Gestione delle risorse dell'organizzazione sicure per impostazione predefinita

Se sei un nuovo cliente, Google Cloud esegue automaticamente il provisioning di una risorsa dell'organizzazione per il tuo dominio nei seguenti scenari:

  • Un utente del tuo dominio accede per la prima volta.
  • Un utente crea un account di fatturazione a cui non è associata una risorsa dell'organizzazione.

La configurazione predefinita di questa risorsa dell'organizzazione, caratterizzata da accesso illimitato, può rendere l'infrastruttura vulnerabile a violazioni della sicurezza. Ad esempio, la creazione della chiave dell'account di servizio predefinita è una vulnerabilità critica che espone i sistemi a potenziali violazioni.

Con l'applicazione dei criteri dell'organizzazione sicuri per impostazione predefinita, le configurazioni di sicurezza non sicure vengono affrontate con un insieme di criteri dell'organizzazione applicati al momento della creazione di una risorsa dell'organizzazione. Alcuni esempi di queste applicazioni includono la disattivazione della creazione e del caricamento delle chiavi dell'account di servizio.

Quando un utente esistente crea un'organizzazione, la posizione di sicurezza della nuova risorsa dell'organizzazione potrebbe essere diversa da quella delle risorse dell'organizzazione esistenti. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati a tutte le organizzazioni create a partire dal 3 maggio 2024. Anche alcune organizzazioni create tra febbraio 2024 e aprile 2024 potrebbero avere impostato queste applicazioni predefinite delle norme. Per visualizzare i criteri dell'organizzazione applicati alla tua organizzazione, consulta Visualizzare i criteri dell'organizzazione.

In qualità di amministratore, di seguito sono riportati gli scenari in cui queste applicazioni delle norme dell'organizzazione vengono applicate automaticamente:

  • Account Google Workspace o Cloud Identity: se hai un account Google Workspace o Cloud Identity, viene creata una risorsa organizzazione associata al tuo dominio. I criteri di sicurezza per impostazione predefinita dell'organizzazione vengono applicati automaticamente alla risorsa dell'organizzazione.
  • Creazione dell'account di fatturazione: se l'account di fatturazione che crei non è associato a una risorsa dell'organizzazione, viene creata automaticamente una risorsa dell'organizzazione. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati alla risorsa dell'organizzazione. Questo scenario funziona sia nella console Google Cloud sia in gcloud CLI.

Autorizzazioni obbligatorie

Il ruolo IAM (Identity and Access Management) roles/orgpolicy.policyAdmin consente a un amministratore di gestire i criteri dell'organizzazione. Per modificare o sostituire i criteri dell'organizzazione, devi essere un amministratore dei criteri dell'organizzazione. Per concedere il ruolo, esegui il seguente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE

Sostituisci quanto segue:

  • ORGANIZATION: identificatore univoco della tua organizzazione.
  • PRINCIPAL: l'entità per cui aggiungere l'associazione. Deve avere il formato user|group|serviceAccount:email o domain:domain. Ad esempio: user:222larabrown@gmail.com.
  • ROLE: il ruolo da concedere all'entità. Utilizza il percorso completo di un ruolo predefinito. In questo caso, dovrebbe essere roles/orgpolicy.policyAdmin.

Criteri dell'organizzazione applicati alle risorse dell'organizzazione

La tabella seguente elenca i vincoli dei criteri dell'organizzazione applicati automaticamente quando crei una risorsa dell'organizzazione.

Nome del criterio dell'organizzazione Vincolo delle policy dell'organizzazione Descrizione Impatto dell'applicazione
Disattivare la creazione di chiavi dell'account di servizio constraints/iam.disableServiceAccountKeyCreation Impedisci agli utenti di creare chiavi permanenti per gli account di servizio. Per informazioni sulla gestione delle chiavi degli account di servizio, consulta Fornire alternative alla creazione di chiavi degli account di servizio. Riduce il rischio di credenziali account di servizio esposte.
Disattivare il caricamento delle chiavi dell'account di servizio constraints/iam.disableServiceAccountKeyUpload Impedisci il caricamento di chiavi pubbliche esterne negli account di servizio. Per informazioni su come accedere alle risorse senza chiavi degli account di servizio, consulta queste best practice. Riduce il rischio di credenziali account di servizio esposte.
Disattivare la concessione automatica dei ruoli agli account di servizio predefiniti constraints/iam.automaticIamGrantsForDefaultServiceAccounts Impedisci agli account di servizio predefiniti di ricevere il ruolo IAM eccessivamente permissivo Editor al momento della creazione. Il ruolo Editor consente all'account di servizio di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud, il che crea una vulnerabilità se l'account di servizio viene compromesso.
Limitare le identità per dominio constraints/iam.allowedPolicyMemberDomains Limita la condivisione delle risorse alle identità che appartengono a una risorsa dell'organizzazione specifica. Se lasci la risorsa dell'organizzazione aperta all'accesso da parte di utenti con domini diversi da quello del cliente, crei una vulnerabilità.
Limitare i contatti per dominio constraints/essentialcontacts.allowedContactDomains Limita i contatti necessari in modo che consentano solo alle identità utente gestite nei domini selezionati di ricevere notifiche della piattaforma. Un malintenzionato con un dominio diverso potrebbe essere aggiunto come contatto necessario, con conseguente compromissione della postura di sicurezza.
Accesso uniforme a livello di bucket constraints/storage.uniformBucketLevelAccess Impedisci ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso. Impone la coerenza per la gestione e il controllo dell'accesso.
Utilizzare il DNS di zona per impostazione predefinita constraints/compute.setNewProjectDefaultToZonalDNSOnly Impostare limitazioni in base alle quali gli sviluppatori di applicazioni non possono scegliere le impostazioni DNS globali per le istanze Compute Engine. Le impostazioni DNS globali hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS di zona.
Limita il forwarding di protocollo in base al tipo di indirizzo IP constraints/compute.restrictProtocolForwardingCreationForTypes Limita la configurazione dell'inoltro di protocollo solo per gli indirizzi IP interni. Protegge le istanze target dall'esposizione al traffico esterno.

Gestire l'applicazione dei criteri dell'organizzazione

Puoi gestire l'applicazione dei criteri dell'organizzazione nei seguenti modi:

Elenca i criteri dell'organizzazione

Per verificare se i criteri di sicurezza predefiniti per l'organizzazione sono applicati alla tua organizzazione, utilizza il seguente comando:

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

Sostituisci ORGANIZATION_ID con l'identificatore univoco della tua organizzazione.

Disattivare i criteri dell'organizzazione

Per disattivare o eliminare un criterio dell'organizzazione, esegui il seguente comando:

gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

Sostituisci quanto segue:

  • CONSTRAINT_NAME è il nome del vincolo del criterio dell'organizzazione che vuoi eliminare. Un esempio è iam.allowedPolicyMemberDomains.
  • ORGANIZATION_ID è l'identificatore univoco della tua organizzazione.

Aggiungere o aggiornare i valori per un criterio dell'organizzazione

Per aggiungere o aggiornare i valori di una norma dell'organizzazione, devi archiviarli in un file YAML. Un esempio di come possono essere i contenuti di questo file:

{
  "name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "values": {
            "allowedValues": ["VALUE_A"]
        }
      }
    ]
  }
}

Per aggiungere o aggiornare questi valori elencati nel file YAML, esegui il seguente comando:

gcloud org-policies set-policy POLICY_FILE

Sostituisci POLICY_FILE con il percorso del file YAML contenente i valori del criterio dell'organizzazione.