Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Vincoli di base per la sicurezza di Cloud de Confiance by S3NS

Se sei un nuovo cliente, Cloud de Confiance viene eseguito il provisioning automatico di una risorsa organizzazione per il tuo dominio nei seguenti scenari:

Un utente del tuo dominio esegue l'accesso per la prima volta.
Un utente crea un account di fatturazione che non ha una risorsa organizzazione associata.

La configurazione predefinita di questa risorsa dell'organizzazione, caratterizzata da un accesso illimitato, può rendere l'infrastruttura vulnerabile alle violazioni della sicurezza. Ad esempio, la creazione di chiavi del account di servizio predefinite è una vulnerabilità critica che espone i sistemi a potenziali violazioni.

Cloud de Confiance by S3NS La baseline di sicurezza affronta le posture di sicurezza non sicure con un pacchetto di policy dell'organizzazione che vengono applicate quando viene creata una risorsa dell'organizzazione. Per ulteriori informazioni, consulta Ottenere una risorsa dell'organizzazione. Esempi di questi criteri dell'organizzazione includono la disattivazione della creazione di chiavi del account di servizio e la disattivazione del caricamento delle chiavi del account di servizio.

Quando un utente esistente crea un'organizzazione, il livello di sicurezza per la nuova risorsa dell'organizzazione potrebbe essere diverso da quello delle risorse dell'organizzazione esistente.I vincoli della baseline di sicurezza Cloud de Confiance by S3NS vengono applicati a tutte le organizzazioni create a partire dal 3 maggio 2024. Anche alcune organizzazioni create tra febbraio 2024 e aprile 2024 potrebbero avere queste applicazioni delle norme predefinite. Per visualizzare le policy dell'organizzazione applicate alla tua organizzazione, consulta Visualizzazione delle policy dell'organizzazione.

Prima di iniziare

Per saperne di più su cosa sono le policy e i vincoli dell'organizzazione e su come funzionano, consulta l'introduzione al servizio Policy dell'organizzazione.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per gestire le policy dell'organizzazione. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per gestire le policy dell'organizzazione sono necessarie le seguenti autorizzazioni:

orgpolicy.constraints.list
orgpolicy.policies.create
orgpolicy.policies.delete
orgpolicy.policies.list
orgpolicy.policies.update
orgpolicy.policy.get
orgpolicy.policy.set

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Puoi delegare l'amministrazione delle policy dell'organizzazione aggiungendo condizioni IAM al binding del ruolo Amministratore policy dell'organizzazione. Per controllare le risorse in cui un'entità può gestire le policy dell'organizzazione, puoi rendere l'associazione di ruolo condizionale a un particolare tag. Per saperne di più, consulta la pagina Utilizzo dei vincoli.

Policy dell'organizzazione applicate alle risorse dell'organizzazione

La tabella seguente elenca i vincoli delle policy dell'organizzazione che vengono applicati automaticamente quando crei una risorsa organizzazione.

Nome del criterio dell'organizzazione	Vincolo delle policy dell'organizzazione	Descrizione	Impatto dell'applicazione
Disattivare la creazione di account di servizio account	`constraints/iam.managed.disableServiceAccountKeyCreation`	Impedisci agli utenti di creare chiavi persistenti per i service account. Per informazioni sulla gestione delle chiavi dei account di servizio, vedi Fornire alternative alla creazione delle account di servizio account.	Riduce il rischio di esposizione delle credenziali del account di servizio.
Disabilita caricamento chiavi service account	`constraints/iam.managed.disableServiceAccountKeyUpload`	Impedisci il caricamento di chiavi pubbliche esterne nei service account. Per informazioni sull'accesso alle risorse senza chiavi del account di servizio, consulta queste best practice.	Riduce il rischio di esposizione delle credenziali del account di servizio.
Impedire la concessione del ruolo Editor agli account di servizio predefiniti	`constraints/iam.automaticIamGrantsForDefaultServiceAccounts`	Impedisci che ai service account predefiniti venga assegnato il ruolo IAM Editor eccessivamente permissivo al momento della creazione.	Il ruolo Editor consente al account di servizio di creare ed eliminare risorse per la maggior parte dei servizi Cloud de Confiance , il che crea una vulnerabilità se il account di servizio viene compromesso.
Limitare le identità per dominio	`constraints/iam.allowedPolicyMemberDomains`	Limitare la condivisione delle risorse alle identità che appartengono a una particolare risorsa organizzazione o a un ID cliente Google Workspace.	Se lasci la risorsa dell'organizzazione aperta all'accesso da parte di attori con domini diversi da quello del cliente, crei una vulnerabilità.
Limitare i contatti per dominio	`constraints/essentialcontacts.managed.allowedContactDomains`	Limita i contatti necessari in modo che consentano solo alle identità degli utenti gestiti all'interno dei domini selezionati di ricevere notifiche della piattaforma.	Un malintenzionato con un dominio diverso potrebbe essere aggiunto come Contatto necessario, compromettendo la postura di sicurezza.
Limita forwarding di protocollo in base al tipo di indirizzo IP	`constraints/compute.managed.restrictProtocolForwardingCreationForTypes`	Limita la configurazione dell'inoltro di protocollo solo agli indirizzi IP interni.	Protegge le istanze di destinazione dall'esposizione al traffico esterno.
Accesso uniforme a livello di bucket	`constraints/storage.uniformBucketLevelAccess`	Impedisci ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema separato dalle policy di autorizzazione e negazione) per fornire l'accesso.	Garantisce la coerenza per la gestione dell'accesso e l'audit.

Gestire l'applicazione delle policy dell'organizzazione

Puoi gestire l'applicazione dei criteri dell'organizzazione nei seguenti modi:

Elenca le policy dell'organizzazione

Per verificare se i vincoli di base per la sicurezza di Cloud de Confiance by S3NS vengono applicati alla tua organizzazione, utilizza il seguente comando:

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID

Sostituisci ORGANIZATION_ID con l'identificatore univoco della tua organizzazione.

Disattivare i criteri dell'organizzazione

Per disattivare o eliminare una policy dell'organizzazione, esegui questo comando:

gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID

Sostituisci quanto segue:

CONSTRAINT_NAME: il nome del vincolo di policy dell'organizzazione che vuoi eliminare, ad esempio iam.allowedPolicyMemberDomains
ORGANIZATION_ID: l'identificatore univoco della tua organizzazione

Passaggi successivi

Per saperne di più sulla creazione e sulla gestione delle policy dell'organizzazione, consulta la sezione Utilizzo dei vincoli.