Mengelola resource organisasi yang aman secara default

Jika Anda adalah pelanggan baru, Google Cloud akan otomatis menyediakan resource organisasi untuk domain Anda dalam skenario berikut:

  • Pengguna dari domain Anda login untuk pertama kalinya.
  • Pengguna membuat akun penagihan yang tidak memiliki resource organisasi terkait.

Konfigurasi default resource organisasi ini, yang ditandai dengan akses tidak terbatas, dapat membuat infrastruktur rentan terhadap pelanggaran keamanan. Misalnya, pembuatan kunci akun layanan default merupakan kerentanan kritis yang mengekspos sistem terhadap potensi pelanggaran.

Dengan penerapan kebijakan organisasi yang aman secara default, postingan yang tidak aman ditangani dengan paket kebijakan organisasi yang diterapkan pada saat pembuatan resource organisasi. Contoh penerapan ini termasuk menonaktifkan pembuatan kunci akun layanan dan menonaktifkan upload kunci akun layanan.

Saat pengguna yang sudah ada membuat organisasi, postur keamanan untuk resource organisasi baru berbeda dengan resource organisasi yang sudah ada. Hal ini disebabkan oleh penerapan kebijakan organisasi yang aman secara default. Penegakan kebijakan ini akan berlaku untuk organisasi yang dibuat pada awal tahun 2024, saat fitur ini di-deploy secara bertahap.

Sebagai administrator, berikut adalah skenario saat penegakan kebijakan organisasi ini diterapkan secara otomatis:

  • Akun Google Workspace atau Cloud Identity: Jika Anda memiliki akun Google Workspace atau Cloud Identity, resource organisasi yang terkait dengan domain Anda akan dibuat. Kebijakan organisasi yang aman secara default diberlakukan secara otomatis di resource organisasi.
  • Pembuatan akun penagihan: Jika akun penagihan yang Anda buat tidak terkait dengan resource organisasi, resource organisasi akan otomatis dibuat. Kebijakan organisasi yang aman secara default diterapkan di resource organisasi. Skenario ini dapat dijalankan di Google Cloud Console dan gcloud CLI.

Izin yang diperlukan

Peran Identity and Access Management roles/orgpolicy.policyAdmin memungkinkan administrator mengelola kebijakan organisasi. Anda harus menjadi administrator kebijakan organisasi untuk mengubah atau mengganti kebijakan organisasi. Untuk memberikan peran, jalankan perintah berikut:

gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE

Ganti kode berikut:

  • ORGANIZATION: ID unik organisasi Anda.
  • PRINCIPAL: Entity utama yang akan ditambahkan binding. Format ini harus user|group|serviceAccount:email atau domain:domain. Contohnya, user:222larabrown@gmail.com
  • ROLE: Peran yang akan diberikan ke akun utama. Gunakan jalur lengkap untuk peran standar. Dalam hal ini, nilainya adalah roles/orgpolicy.policyAdmin.

Kebijakan organisasi diterapkan pada resource organisasi

Tabel berikut mencantumkan batasan kebijakan organisasi yang otomatis diterapkan saat Anda membuat resource organisasi.

Nama kebijakan organisasi Batasan kebijakan organisasi Deskripsi Dampak penegakan kebijakan
Menonaktifkan pembuatan kunci akun layanan iam.disableServiceAccountKeyCreation Cegah pengguna membuat kunci persisten untuk akun layanan. Mengurangi risiko kredensial akun layanan terekspos.
Menonaktifkan upload kunci akun layanan iam.disableServiceAccountKeyUpload Cegah upload kunci publik eksternal ke akun layanan. Mengurangi risiko kredensial akun layanan terekspos.
Menonaktifkan pemberian peran otomatis ke akun layanan default iam.automaticIamGrantsForDefaultServiceAccounts Cegah akun layanan default menerima peran IAM Editor yang terlalu permisif saat pembuatan. Peran Editor memungkinkan akun layanan membuat dan menghapus resource untuk sebagian besar layanan Google Cloud, yang menimbulkan kerentanan jika akun layanan disusupi.
Membatasi identitas menurut domain iam.allowedPolicyMemberDomains Membatasi pembagian resource hanya untuk identitas milik resource organisasi tertentu. Membiarkan resource organisasi tetap terbuka untuk diakses oleh pelaku yang memiliki domain selain domain pelanggan akan menciptakan kerentanan.
Membatasi kontak menurut domain essentialcontacts.allowedContactDomains Batasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain tertentu untuk menerima notifikasi platform. Pihak tidak bertanggung jawab dengan domain yang berbeda mungkin ditambahkan sebagai Kontak Penting, sehingga menyebabkan postur keamanan yang disusupi.
Akses level bucket yang seragam storage.uniformBucketLevelAccess Mencegah bucket Cloud Storage menggunakan ACL per objek (sistem yang terpisah dari kebijakan IAM) untuk memberikan akses. Menerapkan konsistensi untuk pengelolaan dan pengauditan akses.
Menggunakan DNS zona secara default compute.setNewProjectDefaultToZonalDNSOnly Tetapkan batasan di mana developer aplikasi tidak dapat memilih setelan DNS global untuk instance Compute Engine. Setelan DNS global memiliki keandalan layanan lebih rendah daripada setelan DNS zona.

Mengelola penerapan kebijakan organisasi

Anda dapat mengelola pemberlakuan kebijakan organisasi dengan cara berikut:

Membuat daftar kebijakan organisasi

Untuk memeriksa apakah kebijakan organisasi yang aman secara default diterapkan pada organisasi Anda, gunakan perintah berikut:

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

Ganti ORGANIZATION_ID dengan ID unik organisasi Anda.

Menonaktifkan kebijakan organisasi

Untuk menonaktifkan atau menghapus kebijakan organisasi, jalankan perintah berikut:

gcloud delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

Ganti kode berikut:

  • CONSTRAINT_NAME adalah nama batasan kebijakan organisasi yang ingin Anda hapus. Contohnya adalah iam.allowedPolicyMemberDomains.
  • ORGANIZATION_ID adalah ID unik organisasi Anda.

Menambahkan atau memperbarui nilai untuk kebijakan organisasi

Untuk menambahkan atau memperbarui nilai untuk kebijakan organisasi, Anda harus menyimpan nilai tersebut dalam file YAML. Contoh tampilan isi file ini:

{
  "name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "values": {
            "allowedValues": ["VALUE_A"]
        }
      }
    ]
  }
}

Untuk menambahkan atau memperbarui nilai-nilai yang tercantum dalam file YAML, jalankan perintah berikut:

gcloud org-policies set-policy POLICY_FILE

Ganti POLICY_FILE dengan jalur ke file YAML yang berisi nilai kebijakan organisasi.