemente pela seguinte ordem.
Configure o acesso de emergência: ative o acesso de último recurso aos Google Cloud recursos.
Recomendamos que configure o acesso de emergência para todas as suas Google Cloud organizações, independentemente dos seus requisitos individuais de continuidade da empresa.
Ofereça alternativas de autenticação para utilizadores críticos: se a sua organização usar o início de sessão único (SSO), qualquer interrupção que afete o seu fornecedor de identidade (IdP) externo pode afetar a capacidade dos funcionários de se autenticarem e usarem oGoogle Cloud.
Para reduzir o impacto geral de uma interrupção do IdP na sua organização, ofereça uma alternativa de autenticação para que os utilizadores essenciais para a empresa continuem a aceder aos Google Cloud recursos.
Use um IdP de cópia de segurança: para permitir que todos os utilizadores acedam aos Google Cloud recursos durante uma interrupção do IdP, pode manter um IdP alternativo.
Um IdP alternativo pode ajudar a minimizar ainda mais o impacto de uma interrupção, mas esta opção pode não ser rentável para todas as organizações.
As secções seguintes descrevem estes passos e práticas recomendadas.
Configure o acesso de emergência
O objetivo do acesso de emergência é permitir o acesso de último recurso aos Google Cloud recursos e evitar situações em que possa perder o acesso totalmente.
Os utilizadores com acesso de emergência são caraterizados pelas seguintes propriedades:
- São utilizadores que cria na sua conta do Cloud ID ou Google Workspace.
- Têm o privilégio de superadministrador, que dá aos utilizadores acesso suficiente para resolver qualquer configuração incorreta que afete o seu Cloud ID, Google Workspace ouGoogle Cloud recursos.
- Não estão associadas a um funcionário específico na organização e estão isentas do ciclo de vida de Joiner, Mover e Leaver (JML) das contas de utilizador normais.
- Estão isentos do SSO.
As secções seguintes descrevem as práticas recomendadas a seguir quando gerir e proteger os utilizadores de acesso de emergência.
Crie utilizadores de acesso de emergência para todos os ambientes
Para Google Cloud ambientes que alojam cargas de trabalho de produção, o acesso de emergência é fundamental. Para Google Cloud ambientes usados para fins de testes ou preparação, a perda de acesso pode continuar a ser prejudicial.
Para garantir o acesso contínuo a todos os seus Google Cloud ambientes, crie e mantenha utilizadores de acesso de emergência no Cloud Identity ou no Google Workspace para cada ambiente.
Assegure a redundância do acesso de emergência
Um único utilizador de acesso de emergência é um ponto único de falha. Neste cenário, uma chave de segurança danificada, uma palavra-passe perdida ou uma suspensão da conta podem interromper o acesso a uma conta. Para mitigar este risco, pode criar mais do que um utilizador de acesso de emergência para cada conta do Cloud Identity ou do Google Workspace.
Os utilizadores com acesso de emergência têm muitos privilégios, por isso, não crie demasiados. Para a maioria das organizações, recomendamos um mínimo de dois e um máximo de cinco utilizadores com acesso de emergência para cada conta do Cloud ID ou do Google Workspace.
Use uma unidade organizacional separada para utilizadores com acesso de emergência
Os utilizadores com acesso de emergência requerem uma configuração especial e não estão sujeitos ao ciclo de vida de JML que pode seguir para outras contas de utilizador.
Para manter os utilizadores de acesso de emergência separados das contas de utilizadores normais, use uma unidade organizacional (UO) dedicada para os utilizadores de acesso de emergência. Uma UO separada permite-lhe aplicar configurações personalizadas apenas a utilizadores de emergência.
Use chaves de segurança FIDO para a validação em dois passos
Use chaves de segurança Fast IDentity Online (FIDO) para a validação em dois passos.
Uma vez que os utilizadores de acesso de emergência são utilizadores altamente privilegiados na sua conta do Cloud ID ou do Google Workspace, tem de proteger estes utilizadores através da validação em dois passos.
Entre os métodos de validação em dois passos suportados pelo Cloud ID e pelo Google Workspace, recomendamos que use chaves de segurança FIDO. Este método oferece proteção contra phishing e segurança forte. Para garantir que todos os utilizadores de acesso de emergência usam chaves de segurança FIDO para a validação em dois passos, faça o seguinte:
- Na UO que contém os utilizadores de acesso de emergência, configure a validação em dois passos para permitir apenas chaves de segurança como método de autenticação.
- Para todos os utilizadores de acesso de emergência, ative a validação em dois passos.
- Para cada utilizador de acesso de emergência, inscreva duas ou mais chaves de segurança FIDO.
Quando inscreve várias chaves para cada utilizador, ajuda a mitigar o risco de perder o acesso devido a uma chave de segurança danificada. Também aumenta a probabilidade de o utilizador poder aceder a, pelo menos, uma das chaves numa emergência.
É aceitável usar o mesmo conjunto de chaves de segurança para vários utilizadores de acesso de emergência. No entanto, é melhor usar chaves de segurança diferentes para cada utilizador de acesso de emergência.
Use controlos de segurança física para proteger as credenciais e as chaves de segurança
Quando armazena as credenciais e as chaves de segurança dos utilizadores de acesso de emergência, tem de equilibrar a proteção forte com a disponibilidade durante uma emergência:
- Impedir que o pessoal não autorizado consiga aceder às credenciais de utilizador de acesso de emergência. Os utilizadores com acesso de emergência só podem usar estas credenciais em caso de emergência.
- Certifique-se de que o pessoal autorizado pode aceder às credenciais com o mínimo de atraso durante uma emergência.
Recomendamos que não confie num gestor de palavras-passe baseado em software. Em alternativa, é melhor confiar nos controlos de segurança físicos para proteger as credenciais e as chaves de segurança dos utilizadores de acesso de emergência.
Quando escolher os controlos de segurança física a aplicar, considere o seguinte:
- Melhore a disponibilidade:
- Armazene cópias das palavras-passe em várias localizações físicas, como em cofres de segurança em diferentes escritórios.
- Inscreva várias chaves de segurança para cada utilizador de acesso de emergência e armazene uma chave em cada localização do escritório relevante.
- Melhore a segurança: armazene a palavra-passe e as chaves de segurança em localizações diferentes.
Evite a automatização para a rotação de palavras-passe
Pode parecer vantajoso automatizar a rotação de palavras-passe para utilizadores com acesso de emergência. No entanto, esta automatização pode aumentar o risco de uma violação de segurança. Os utilizadores com acesso de emergência têm privilégios de superadministrador. Para rodar a palavra-passe de um utilizador superadministrador, as ferramentas ou os scripts de automatização também têm de ter privilégios de superadministrador. Este requisito pode fazer com que as ferramentas sejam alvos atraentes para os atacantes.
Para garantir que não enfraquece a sua postura de segurança geral, não use a automatização para rodar as palavras-passe.
Use palavras-passe fortes
Para ajudar a proteger os utilizadores do acesso de emergência, certifique-se de que utilizam uma palavra-passe longa e forte. Para aplicar um nível mínimo de complexidade da palavra-passe, use uma UO dedicada, conforme descrito anteriormente, e implemente requisitos de palavra-passe.
A menos que rode as palavras-passe manualmente, desative a expiração da palavra-passe para todos os utilizadores de acesso de emergência.
Exclua um utilizador de acesso de emergência das políticas de acesso
Durante uma emergência, as políticas de acesso sensível ao contexto podem causar uma situação em que mesmo um utilizador com acesso de emergência não consegue aceder a determinados recursos. Para mitigar este risco, exclua, pelo menos, um utilizador de acesso de emergência de todos os níveis de acesso nas suas políticas de acesso.
Estas isenções ajudam a garantir que, pelo menos, um dos seus utilizadores de acesso de emergência tem acesso contínuo aos recursos. Em caso de emergência ou de uma política de acesso sensível ao contexto configurada incorretamente, estes utilizadores de acesso de emergência podem manter o respetivo acesso.
Configure alertas para eventos de utilizadores de acesso de emergência
Qualquer atividade de utilizador de acesso de emergência fora de um evento de emergência indica provavelmente um comportamento suspeito. Para receber notificações sobre eventos relacionados com a atividade de utilizadores com acesso de emergência, crie uma regra de relatório na consola do administrador Google. Quando cria uma regra de criação de relatórios, pode definir condições como as seguintes:
- Origem de dados: eventos de registo de utilizador.
Atributos no separador Criador de condições: use atributos e operadores para criar um filtro para a UO que contém os utilizadores de acesso de emergência e os eventos.
Por exemplo, pode definir atributos e operadores para criar um filtro semelhante às seguintes declarações condicionais:
Actor organizational unit Is /Privileged AND (Event Is Successful login OR Event Is Failed login OR Event Is Account password change)Limite: a cada 1 hora quando a contagem for > 0
Ação: enviar notificações por email
Destinatários de email: selecione um grupo que contenha os membros relevantes da sua equipa de segurança
Ofereça alternativas de autenticação para utilizadores críticos
Se a sua organização usa o SSO para permitir que os funcionários façam a autenticação nos serviços Google, a disponibilidade do seu IdP de terceiros torna-se fundamental. Qualquer interrupção do seu IdP pode impedir que os funcionários acedam a ferramentas e recursos essenciais.
Embora o acesso de emergência ajude a garantir o acesso administrativo contínuo, não satisfaz as necessidades dos funcionários durante uma indisponibilidade do FdI.
Para reduzir o potencial efeito de uma interrupção do IdP, pode configurar a sua conta do Cloud ID ou Google Workspace para usar uma alternativa de autenticação para utilizadores críticos. Pode usar o seguinte plano alternativo:
- Durante as operações normais, permite que os utilizadores se autentiquem através do SSO.
- Durante uma indisponibilidade do IdP, desative seletivamente o SSO para estes utilizadores críticos e permita que se autentiquem através das credenciais de início de sessão da Google, que aprovisiona antecipadamente.
As secções seguintes descrevem as práticas recomendadas quando permite que os utilizadores críticos se autentiquem durante indisponibilidades do IdP externo.
Concentre-se nos utilizadores privilegiados
Para que os utilizadores críticos se autentiquem durante uma indisponibilidade do IdP, têm de ter credenciais de início de sessão da Google válidas, como as seguintes:
- Uma palavra-passe com uma chave de segurança para a autenticação de dois fatores.
- Uma chave de acesso.
Quando aprovisiona credenciais de início de sessão na Google para utilizadores que normalmente usam o SSO, pode aumentar os custos operacionais e a fricção do utilizador das seguintes formas:
- Pode não conseguir sincronizar automaticamente as palavras-passe dos utilizadores, consoante o seu IdP. Por conseguinte, pode ter de pedir aos utilizadores que definam uma palavra-passe manualmente.
- Pode ter de pedir aos utilizadores que registem uma chave de acesso ou se inscrevam na validação em dois passos. Normalmente, este passo não é necessário para utilizadores de SSO.
Para equilibrar as vantagens do acesso ininterrupto aos serviços Google com a sobrecarga adicional, concentre-se nos utilizadores privilegiados e essenciais para a empresa. Estes utilizadores têm maior probabilidade de beneficiar significativamente do acesso ininterrupto e podem representar apenas uma fração da sua base de utilizadores geral.
Aproveite a oportunidade para ativar a validação após o SSO
Quando aprovisiona a autenticação alternativa para utilizadores privilegiados, um resultado não intencional pode ser uma sobrecarga adicional. Para ajudar a compensar esta sobrecarga, também pode ativar a validação após o SSO para estes utilizadores.
Por predefinição, quando configura o SSO para os seus utilizadores, estes não têm de realizar a validação em dois passos. Embora esta prática seja conveniente, se o IdP for comprometido, qualquer utilizador que não tenha a validação pós-SSO ativada pode tornar-se um alvo de ataques de falsificação de credenciais.
A validação após o SSO ajuda a mitigar o potencial efeito de um estado comprometido do IdP, uma vez que os utilizadores têm de efetuar a validação em dois passos após cada tentativa de SSO. Se aprovisionar credenciais de início de sessão da Google para utilizadores privilegiados, a validação pós-SSO pode ajudar a melhorar a postura de segurança destas contas de utilizador sem custos adicionais.
Use uma UO separada para utilizadores com privilégios
Os utilizadores privilegiados que podem autenticar durante interrupções do IdP externo requerem uma configuração especial. Esta configuração difere da configuração para utilizadores normais e para utilizadores com acesso de emergência.
Para ajudar a manter os utilizadores com privilégios separados destas outras contas de utilizador, use uma UO dedicada para utilizadores com privilégios. Esta UO separada ajuda a aplicar políticas personalizadas, como a validação após o SSO, apenas a estes utilizadores privilegiados.
Uma UO separada também ajuda a desativar seletivamente o SSO para utilizadores privilegiados durante uma indisponibilidade do IdP. Para desativar o SSO para a UO, pode modificar as atribuições de perfis de SSO.
Use um IdP alternativo
Quando oferece alternativas de autenticação para utilizadores críticos durante indisponibilidades do IdP, ajuda a reduzir o efeito dessa indisponibilidade do IdP na sua organização. No entanto, esta estratégia de mitigação pode não ser suficiente para manter a capacidade operacional total. Muitos utilizadores podem continuar a não conseguir aceder a aplicações e serviços essenciais.
Para reduzir ainda mais o potencial efeito de uma indisponibilidade do IdP, pode fazer failover para um IdP de cópia de segurança. Pode usar o seguinte plano de cópia de segurança:
- Durante as operações normais, permite que os utilizadores se autentiquem através do SSO e do seu IdP principal.
- Durante uma indisponibilidade do IdP, altera a configuração do SSO da sua conta do Cloud ID ou do Google Workspace para mudar para o IdP de yedekleme.
O IdP de alternativa não tem de ser do mesmo fornecedor. Quando criar um IdP de cópia de segurança, use uma configuração que corresponda à configuração do seu IdP principal. Para garantir que o IdP de backup permite que todos os seus utilizadores se autentiquem e acedam aos serviços Google, o IdP de backup tem de usar uma cópia atualizada da base de utilizadores do IdP principal.
Um IdP de cópia de segurança pode ajudar a fornecer acesso de contingência abrangente. No entanto, tem de ponderar estas vantagens em função dos riscos adicionais que um IdP de backup pode introduzir. Estes potenciais riscos incluem o seguinte:
- Se o IdP alternativo tiver uma segurança mais fraca do que o IdP principal, a postura de segurança geral do seu ambiente também pode ser mais fraca durante uma comutação por falha. Google Cloud
- Se o IdP principal e o IdP de cópia de segurança diferirem na forma como emitem afirmações SAML, o IdP pode colocar os utilizadores em risco de ataques de roubo de identidade.
As secções seguintes descrevem as práticas recomendadas quando usa um IdP de cópia de segurança para acesso de contingência.
Crie um perfil SAML separado para o IdP alternativo
O Cloud Identity e o Google Workspace permitem-lhe criar vários perfis SAML. Cada perfil SAML pode referir-se a um IdP SAML diferente.
Para minimizar a quantidade de trabalho necessária para a comutação por falha para o IdP de cópia de segurança, prepare um perfil SAML para o IdP de cópia de segurança antecipadamente:
- Crie perfis SAML separados para o seu IdP principal e para o seu IdP de cópia de segurança.
- Configure as atribuições de perfis de SSO para atribuir apenas o perfil SAML do IdP principal durante as operações normais.
- Modifique as atribuições de perfis de SSO para usar o perfil SAML do IdP de cópia de segurança durante uma indisponibilidade do IdP. Não altere as definições do perfil SAML individual.
Use um IdP no local existente
Não precisa de aprovisionar um IdP adicional para servir como cópia de segurança. Em alternativa, verifique se pode usar um IdP no local existente para este fim. Por exemplo, a sua organização pode usar o Active Directory como a origem autorizada de identidades e também pode usar o Active Directory Federation Services (AD FS) para o SSO. Neste cenário, pode usar o AD FS como IdP de reserva.
Esta abordagem de reutilização pode ajudar a limitar os custos e as despesas gerais de manutenção.
Prepare o IdP alternativo para processar a carga necessária
Quando muda a autenticação para o IdP de alternativa, este tem de processar todos os pedidos de autenticação que o IdP principal processa normalmente.
Quando implementar e dimensionar um IdP de cópia de segurança, lembre-se de que o número de pedidos esperados depende dos seguintes fatores:
- O número de utilizadores na sua conta do Cloud ID ou Google Workspace.
- A Google Cloud duração da sessão configurada.
Por exemplo, se a duração da sessão for entre 8 e 24 horas, os pedidos de autenticação podem aumentar durante a manhã, quando os funcionários começam o dia de trabalho.
Teste o procedimento de comutação por falha periodicamente
Para ajudar a garantir que o processo de comutação em caso de falha do SSO funciona de forma fiável, tem de validar periodicamente o processo. Quando testar o procedimento de comutação por falha, faça o seguinte:
- Modifique manualmente a atribuição do perfil de SSO de uma ou mais UOs ou grupos para usar o IdP de yedekleme.
- Verifique se o SSO com o IdP de cópia de segurança funciona como esperado.
- Verifique se os certificados de assinatura estão atualizados.
O que se segue?
- Reveja as práticas de segurança recomendadas para contas de administrador.
- Saiba mais sobre as práticas recomendadas para a federação Google Cloud com um fornecedor de identidade externo.
- Para ver mais arquiteturas de referência, diagramas e práticas recomendadas, explore o Centro de arquitetura na nuvem.
Colaboradores
Autor: Johannes Passing | Arquiteto de soluções na nuvem
Outro colaborador: Ido Flatow | Arquiteto de soluções na nuvem