Se sei un nuovo cliente, Google Cloud viene eseguito il provisioning automatico di una risorsa organizzazione per il tuo dominio nei seguenti scenari:
- Un utente del tuo dominio esegue l'accesso per la prima volta.
- Un utente crea un account di fatturazione che non ha una risorsa organizzazione associata.
La configurazione predefinita di questa risorsa dell'organizzazione, caratterizzata da un accesso illimitato, può rendere l'infrastruttura vulnerabile alle violazioni della sicurezza. Ad esempio, la creazione di chiavi del account di servizio predefinite è una vulnerabilità critica che espone i sistemi a potenziali violazioni.
Con l'applicazione delle policy dell'organizzazione sicure per impostazione predefinita, le posture non sicure vengono gestite con un bundle di policy dell'organizzazione applicate al momento della creazione di una risorsa dell'organizzazione. Esempi di queste applicazioni includono la disattivazione della creazione di chiavi del account di servizio e la disattivazione del caricamento delle chiavi del account di servizio.
Quando un utente esistente crea un'organizzazione, il livello di sicurezza per la nuova risorsa dell'organizzazione potrebbe essere diverso da quello delle risorse dell'organizzazione esistente. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati a tutte le organizzazioni create a partire dal 3 maggio 2024. Anche alcune organizzazioni create tra febbraio 2024 e aprile 2024 potrebbero avere impostate queste applicazioni delle norme predefinite. Per visualizzare le policy dell'organizzazione applicate alla tua organizzazione, consulta Visualizzare le policy dell'organizzazione.
In qualità di amministratore, di seguito sono riportati gli scenari in cui queste applicazioni delle policy dell'organizzazione vengono applicate automaticamente:
- Account Google Workspace o Cloud Identity: quando hai un account Google Workspace o Cloud Identity, viene creata una risorsa organizzazione associata al tuo dominio. Le policy dell'organizzazione sicure per impostazione predefinita vengono applicate automaticamente alla risorsa organizzazione.
- Creazione dell'account di fatturazione: se l'account di fatturazione che crei non è associato a una risorsa dell'organizzazione, viene creata automaticamente una risorsa dell'organizzazione. I criteri dell'organizzazione sicuri per impostazione predefinita vengono applicati alla risorsa organizzazione. Questo scenario funziona sia nella console Google Cloud che in gcloud CLI.
Autorizzazioni obbligatorie
Il ruolo Identity and Access Management
roles/orgpolicy.policyAdmin consente
a un amministratore di gestire i criteri dell'organizzazione. Devi essere un amministratore dei criteri dell'organizzazione per modificare o ignorare i criteri dell'organizzazione.
Per concedere il ruolo, esegui questo comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Sostituisci quanto segue:
ORGANIZATION: identificatore univoco della tua organizzazione.PRINCIPAL: L'entità per cui aggiungere l'associazione. Deve essere nel formatouser|group|serviceAccount:emailodomain:domain. Ad esempio:user:222larabrown@gmail.com.ROLE: ruolo da concedere all'entità. Utilizza il percorso completo di un ruolo predefinito. In questo caso, dovrebbe essereroles/orgpolicy.policyAdmin.
Policy dell'organizzazione applicate alle risorse dell'organizzazione
La tabella seguente elenca i vincoli dei criteri dell'organizzazione che vengono applicati automaticamente quando crei una risorsa organizzazione.
| Nome del criterio dell'organizzazione | Vincolo delle policy dell'organizzazione | Descrizione | Impatto dell'applicazione |
|---|---|---|---|
| Disattivare la creazione di account di servizio account | constraints/iam.disableServiceAccountKeyCreation |
Impedisci agli utenti di creare chiavi persistenti per i service account. Per informazioni sulla gestione delle chiavi dei account di servizio, vedi Fornire alternative alla creazione delle account di servizio account. | Riduce il rischio di esposizione delle credenziali del account di servizio. |
| Disabilitare il caricamento account di servizio account | constraints/iam.disableServiceAccountKeyUpload |
Impedisci il caricamento di chiavi pubbliche esterne nei service account. Per informazioni sull'accesso alle risorse senza chiavi del account di servizio, consulta queste best practice. | Riduce il rischio di esposizione delle credenziali del account di servizio. |
| Disattivare la concessione automatica dei ruoli ai service account predefiniti | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
Impedisci che agli account di servizio predefiniti venga assegnato il ruolo IAM eccessivamente permissivo Editor al momento della creazione. |
Il ruolo Editor consente al account di servizio di creare ed eliminare risorse per la maggior parte dei servizi Google Cloud , il che crea una vulnerabilità se il account di servizio viene compromesso. |
| Limitare le identità per dominio | constraints/iam.allowedPolicyMemberDomains |
Limitare la condivisione delle risorse alle identità che appartengono a una risorsa dell'organizzazione specifica. | Se la risorsa dell'organizzazione è aperta all'accesso da parte di attori con domini diversi da quello del cliente, si crea una vulnerabilità. |
| Limitare i contatti per dominio | constraints/essentialcontacts.allowedContactDomains |
Limita i contatti necessari in modo che consentano solo alle identità degli utenti gestiti all'interno dei domini selezionati di ricevere notifiche della piattaforma. | Un malintenzionato con un dominio diverso potrebbe essere aggiunto come Contatto necessario, compromettendo la postura di sicurezza. |
| Accesso uniforme a livello di bucket | constraints/storage.uniformBucketLevelAccess |
Impedisci ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema separato dalle policy di autorizzazione e negazione) per fornire l'accesso. | Garantisce la coerenza per la gestione dell'accesso e l'audit. |
| Utilizzare il DNS di zona per impostazione predefinita | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
Imposta restrizioni in base alle quali gli sviluppatori di applicazioni non possono scegliere le impostazioni DNS globali per le istanze Compute Engine. | Le impostazioni DNS globali hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS di zona. |
| Limita forwarding di protocollo in base al tipo di indirizzo IP | constraints/compute.restrictProtocolForwardingCreationForTypes |
Limita la configurazione dell'inoltro di protocollo solo per gli indirizzi IP interni. | Protegge le istanze di destinazione dall'esposizione al traffico esterno. |
Gestire l'applicazione dei criteri dell'organizzazione
Puoi gestire l'applicazione dei criteri dell'organizzazione nei seguenti modi:
Elenca le policy dell'organizzazione
Per verificare se le norme dell'organizzazione sicure per impostazione predefinita vengono applicate alla tua organizzazione, utilizza questo comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'identificatore univoco della tua organizzazione.
Disattivare i criteri dell'organizzazione
Per disattivare o eliminare una policy dell'organizzazione, esegui questo comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Sostituisci quanto segue:
CONSTRAINT_NAMEè il nome del vincolo di policy dell'organizzazione che vuoi eliminare. Un esempio èiam.allowedPolicyMemberDomains.ORGANIZATION_IDè l'identificatore univoco della tua organizzazione.
Aggiungere o aggiornare i valori di un criterio dell'organizzazione
Per aggiungere o aggiornare i valori di una policy dell'organizzazione, devi memorizzarli in un file YAML. Un esempio di come possono apparire i contenuti di questo file:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Per aggiungere o aggiornare questi valori elencati nel file YAML, esegui questo comando:
gcloud org-policies set-policy POLICY_FILE
Sostituisci POLICY_FILE con il percorso del file YAML che contiene i valori del criterio dell'organizzazione.