Gerir recursos da organização seguros por predefinição

Se for um novo cliente, Google Cloud o Google Workspace aprovisiona automaticamente um recurso de organização para o seu domínio nos seguintes cenários:

  • Um utilizador do seu domínio inicia sessão pela primeira vez.
  • Um utilizador cria uma conta de faturação que não tem um recurso de organização associado.

A configuração predefinida deste recurso da organização, caraterizada por um acesso não restrito, pode tornar a infraestrutura suscetível a violações de segurança. Por exemplo, a criação de chaves de contas de serviço predefinidas é uma vulnerabilidade crítica que expõe os sistemas a potenciais violações.

Com as aplicações de políticas da organização seguras por predefinição, as posturas não seguras são abordadas com um pacote de políticas da organização que são aplicadas no momento da criação de um recurso da organização. Alguns exemplos destas aplicações incluem a desativação da criação de chaves de contas de serviço e a desativação do carregamento de chaves de contas de serviço.

Quando um utilizador existente cria uma organização, a postura de segurança do recurso de organização pode ser diferente dos recursos de organização existentes. As políticas de organização seguras por predefinição são aplicadas a todas as organizações criadas a 3 de maio de 2024 ou posteriormente. Algumas organizações criadas entre fevereiro de 2024 e abril de 2024 também podem ter estas aplicações de políticas predefinidas definidas. Para ver as políticas da organização aplicadas à sua organização, consulte o artigo Ver políticas da organização.

Como administrador, seguem-se os cenários em que estas aplicações da política da organização são aplicadas automaticamente:

  • Conta do Google Workspace ou do Cloud ID: quando tem uma conta do Google Workspace ou do Cloud ID, é criado um recurso de organização associado ao seu domínio. As políticas da organização seguras por predefinição são aplicadas automaticamente ao recurso da organização.
  • Criação da conta de faturação: se a conta de faturação que criar não estiver associada a um recurso de organização, é criado automaticamente um recurso de organização. As políticas da organização seguras por predefinição são aplicadas ao recurso da organização. Este cenário funciona na Google Cloud consola e na CLI gcloud.

Autorizações necessárias

A função de gestão de identidade e de acesso roles/orgpolicy.policyAdmin permite a um administrador gerir políticas organizacionais. Tem de ser um administrador de políticas da organização para alterar ou substituir políticas da organização. Para conceder a função, execute o seguinte comando:

gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE

Substitua o seguinte:

  • ORGANIZATION: identificador exclusivo da sua organização.
  • PRINCIPAL: o principal ao qual adicionar a associação. Este deve ter o formato user|group|serviceAccount:email ou domain:domain. Por exemplo, user:222larabrown@gmail.com.
  • ROLE: função a conceder ao principal. Use o caminho completo de uma função predefinida. Neste caso, deve ser roles/orgpolicy.policyAdmin.

Políticas da organização aplicadas aos recursos da organização

A tabela seguinte apresenta as restrições da política da organização que são aplicadas automaticamente quando cria um recurso da organização.

Nome da política da organização Restrição da política da organização Descrição Impacto da aplicação
Desative a criação de chaves de contas de serviço constraints/iam.disableServiceAccountKeyCreation Impedir que os utilizadores criem chaves persistentes para contas de serviço. Para ver informações sobre a gestão de chaves de contas de serviço, consulte o artigo Ofereça alternativas à criação de chaves de contas de serviço. Reduz o risco de credenciais da conta de serviço expostas.
Desative o carregamento da chave da conta de serviço constraints/iam.disableServiceAccountKeyUpload Impedir o carregamento de chaves públicas externas para contas de serviço. Para obter informações sobre como aceder a recursos sem chaves de contas de serviço, consulte estas práticas recomendadas. Reduz o risco de credenciais da conta de serviço expostas.
Desative as concessões automáticas de funções a contas de serviço predefinidas constraints/iam.automaticIamGrantsForDefaultServiceAccounts Impedir que as contas de serviço predefinidas recebam a função de IAM excessivamente permissiva Editor no momento da criação. A função Editor permite que a conta de serviço crie e elimine recursos para a maioria dos Google Cloud serviços, o que cria uma vulnerabilidade se a conta de serviço for comprometida.
Restrinja identidades por domínio constraints/iam.allowedPolicyMemberDomains Limitar a partilha de recursos a identidades que pertencem a um recurso de organização específico. Deixar o recurso da organização aberto para acesso por parte de atores com domínios diferentes do do próprio cliente cria uma vulnerabilidade.
Restrinja os contactos por domínio constraints/essentialcontacts.allowedContactDomains Limite os contactos essenciais para permitir que apenas identidades de utilizadores geridas em domínios selecionados recebam notificações da plataforma. Um interveniente malicioso com um domínio diferente pode ser adicionado como contacto essencial, o que leva a uma postura de segurança comprometida.
Acesso uniforme ao nível do contentor constraints/storage.uniformBucketLevelAccess Impedir que os contentores do Cloud Storage usem a LCA por objeto (um sistema separado das políticas de permissão e negação) para conceder acesso. Impõe a consistência para a gestão de acesso e a auditoria.
Usar DNS zonal por predefinição constraints/compute.setNewProjectDefaultToZonalDNSOnly Defina restrições em que os programadores de aplicações não podem escolher definições globais de DNS para instâncias do Compute Engine. As definições globais de DNS têm uma fiabilidade do serviço inferior à das definições de DNS zonais.
Restrinja o encaminhamento de protocolos com base no tipo de endereço IP constraints/compute.restrictProtocolForwardingCreationForTypes Restrinja a configuração do encaminhamento de protocolos apenas para endereços IP internos. Protege as instâncias de destino da exposição ao tráfego externo.

Faça a gestão da aplicação de políticas da organização

Pode gerir a aplicação das políticas da organização das seguintes formas:

Indique políticas da organização

Para verificar se as políticas da organização seguras por predefinição são aplicadas na sua organização, use o seguinte comando:

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

Substitua ORGANIZATION_ID pelo identificador exclusivo da sua organização.

Desative as políticas da organização

Para desativar ou eliminar uma política da organização, execute o seguinte comando:

gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

Substitua o seguinte:

  • CONSTRAINT_NAME é o nome da restrição da política da organização que quer eliminar. Um exemplo é iam.allowedPolicyMemberDomains.
  • ORGANIZATION_ID é o identificador exclusivo da sua organização.

Adicione ou atualize valores para uma política de organização

Para adicionar ou atualizar valores para uma política da organização, tem de armazenar os valores num ficheiro YAML. Um exemplo do aspeto do conteúdo deste ficheiro:

{
  "name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "values": {
            "allowedValues": ["VALUE_A"]
        }
      }
    ]
  }
}

Para adicionar ou atualizar estes valores indicados no ficheiro YAML, execute o seguinte comando:

gcloud org-policies set-policy POLICY_FILE

Substitua POLICY_FILE pelo caminho para o ficheiro YAML que contém os valores da política organizacional.