Uma forma de proteger os recursos confidenciais é limitar o acesso aos mesmos. No entanto, a limitação do acesso a recursos confidenciais também cria atrito para qualquer pessoa que precise de aceder ocasionalmente a esses recursos. Por exemplo, um utilizador pode precisar de acesso de emergência a recursos confidenciais para resolver um incidente.
Nestas situações, recomendamos que conceda ao utilizador autorização para aceder temporariamente ao recurso. Também recomendamos que, para melhorar a auditoria, registe a justificação do utilizador para aceder ao recurso.
No Google Cloud, existem várias formas de gerir este tipo de acesso elevado temporário.
Gestor de acesso privilegiado
Pode usar o Gestor de acesso privilegiado (PAM) para gerir a elevação de privilégios temporários imediatos para determinados responsáveis e ver os registos de auditoria posteriormente para saber quem teve acesso a quê e quando.
Pode querer fornecer a elevação de privilégios temporária através do gestor de acesso privilegiado nas seguintes situações:
Conceda acesso de emergência: permita que determinados contactos de resposta a emergências realizem tarefas críticas sem ter de aguardar aprovação. Pode exigir justificações para contexto adicional sobre o motivo pelo qual o acesso de emergência é necessário.
Controlar o acesso a recursos confidenciais: controlar rigorosamente o acesso a recursos confidenciais, exigindo aprovações e justificações empresariais. O Gestor de acesso privilegiado também pode ser usado para auditar como este acesso foi usado, por exemplo, quando as funções concedidas estavam ativas para um utilizador, que recursos estavam acessíveis durante esse período, a justificação para o acesso e quem o aprovou.
Por exemplo, pode usar o Gestor de acesso privilegiado para fazer o seguinte:
Conceder aos programadores acesso temporário a ambientes de produção para resolução de problemas ou implementações.
Conceder aos engenheiros de apoio técnico acesso a dados de clientes confidenciais para tarefas específicas.
Conceder aos administradores da base de dados privilégios elevados para manutenção ou alterações de configuração.
Ajude a proteger as contas de serviço: em vez de conceder funções permanentemente às contas de serviço, permita que as contas de serviço se elevem automaticamente e assumam funções apenas quando necessário para tarefas automatizadas.
Faça a gestão do acesso para subcontratados e equipas alargadas: conceda aos subcontratados ou aos membros da equipa alargada acesso temporário e limitado no tempo aos recursos, com aprovações e justificações necessárias.
Para mais informações sobre a configuração do Privileged Access Manager, consulte o artigo Vista geral do Privileged Access Manager.
Para mais informações sobre como pedir elevação temporária, consulte o artigo Peça acesso elevado temporário.
Grupos do Google
Uma forma de gerir o acesso elevado temporário é conceder acesso a um grupo Google a recursos confidenciais e, em seguida, adicionar e remover utilizadores desse grupo para controlar o respetivo acesso.
Para configurar um grupo Google para acesso elevado temporário, primeiro crie um grupo e, em seguida, conceda-lhe as funções que quer atribuir temporariamente aos utilizadores. Se usar políticas de recusa, considere também isentar o grupo de quaisquer regras de recusa relevantes para evitar recusas inesperadas.
Depois de configurar o grupo, pode adicionar e remover utilizadores para modificar o respetivo acesso. Se usar a API Google Groups, pode adicionar temporariamente utilizadores a um grupo através da expiração da associação.
Se quiser registar as justificações do utilizador para aceder a recursos confidenciais, tem de definir os seus próprios processos operacionais e ferramentas.
Por exemplo, para gerir o acesso de emergência aos recursos do Compute Engine, pode criar um grupo, emergency-compute-access@example.com, e conceder-lhe a função de administrador do Compute (roles/compute.admin). Se um utilizador precisar de acesso administrativo de emergência aos recursos de computação, pode adicioná-lo ao grupo emergency-compute-access@example.com. Depois de a emergência ser resolvida,
pode removê-los do grupo.
Condições do IAM
Pode usar as condições do IAM para conceder aos utilizadores acesso com validade a Google Cloud recursos. Para mais informações, consulte o artigo Configure o acesso temporário.
Se quiser registar as justificações do utilizador para aceder a recursos confidenciais, tem de definir os seus próprios processos operacionais e ferramentas.
As associações de funções expiradas não são removidas automaticamente das suas políticas de autorização. Para garantir que as políticas de permissão não excedem o tamanho máximo para políticas de permissão, recomendamos que remova periodicamente as associações de funções expiradas.
As políticas de recusa não suportam condições baseadas no tempo. Como resultado, não pode usar condições em políticas de recusa para isentar temporariamente um utilizador de uma regra de recusa.
Acesso privilegiado just-in-time
O acesso just-in-time é uma aplicação de código aberto que usa condições do IAM para conceder aos utilizadores acesso privilegiado just-in-time a recursos. Google CloudEsta aplicação foi concebida para ser executada no App Engine ou no Cloud Run.
Esta aplicação tem as seguintes vantagens em relação à adição manual de associações de funções condicionais:
- Os utilizadores podem pesquisar funções que podem ativar com o acesso just-in-time.
- Os utilizadores têm de fornecer justificações antes de obterem acesso.
- A aplicação substitui a associação condicional existente em vez de criar novas associações, o que ajuda a manter o tamanho da política de autorização do IAM.
Para mais informações sobre o acesso just-in-time, consulte o artigo Faça a gestão do acesso privilegiado just-in-time a projetos.
Simulação de identidade de conta de serviço
Quando um principal autenticado, como um utilizador ou outra conta de serviço, se autentica como uma conta de serviço para obter as autorizações da conta de serviço, chama-se roubar a identidade da conta de serviço. A utilização da identidade de uma conta de serviço permite que um principal autenticado aceda a tudo o que a conta de serviço pode aceder. Apenas os principais autenticados com as autorizações adequadas podem fazer-se passar por contas de serviço.
Para configurar uma conta de serviço para acesso elevado temporário, crie a conta de serviço e, de seguida, conceda-lhe as funções que quer dar temporariamente a um utilizador. Se usar políticas de recusa, também deve considerar adicionar a conta de serviço isenta de quaisquer regras de recusa relevantes para evitar recusas inesperadas.
Depois de configurar a conta de serviço, pode conceder aos utilizadores acesso elevado temporário, permitindo-lhes roubar a identidade da conta de serviço. Existem várias formas de permitir que os utilizadores se façam passar por contas de serviço:
Conceda aos utilizadores uma função que lhes permita criar credenciais de curta duração para a conta de serviço. Em seguida, os utilizadores podem usar as credenciais de curta duração para se fazerem passar pela conta de serviço.
Conceda a função criador de tokens de identidade do OpenID Connect da conta de serviço (
roles/iam.serviceAccountOpenIdTokenCreator) para permitir que o utilizador crie tokens de ID do OpenID Connect (OIDC) de curta duração para a conta de serviço.Conceda a função criador de tokens de contas de serviço (
roles/iam.serviceAccountTokenCreator) para permitir que o utilizador crie os seguintes tipos de credenciais de contas de serviço:- Chaves de acesso OAuth 2.0, que pode usar para autenticar com as APIs Google
- Tokens de ID OIDC
- Símbolos da Web JSON (JWTs) assinados e blobs binários
Se conceder a um utilizador uma destas funções, este pode roubar a identidade da conta de serviço em qualquer altura para elevar o seu próprio acesso. No entanto, é menos provável que acedam ou modifiquem recursos confidenciais de forma não intencional.
Para saber como usar a identidade de contas de serviço, consulte o artigo Use a identidade de contas de serviço.
Crie um serviço de agente de tokens que dê aos utilizadores credenciais de curta duração para a conta de serviço depois de se autenticarem e apresentarem uma justificação. Em seguida, os utilizadores podem usar as credenciais de curta duração para se fazerem passar pela conta de serviço.
Com este método, pode decidir quando permitir que os utilizadores se façam passar pela conta de serviço.
Para saber como gerar credenciais de curta duração, consulte o artigo Crie credenciais de curta duração para uma conta de serviço.
Para saber mais sobre a simulação da conta de serviço, consulte o artigo Simulação da conta de serviço.
O que se segue?
- Configure o Gestor de acesso privilegiado para acesso elevado temporário.
- Use as condições do IAM para conceder acesso temporário a um principal.
- Implemente a aplicação de acesso just-in-time.
- Crie manualmente credenciais de curta duração para usar a identidade de uma conta de serviço.