Un modo per proteggere le risorse sensibili è limitarne l'accesso. Tuttavia, limitare l'accesso alle risorse sensibili crea anche problemi per chiunque debba accedere occasionalmente a queste risorse. Ad esempio, un utente potrebbe dover accedere in caso di emergenza a risorse sensibili per risolvere un incidente.
In questi casi, consigliamo di concedere all'utente l'autorizzazione ad accedere temporaneamente alla risorsa. Per migliorare il controllo, ti consigliamo inoltre di registrare la motivazione dell'utente per accedere alla risorsa.
In Google Cloud, esistono diversi modi per gestire questo tipo di accesso con privilegi temporanei.
Privileged Access Manager
Puoi utilizzare Privileged Access Manager (PAM) per gestire l'aumento temporaneo dei privilegi just-in-time per alcuni principali e per visualizzare in un secondo momento gli audit log per scoprire chi ha avuto accesso a cosa e quando.
Potresti voler fornire l'elevazione temporanea dei privilegi tramite Privileged Access Manager nelle seguenti situazioni:
Concedere l'accesso di emergenza: consente a determinati personale di primo intervento di eseguire attività critiche senza dover attendere l'approvazione. Puoi richiedere delle giustificazioni per avere un contesto aggiuntivo sul motivo per cui è necessario l'accesso di emergenza.
Controlla l'accesso alle risorse sensibili: controlla rigidamente l'accesso alle risorse sensibili, richiedendo approvazioni e giustificazioni aziendali. Privileged Access Manager può essere utilizzato anche per controllare come è stato utilizzato questo accesso, ad esempio quando erano attivi i ruoli concessi per un utente, quali risorse erano accessibili in quel momento, la motivazione dell'accesso e chi lo ha approvato.
Ad esempio, puoi utilizzare Privileged Access Manager per:
Concedi agli sviluppatori l'accesso temporaneo agli ambienti di produzione per la risoluzione dei problemi o i deployment.
Consentire ai tecnici dell'assistenza di accedere ai dati dei clienti sensibili per compiti specifici.
Concedi agli amministratori del database privilegi elevati per la manutenzione o le modifiche di configurazione.
Contribuisci a proteggere gli account di servizio: anziché concedere definitivamente i ruoli agli account di servizio, consenti loro di elevarsi autonomamente e di assumere i ruoli solo quando necessario per le attività automatiche.
Gestisci l'accesso per i fornitori e la forza lavoro estesa: concedi ai fornitori o ai membri della forza lavoro estesa l'accesso temporaneo e limitato nel tempo alle risorse, con le approvazioni e le giustificazioni richieste.
Per ulteriori informazioni sulla configurazione di Privileged Access Manager, consulta Panoramica di Privileged Access Manager.
Per ulteriori informazioni su come richiedere l'elevazione temporanea, consulta Richiedere l'accesso elevato temporaneo.
Gruppi Google
Un modo per gestire l'accesso elevato temporaneo è concedere a un gruppo Google l'accesso alle risorse sensibili, quindi aggiungere e rimuovere utenti dal gruppo per controllarne l'accesso.
Per configurare un gruppo Google per l'accesso temporaneo con privilegi elevati, crea un gruppo, quindi assegna i ruoli che vuoi assegnare temporaneamente agli utenti. Se utilizzi le norme di rifiuto, ti consigliamo anche di esonerare il gruppo da eventuali regole di rifiuto pertinenti per evitare rifiuti imprevisti.
Dopo aver configurato il gruppo, puoi aggiungere e rimuovere utenti per modificarne l'accesso. Se utilizzi l'API Google Groups, puoi aggiungere temporaneamente utenti a un gruppo utilizzando la scadenza dell'abbonamento.
Se vuoi registrare le giustificazioni dell'utente per accedere a risorse sensibili, devi definire le tue procedure e i tuoi strumenti operativi.
Ad esempio, per gestire l'accesso di emergenza alle risorse di Compute Engine, puoi creare un gruppo, emergency-compute-access@example.com, e concedergli il ruolo Amministratore Compute (roles/compute.admin). Se un utente ha bisogno di accesso amministrativo di emergenza alle risorse di calcolo, puoi aggiungerlo al gruppo emergency-compute-access@example.com. Una volta risolta l'emergenza, puoi rimuoverli dal gruppo.
Condizioni IAM
Puoi utilizzare le condizioni IAM per concedere agli utenti l'accesso con scadenza alle risorse Google Cloud. Per ulteriori informazioni, consulta Configurare l'accesso temporário.
Se vuoi registrare le giustificazioni dell'utente per accedere a risorse sensibili, devi definire le tue procedure e i tuoi strumenti operativi.
Le associazioni di ruoli scadute non vengono rimosse automaticamente dai criteri di autorizzazione. Per assicurarti che i tuoi criteri di autorizzazione non superino le dimensioni massime per i criteri di autorizzazione, ti consigliamo di rimuovere periodicamente le associazioni di ruolo scadute.
Le policy di rifiuto non supportano le condizioni basate sul tempo. Di conseguenza, non puoi utilizzare le condizioni nei criteri di rifiuto per esentare temporaneamente un utente da una regola di rifiuto.
Accesso privilegiato just-in-time
L'accesso Just-In-Time è un'applicazione open source che utilizza le condizioni IAM per concedere agli utenti l'accesso con privilegi just-in-time alle risorse Google Cloud. Questa applicazione è progettata per funzionare su App Engine o Cloud Run.
Questa applicazione offre i seguenti vantaggi rispetto all'aggiunta manuale delle associazioni di ruoli condizionali:
- Gli utenti possono cercare i ruoli che possono attivare con l'accesso Just-In-Time.
- Gli utenti sono tenuti a fornire giustificazioni prima di ottenere l'accesso.
- L'applicazione sostituisce l'associazione condizionale esistente anziché creare nuove associazioni, il che consente di mantenere le dimensioni del criterio di autorizzazione IAM.
Per ulteriori informazioni sull'accesso Just-In-Time, vedi Gestire l'accesso privilegiato just-in-time ai progetti.
Rappresentazione dell'identità dell'account di servizio
Quando un'entità autenticata, ad esempio un utente o un altro account di servizio, si autentica come account di servizio per ottenere le autorizzazioni dell'account di servizio, si parla di sostituzione di identità dell'account di servizio. L'impersonificazione di un account di servizio consente a un'entità autenticata di accedere a qualsiasi elemento a cui può accedere l'account di servizio. Solo le entità autenticate con le autorizzazioni appropriate possono eseguire l'impersonificazione dei service account.
Per configurare un account di servizio per l'accesso elevato temporaneo, crea l'account di servizio, quindi concedi i ruoli che vuoi assegnare temporaneamente a un utente. Se utilizzi le norme di rifiuto, valuta anche la possibilità di aggiungere l'account di servizio esente da eventuali regole di rifiuto pertinenti per evitare rifiuti imprevisti.
Dopo aver configurato l'account di servizio, puoi concedere agli utenti un accesso temporaneo con privilegi elevati consentendo loro di simulare l'identità dell'account di servizio. Esistono diversi modi per consentire agli utenti di appropriarsi di un account di servizio:
Concedi agli utenti un ruolo che consenta loro di creare credenziali di breve durata per l'account di servizio. Gli utenti possono quindi utilizzare le credenziali di breve durata per rubare l'identità dell'account di servizio.
Concedi il ruolo Creatore token di identità OpenID Connect per account di servizio (
roles/iam.serviceAccountOpenIdTokenCreator) per consentire all'utente di creare token ID OpenID Connect (OIDC) di breve durata per l'account di servizio.Concedi il ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator) per consentire all'utente di creare i seguenti tipi di credenziali dell'account di servizio:- Token di accesso OAuth 2.0, che puoi utilizzare per autenticarti con le API di Google
- Token ID OIDC
- Token web JSON (JWT) firmati e blob binari
Se concedi a un utente uno di questi ruoli, l'utente può simulare l'identità dell'account di servizio in qualsiasi momento per elevare il proprio accesso. Tuttavia, è meno probabile che accedano o modifichino involontariamente risorse sensibili.
Per scoprire come rubare l'identità degli account di servizio, vedi Utilizzare l'impersonificazione degli account di servizio.
Crea un servizio di broker di token che fornisca agli utenti credenziali di breve durata per l'account di servizio dopo che si sono autenticati e hanno fornito una giustificazione. Gli utenti possono quindi utilizzare le credenziali di breve durata per rubare l'identità dell'account di servizio.
Con questo metodo, puoi decidere quando consentire agli utenti di rubare l'identità dell'account servizio.
Per scoprire come generare credenziali di breve durata, consulta Creare credenziali di breve durata per un account di servizio.
Per scoprire di più sull'impersonificazione degli account di servizio, consulta Impersonificazione dell'account di servizio.
Passaggi successivi
- Configura Privileged Access Manager per l'accesso temporaneo con privilegi elevati.
- Utilizza le condizioni IAM per concedere l'accesso temporaneo a un'entità.
- Esegui il deployment dell'applicazione di accesso Just-In-Time.
- Crea manualmente credenziali di breve durata per impersonare un account di servizio.