Se sei un nuovo cliente, Google Cloud esegue automaticamente il provisioning di una risorsa dell'organizzazione per il tuo dominio nei seguenti scenari:
- Un utente del tuo dominio accede per la prima volta.
- Un utente crea un account di fatturazione a cui non è associata un'organizzazione risorsa.
La configurazione predefinita di questa risorsa dell'organizzazione, caratterizzata da accesso illimitato, può rendere l'infrastruttura vulnerabile a violazioni della sicurezza. Per Ad esempio, la creazione di chiavi di account di servizio predefinite è una vulnerabilità critica l'esposizione dei sistemi a potenziali violazioni.
Con l'applicazione dei criteri dell'organizzazione sicuri per impostazione predefinita, le posture non sicure vengono affrontate con un insieme di criteri dell'organizzazione applicati al momento della creazione di una risorsa dell'organizzazione. Alcuni esempi di queste applicazioni includono la disattivazione della creazione e del caricamento delle chiavi dell'account di servizio.
Quando un utente esistente crea un'organizzazione, la security posture nuove risorse dell'organizzazione potrebbero essere diverse da quelle esistenti. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati a tutte le organizzazioni creato a partire dal 3 maggio 2024. Anche alcune organizzazioni create tra febbraio 2024 e aprile 2024 potrebbero avere impostato queste applicazioni predefinite delle norme. Per visualizzare i criteri dell'organizzazione applicati alla tua organizzazione, consulta Visualizzare i criteri dell'organizzazione.
In qualità di amministratore, di seguito sono riportati gli scenari in cui i criteri dell'organizzazione le applicazioni delle norme vengono applicate automaticamente:
- Account Google Workspace o Cloud Identity: se hai un account Google Workspace o Cloud Identity, viene creata una risorsa organizzazione associata al tuo dominio. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati automaticamente alla risorsa dell'organizzazione.
- Creazione dell'account di fatturazione: se l'account di fatturazione creato non è associato con una risorsa organizzazione, questa viene automaticamente è stato creato. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati alla risorsa dell'organizzazione. Questo scenario funziona sia nella console Google Cloud sia nella CLI gcloud.
Autorizzazioni obbligatorie
Ruolo Identity and Access Management
roles/orgpolicy.policyAdmin attiva
e un amministratore per gestire i criteri dell'organizzazione. Devi essere un'organizzazione
amministratore dei criteri per modificare o sostituire i criteri dell'organizzazione.
Per concedere il ruolo, esegui questo comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Sostituisci quanto segue:
ORGANIZATION: identificatore univoco della tua organizzazione.PRINCIPAL: l'entità per cui aggiungere l'associazione. Deve avere il formatouser|group|serviceAccount:emailodomain:domain. Ad esempio:user:222larabrown@gmail.com.ROLE: il ruolo da concedere all'entità. Utilizza il percorso completo di un ruolo predefinito. In questo caso, dovrebbe essereroles/orgpolicy.policyAdmin.
Criteri dell'organizzazione applicati alle risorse dell'organizzazione
La tabella seguente elenca i vincoli dei criteri dell'organizzazione automaticamente quando crei una risorsa organizzazione.
| Nome criterio dell'organizzazione | Vincolo dei criteri dell'organizzazione | Descrizione | Impatto dell'applicazione delle norme |
|---|---|---|---|
| Disabilitare la creazione di chiavi dell'account di servizio | constraints/iam.disableServiceAccountKeyCreation |
Impedisci agli utenti di creare chiavi permanenti per gli account di servizio. Per informazioni sulla gestione delle chiavi degli account di servizio, vedi Fornire alternative alla creazione delle chiavi degli account di servizio. | Riduce il rischio di credenziali del servizio esposte. |
| Disattivare il caricamento delle chiavi dell'account di servizio | constraints/iam.disableServiceAccountKeyUpload |
Impedisci il caricamento di chiavi pubbliche esterne negli account di servizio. Per informazioni sull'accesso alle risorse senza chiavi dell'account di servizio, consulta queste best practice. | Riduce il rischio di compromissione delle credenziali degli account di servizio. |
| Disattivare le concessioni automatiche dei ruoli agli account di servizio predefiniti | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Impedisci agli account di servizio predefiniti di ricevere il ruolo IAM eccessivamente permissivo Editor al momento della creazione. |
Il ruolo Editor consente all'account di servizio di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud, il che crea una vulnerabilità se l'account di servizio viene compromesso. |
| Limitare le identità in base al dominio | constraints/iam.allowedPolicyMemberDomains |
Limita la condivisione delle risorse alle identità che appartengono a una determinata risorsa dell'organizzazione. | Lasciare la risorsa dell'organizzazione aperta all'accesso da parte di utenti con domini diversi da quello del cliente crea una vulnerabilità. |
| Limitare i contatti in base al dominio | constraints/essentialcontacts.allowedContactDomains |
Limita i contatti necessari in modo da consentire solo alle identità utente gestite nei domini selezionati di ricevere notifiche della piattaforma. | Un malintenzionato con un dominio diverso potrebbe essere aggiunto come contatto necessario, con conseguente compromissione della postura di sicurezza. |
| Accesso uniforme a livello di bucket | constraints/storage.uniformBucketLevelAccess |
Impedisci ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso. | Garantisce la coerenza per la gestione e il controllo degli accessi. |
| Utilizzare il DNS di zona per impostazione predefinita | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Impostare limitazioni in base alle quali gli sviluppatori di applicazioni non possono scegliere le impostazioni DNS globali per le istanze Compute Engine. | Le impostazioni DNS globali hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS di zona. |
| Limita l'inoltro del protocollo in base al tipo di indirizzo IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Limita la configurazione dell'inoltro del protocollo solo per gli indirizzi IP interni. | Protegge le istanze di destinazione dall'esposizione al traffico esterno. |
Gestisci l'applicazione dei criteri dell'organizzazione
Puoi gestire l'applicazione dei criteri dell'organizzazione nei seguenti modi:
Elenca criteri dell'organizzazione
Per verificare se i criteri di sicurezza predefiniti per le organizzazioni sono applicati alla tua organizzazione, utilizza il seguente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'identificatore univoco della tua organizzazione.
Disattivare i criteri dell'organizzazione
Per disabilitare o eliminare un criterio dell'organizzazione, esegui questo comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Sostituisci quanto segue:
CONSTRAINT_NAMEè il nome del criterio dell'organizzazione del vincolo che vuoi eliminare. Un esempio èiam.allowedPolicyMemberDomains.ORGANIZATION_IDè l'identificatore univoco della tua organizzazione.
Aggiungere o aggiornare i valori per un criterio dell'organizzazione
Per aggiungere o aggiornare i valori di un criterio dell'organizzazione, devi archiviarli in un file YAML. Ecco un esempio di come possono presentarsi i contenuti di questo file:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Per aggiungere o aggiornare questi valori elencati nel file YAML, esegui questo comando:
gcloud org-policies set-policy POLICY_FILE
Sostituisci POLICY_FILE con il percorso del file YAML che contiene
del criterio dell'organizzazione.