Progettare i livelli di accesso

Questo documento descrive le implementazioni a livello di accesso e fornisce suggerimenti per avviare l'applicazione forzata del perimetro di servizio in base alle liste consentite.

Quando completi un'esecuzione di prova dei carichi di lavoro, devi identificare un elenco di indirizzi IP e identità da aggiungere a una lista consentita. Potresti anche scoprire che alcuni carichi di lavoro richiedono una lista consentita basata sui dispositivi. Per concedere un accesso controllato alle risorse protette di Google Cloud, puoi utilizzare i livelli di accesso di Controlli di servizio VPC. Alcuni modi pratici per implementare i livelli di accesso sono basati sull'indirizzo IP, sull'identità o sul dispositivo.

Per maggiori informazioni, consulta Accesso sensibile al contesto con le regole in entrata.

Concessione dell'accesso in base all'IP di origine

Puoi utilizzare solo intervalli CIDR IP pubblici nei livelli di accesso per le liste consentite basate su IP. Poiché questo metodo consente tutte le API protette da questo intervallo IP, l'ambiente alla base di questi IP deve essere attendibile e controllato. Uno scenario di utilizzo tipico per questa lista consentita è consentire l'accesso al perimetro dalle reti on-premise. Il seguente diagramma mostra in che modo una lista consentita basata su IP blocca e consente l'accesso al perimetro:

La rete e il perimetro di servizio dei Controlli di servizio VPC impediscono l'accesso da un'identità valida su una rete non attendibile.

Nel diagramma precedente, un'identità valida tenta di accedere al perimetro. I tentativi di accesso vengono rifiutati quando provengono da qualsiasi indirizzo IP internet. Tuttavia, l'accesso è consentito quando provengono dagli indirizzi IP pubblici dell'azienda.

Concessione dell'accesso in base all'identità del chiamante

Per implementare una lista consentita basata sull'identità, aggiungi account di servizio e super amministratori dell'organizzazione a una lista consentita. Il perimetro è aperto per queste identità da qualsiasi indirizzo IP, perciò devi assicurarti che le identità siano protette. Devi inoltre assicurarti di evitare di minare chiavi per gli account di servizio che hai aggiunto a una lista consentita. È raro aggiungere identità utente a una lista consentita (i gruppi non possono essere aggiunti a una lista consentita) all'interno di un perimetro.

È possibile accedere alle risorse all'interno del perimetro tramite VM all'interno del perimetro, da reti on-premise o da dispositivi attendibili. Ti consigliamo di utilizzare Cloud Workstations per accedere alle risorse all'interno dei perimetri, poiché Controlli di servizio VPC non supporta Cloud Shell.

Accesso idoneo in base agli attributi del dispositivo del chiamante

L'attendibilità del dispositivo, chiamata anche endpoint attendibile, è basata sull'accesso di un utente dell'organizzazione valido a un browser Chrome o a un Chromebook. L'attendibilità si applica alla sessione del sistema operativo in cui è stato eseguito l'accesso. Ad esempio, un utente Windows che ha eseguito l'accesso ed esegue una sessione di Chrome (il browser non deve essere aperto) può chiamare correttamente i comandi gcloud CLI sulle API del perimetro protetto. Tuttavia, una diversa sessione di un utente Windows sulla stessa macchina non può chiamare i comandi sulle API del perimetro protetto.

Le seguenti condizioni dei dispositivi sono utili per stabilire l'attendibilità dei dispositivi:

  • ChromeOS verificato è una condizione molto sicura e verificata tramite crittografia che indica che un utente dell'organizzazione valido ha eseguito l'accesso a un Chromebook avviato in modo sicuro. Questa è una condizione di attendibilità consigliata di livello 1.

    Il criterio del sistema operativo con l'opzione ChromeOS verificato attivata.

  • Richiedi l'approvazione dell'amministratore per l'accesso al dispositivo consente agli amministratori di Cloud Identity di approvare ogni dispositivo prima che venga concesso qualsiasi accesso. Per impostazione predefinita, i dispositivi vengono approvati automaticamente se ha eseguito l'accesso un utente dell'organizzazione valido. Tuttavia, ti consigliamo di disattivare l'opzione di approvazione automatica.

  • Richiedi dispositivo di proprietà dell'azienda si basa sull'agente Chrome che recupera il numero di serie dal sistema operativo, che in genere proviene dal BIOS. Questo numero deve corrispondere ai numeri di serie esistenti che hai inserito in Cloud Identity.

    Poiché il numero di serie non è autorevole nei dispositivi non ChromeOS, un utente con privilegi di amministratore elevati potrebbe essere in grado di eseguire lo spoofing del numero di serie. Ti consigliamo di utilizzare questa condizione solo come controllo di livello 2.

Per un tracker di esempio per concedere l'accesso controllato in base alle condizioni esaminate nell'elenco precedente, consulta Modello di onboarding dei Controlli di servizio VPC - Lista consentita (PDF).

Avvia applicazione

Dopo aver progettato la lista consentita e aggiornato i livelli di accesso, ti consigliamo di eseguire nuovamente i carichi di lavoro per confermare che non siano presenti violazioni. Se i carichi di lavoro vengono eseguiti senza violazioni, puoi avviare l'applicazione dei Controlli di servizio VPC senza influire sulle applicazioni.

Quando prevedi l'applicazione forzata, includi quanto segue:

  • Scegli una data di applicazione e comunica tale data a tutti i team correlati.
  • Assicurarsi che i team addetti alle operazioni di sicurezza e alla risposta agli incidenti siano a conoscenza dell'implementazione. Inoltre, assicurati che gli utenti con le autorizzazioni appropriate esaminino i log e approvino ulteriori liste consentite, se necessario.
  • Assicurati che il team di risposta alla situazione possa aprire una richiesta di assistenza per Google Cloud in caso di domande o problemi.
  • Creare o modificare i livelli perimetri e di accesso utilizzando strumenti di automazione come Terraform. Consigliamo di non eseguire queste attività manualmente.

Quando avvii l'applicazione forzata, sposta innanzitutto i progetti associati a un singolo carico di lavoro dal perimetro in modalità di prova a quello attivo. Mentre osservi i log delle violazioni, assicurati di attendere il tempo necessario per la corretta esecuzione dell'applicazione. Ripeti il processo per i carichi di lavoro rimanenti uno alla volta.

Per individuare le violazioni bloccate, configura un sink di logging aggregato che invii a BigQuery gli audit log per tutti i progetti nel perimetro. Quindi, esegui questa query:

SELECT
receiveTimestamp, #time of violation
Resource.labels.service, #protected Google Cloud service being blocked
protopayload_auditlog.methodName, #method name being called
resource.labels.project_id as PROJECT, #protected project blocking the call
protopayload_auditlog.authenticationInfo.principalEmail, #caller identity
protopayload_auditlog.requestMetadata.callerIp, #caller IP
JSON_EXTRACT(protopayload_auditlog.metadataJson, '$.dryRun') as DRYRUN, #dry-run indicator
JSON_EXTRACT(protopayload_auditlog.metadataJson, '$.violationReason') as REASON, #reason for violation
protopayload_auditlog.metadataJson, #raw violation entry
FROM `BQ_DATASOURCE_NAME.cloudaudit_googleapis_com_policy_*`
WHERE JSON_EXTRACT(protopayload_auditlog.metadataJson, '$.dryRun') is null #exclude logs from a dry-run perimeter

Passaggi successivi