這份文件提供相關建議,協助您持續存取資源。 Google Cloud 業務持續性旨在確保貴機構即使在發生中斷 (例如停機或災害) 時,仍能維持重要作業。這個目標包括在重要服務和基礎架構無法使用時,員工仍可存取相關資源。
本文件適用於負責身分與存取權管理 (IAM) 的安全或可靠性專業人員,以及負責維護 Google Cloud安全存取權的人員。本文假設您已熟悉 Cloud Identity、Google Workspace 和 IAM 管理。
為協助您因應服務中斷狀況並確保持續存取,本文列出建議採取的步驟。您可以選擇執行所有或部分步驟,但建議按照下列順序實作。
設定緊急存取權:啟用資源的最後手段存取權。Google Cloud
無論個別業務持續性需求為何,我們都建議您為所有Google Cloud 機構設定緊急存取權。
為重要使用者提供替代驗證方式:如果貴機構使用單一登入 (SSO),任何影響外部識別資訊提供者 (IdP) 的中斷情況,都可能影響員工驗證及使用Google Cloud的能力。
為降低 IdP 中斷對貴機構的整體影響,請為業務關鍵使用者提供替代驗證方式,讓他們繼續存取 Google Cloud 資源。
使用備援 IdP:如要讓所有使用者在 IdP 中斷期間存取 Google Cloud資源,可以維護備援 IdP。
備援 IdP 有助於進一步減少服務中斷的影響,但對某些機構而言,這個選項可能不符合成本效益。
下列各節將說明這些建議步驟和最佳做法。
設定緊急存取權
緊急存取權的用途是啟用資源的最後存取方式,並防止您完全失去存取權。Google Cloud
緊急存取使用者具有下列屬性:
- 這些使用者是您在 Cloud Identity 或 Google Workspace 帳戶中建立的。
- 他們擁有超級管理員權限,可充分存取資源,解決影響 Cloud Identity、Google Workspace 或Google Cloud 資源的任何設定錯誤。
- 這類帳戶不會與機構中的特定員工建立關聯,且不受一般使用者帳戶的「新進人員、異動人員和離職人員」(JML)生命週期限制。
- 他們免用單一登入。
下列各節將說明管理及保護緊急存取使用者時,建議採用的最佳做法。
為每個環境建立緊急存取使用者
對於代管正式環境工作負載的環境,緊急存取權至關重要。 Google Cloud 對於用於測試或預先發布的 Google Cloud 環境,失去存取權仍可能造成中斷。
為確保能持續存取所有 Google Cloud 環境,請在 Cloud Identity 或 Google Workspace 中,為每個環境建立及維護緊急存取使用者。
確保緊急存取權備援
單一緊急存取使用者是單點故障。在這種情況下,安全金鑰損壞、密碼遺失或帳戶遭到停權,都可能導致無法存取帳戶。為降低這項風險,您可以為每個 Cloud Identity 或 Google Workspace 帳戶建立多個緊急存取使用者。
緊急存取權使用者擁有極高權限,因此請勿建立過多這類使用者。 對於大多數機構,我們建議每個 Cloud Identity 或 Google Workspace 帳戶至少要有兩位,最多五位緊急存取使用者。
為緊急存取權使用者使用個別機構單位
緊急存取使用者需要特殊設定,且不受您可能為其他使用者帳戶採用的 JML 生命週期限制。
如要將緊急存取使用者與一般使用者帳戶分開,請為緊急存取使用者使用專屬的機構單位 (OU)。您可以使用獨立的機構單位,只對緊急情況使用者套用自訂設定。
使用 FIDO 安全金鑰進行兩步驟驗證
使用 Fast IDentity Online (FIDO) 安全金鑰進行兩步驟驗證。
緊急存取使用者在 Cloud Identity 或 Google Workspace 帳戶中擁有極高權限,因此您必須使用兩步驟驗證保護這些使用者。
在 Cloud Identity 和 Google Workspace 支援的兩步驟驗證方法中,我們建議您使用 FIDO 安全金鑰。這種方法可防範網路釣魚,並提供強大的安全性。為確保所有緊急存取使用者都使用 FIDO 安全金鑰進行兩步驟驗證,請按照下列步驟操作:
- 在包含緊急存取使用者的機構單位中,設定兩步驟驗證,只允許安全金鑰做為驗證方法。
- 為所有緊急存取使用者啟用兩步驟驗證。
- 為每位緊急存取使用者註冊兩個以上的 FIDO 安全金鑰。
為每位使用者註冊多把金鑰,有助於降低因安全金鑰損壞而無法存取的風險。此外,您也能提高使用者在緊急情況下存取至少一個金鑰的機率。
您可以使用同一組安全金鑰,為多位緊急存取使用者提供存取權。不過,最好為每位緊急存取使用者提供不同的安全金鑰。
使用實體安全控制項保護憑證和安全金鑰
儲存緊急存取使用者的憑證和安全金鑰時,您必須兼顧嚴密保護措施和緊急情況下的可用性:
- 防止未經授權的人員存取緊急存取使用者憑證。緊急存取使用者只能在緊急情況下使用這些憑證。
- 確保授權人員在緊急情況下,能以最短時間存取憑證。
建議您不要使用軟體型密碼管理工具。建議您改用實體安全控管措施,保護緊急存取使用者的憑證和安全金鑰。
選擇要採用的實體安全控制措施時,請考量下列事項:
- 提高可用性:
- 將密碼副本儲存在多個實體位置,例如不同辦公室的多個保險庫。
- 為每位緊急存取使用者註冊多個安全金鑰,並將每個金鑰存放在相關辦公室地點。
- 提升安全性:將密碼和安全金鑰儲存在不同位置。
避免使用自動化功能輪替密碼
自動輪替緊急存取使用者的密碼似乎很有好處,不過,自動化作業可能會增加安全性遭破壞的風險。緊急存取權使用者具備超級管理員權限,如要輪替超級管理員使用者的密碼,自動化工具或指令碼也必須具備超級管理員權限。這項需求可能會導致工具成為攻擊者眼中的熱門目標。
為確保整體安全防護不會變弱,請勿使用自動化功能輪替密碼。
使用高強度密碼
為保護緊急存取使用者,請確保他們使用高強度長密碼。如要強制設定密碼複雜度下限,請使用專屬 OU (如先前所述),並實作密碼規定。
除非您手動輪替密碼,否則請為所有緊急存取使用者停用密碼到期日。
將緊急存取使用者排除在存取權政策之外
在緊急情況下,情境感知存取政策可能會導致緊急存取使用者也無法存取特定資源。為降低這項風險,請從存取政策的所有存取層級中排除至少一位緊急存取使用者。
這些豁免條件可確保至少一位緊急存取權使用者能持續存取資源。如果發生緊急狀況或情境感知存取政策設定錯誤,這些緊急存取使用者仍可維持存取權。
設定緊急存取使用者事件的快訊
如果緊急存取使用者在緊急事件以外的時間活動,可能表示有可疑行為。如要接收緊急存取使用者活動相關事件的通知,請在 Google 管理控制台中建立報告規則。建立報表規則時,您可以設定下列條件:
- 資料來源:使用者記錄事件。
「條件建構工具」分頁中的屬性:使用屬性和運算子,為包含緊急存取使用者和事件的機構單位建立篩選器。
舉例來說,您可以設定屬性和運算子,建立類似下列條件陳述式的篩選器:
Actor organizational unit Is /Privileged AND (Event Is Successful login OR Event Is Failed login OR Event Is Account password change)門檻:每 1 小時,且計數 > 0
動作:傳送電子郵件通知
電子郵件收件者:選取包含安全團隊相關成員的群組
為重要使用者提供替代驗證方式
如果貴機構使用單一登入 (SSO) 讓員工驗證 Google 服務,第三方 IdP 的可用性就非常重要。如果 IdP 中斷,員工就無法存取重要工具和資源。
雖然緊急存取權可確保管理員持續擁有存取權,但無法解決員工在 IdP 服務中斷期間的需求。
如要降低 IdP 中斷的潛在影響,您可以設定 Cloud Identity 或 Google Workspace 帳戶,為重要使用者啟用驗證備援機制。您可以採取下列備案:
- 在正常運作期間,您會允許使用者透過單一登入驗證身分。
- 如果 IdP 發生中斷情形,您可以選擇性地為這些重要使用者停用 SSO,並允許他們使用您預先佈建的 Google 登入憑證進行驗證。
下列各節將說明建議的最佳做法,讓重要使用者在外部 IdP 中斷期間進行驗證。
著重於特殊權限使用者
如要確保重要使用者在 IdP 服務中斷期間仍可通過驗證,他們必須擁有有效的 Google 登入憑證,例如:
- 密碼和安全金鑰 (用於雙重驗證)。
- 密碼金鑰。
為通常使用單一登入 (SSO) 的使用者佈建 Google 登入憑證時,可能會因為下列原因增加作業負擔和使用者摩擦:
- 視 IdP 而定,您可能無法自動同步處理使用者密碼。因此您可能必須要求使用者手動設定密碼。
- 您可能需要要求使用者註冊密碼金鑰或啟用兩步驟驗證。單一登入使用者通常不需要執行這個步驟。
為了在不間斷存取 Google 服務的優點與額外負荷之間取得平衡,請著重於具備特殊權限和業務關鍵的使用者。這些使用者可能僅占整體使用者群的一小部分,但他們更可能因不間斷的存取權而大幅受益。
利用這個機會啟用單一登入 (SSO) 後驗證
為具備特殊權限的使用者佈建替代驗證方式時,可能會產生額外負擔。為協助抵銷這項額外負擔,您也可以為這些使用者啟用 SSO 後驗證。
根據預設,為使用者設定單一登入時,他們不需要執行兩步驟驗證。雖然這種做法很方便,但如果 IdP 遭到入侵,任何未啟用單一登入後驗證的使用者,都可能成為憑證偽造攻擊的目標。
單一登入 (SSO) 後驗證有助於降低 IdP 遭入侵的潛在影響,因為使用者每次嘗試單一登入後,都必須執行兩步驟驗證。如果您為具備權限的使用者佈建 Google 登入憑證,單一登入後驗證功能可協助提升這些使用者帳戶的安全狀態,且不會增加額外負擔。
為特殊權限使用者使用個別的機構單位
如果外部 IdP 發生中斷情形,需要驗證的特殊使用者必須進行特殊設定。這項設定與一般使用者和緊急存取使用者的設定不同。
為協助您將具備特殊權限的使用者與其他使用者帳戶分開,請為具備特殊權限的使用者使用專屬 OU。這個獨立的機構單位可協助您套用自訂政策 (例如單一登入後驗證),只允許這些具備權限的使用者存取。
此外,您也可以在 IdP 服務中斷期間,透過獨立的機構單位選擇性停用特權使用者的單一登入服務。如要為機構單位停用 SSO,請修改 SSO 設定檔指派作業。
使用備用 IdP
在 IdP 服務中斷期間,為重要使用者提供替代驗證方式,有助於降低 IdP 服務中斷對貴機構的影響。不過,這項緩解策略可能不足以維持完整的運作能力。許多使用者可能仍無法存取重要應用程式和服務。
如要進一步降低 IdP 中斷的潛在影響,您可以容錯移轉至備份 IdP。你可以使用下列備份方案:
- 在正常運作期間,您允許使用者透過單一登入和主要 IdP 進行驗證。
- 如果 IdP 發生中斷情形,您可以變更 Cloud Identity 或 Google Workspace 帳戶的單一登入設定,改用備用 IdP。
備用 IdP 不一定要來自同一供應商。建立備份 IdP 時,請使用與主要 IdP 設定相符的設定。為確保備份 IdP 可讓所有使用者驗證身分並存取 Google 服務,備份 IdP 必須使用主要 IdP 使用者群組的最新副本。
備用 IdP 可協助提供全面的緊急存取權。不過,您必須權衡這些優點,以及備用 IdP 可能帶來的額外風險。這些潛在風險包括:
- 如果備用 IdP 的安全性比主要 IdP 弱,在容錯移轉期間, Google Cloud 環境的整體安全防護機制也可能較弱。
- 如果主要 IdP 和備份 IdP 的 SAML 聲明發放方式不同,IdP 可能會讓使用者面臨網路釣魚攻擊的風險。
下列各節說明使用備份 IdP 進行緊急存取時,建議採取的最佳做法。
為備用 IdP 建立個別的 SAML 設定檔
您可以使用 Cloud Identity 和 Google Workspace 建立多個 SAML 設定檔。每個 SAML 設定檔可以參照不同的 SAML IdP。
如要盡量減少容錯移轉至備份 IdP 所需的工作量,請預先準備備份 IdP 的 SAML 設定檔:
- 為主要 IdP 和備份 IdP 分別建立 SAML 設定檔。
- 設定單一登入 (SSO) 設定檔指派作業,在正常運作期間只指派主要 IdP 的 SAML 設定檔。
- 修改單一登入 (SSO) 設定檔指派項目,在 IdP 服務中斷期間使用備份 IdP 的 SAML 設定檔。請勿變更個別 SAML 設定檔設定。
使用現有的地端 IdP
您不需要佈建額外的 IdP 做為備用 IdP。請改為檢查是否能使用現有的內部部署 IdP。舉例來說,貴機構可能使用 Active Directory 做為身分驗證的權威來源,也可能使用 Active Directory Federation Services (AD FS) 進行單一登入。在此情境中,您或許可以使用 AD FS 做為備用 IdP。
這種重複使用的方法有助於限制成本和維護負擔。
準備備份 IdP,以處理必要負載
切換至備份 IdP 時,備份 IdP 必須處理主要 IdP 通常會處理的所有驗證要求。
部署及調整備份 IdP 大小時,請注意預期要求數量取決於下列因素:
- Cloud Identity 或 Google Workspace 帳戶中的使用者人數。
- 設定的Google Cloud 工作階段長度。
舉例來說,如果工作階段長度介於 8 到 24 小時,員工開始工作時,驗證要求可能會在上午時段激增。
定期測試容錯移轉程序
為確保單一登入容錯移轉程序能穩定運作,您必須定期驗證程序。測試容錯移轉程序時,請執行下列操作:
- 手動修改一或多個機構單位或群組的單一登入 (SSO) 設定檔指派作業,改用備份 IdP。
- 確認備份 IdP 的單一登入服務運作正常。
- 確認簽署憑證為最新版本。
後續步驟
- 查看適用於管理員帳戶的安全性最佳做法。
- 進一步瞭解連結外部身分識別提供者的最佳做法 Google Cloud 。
- 如需更多參考架構、圖表和最佳做法,請瀏覽 Cloud 架構中心。
貢獻者
作者:Johannes Passing | 雲端解決方案架構師
其他貢獻者:Ido Flatow | 雲端解決方案架構師