אם אתם לקוחות חדשים, Google Cloud מערכת Google תספק באופן אוטומטי משאב ארגון לדומיין שלכם בתרחישים הבאים:
- משתמש מהדומיין שלכם מתחבר בפעם הראשונה.
- משתמש יוצר חשבון לחיוב שלא משויך אליו משאב של ארגון.
הגדרת ברירת המחדל של משאב הארגון הזה, שמאופיינת בגישה בלתי מוגבלת, עלולה להפוך את התשתית לפגיעה לפרצות אבטחה. לדוגמה, יצירת מפתח ברירת מחדל לחשבון שירות היא פגיעות קריטית שחושפת את המערכות לפריצות פוטנציאליות.
Google Cloud הגדרות אבטחה בסיסיות מטפלות במצבי אבטחה לא מאובטחים באמצעות חבילה של מדיניות ארגונית שנאכפת כשנוצר משאב ארגוני. מידע נוסף זמין במאמר קבלת משאב ארגון. דוגמאות למדיניות ארגון כזו כוללות השבתה של יצירת מפתחות לחשבונות שירות והשבתה של העלאת מפתחות לחשבונות שירות.
כשמשתמש קיים יוצר ארגון, יכול להיות שהמצב האבטחתי של משאב הארגון החדש יהיה שונה ממשאבי הארגון הקיימים. Google Cloud אילוצים של בסיס אבטחה נאכפים בכל הארגונים שנוצרו בתאריך 3 במאי 2024 או אחריו. יכול להיות שגם בארגונים מסוימים שנוצרו בין פברואר 2024 לאפריל 2024 מוגדרות אכיפות המדיניות האלה כברירת מחדל. כדי לראות את מדיניות הארגון שחלה על הארגון שלכם, אפשר לעיין במאמר בנושא צפייה במדיניות הארגון.
לפני שמתחילים
במאמר הזה מוסבר מהי מדיניות ארגונית, מהן מגבלות ואיך הן פועלות.
התפקידים הנדרשים
כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM Organization policy administrator (אדמין של מדיניות הארגון) (roles/orgpolicy.policyAdmin) בארגון.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות לניהול מדיניות הארגון. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי לנהל את מדיניות הארגון, נדרשות ההרשאות הבאות:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
אפשר להוסיף תנאי IAM לקישור של תפקיד האדמין של מדיניות הארגון כדי להעביר את הניהול של מדיניות הארגון. כדי לשלוט במשאבים שבהם יש למשתמש הרשאה לנהל את מדיניות הארגון, אפשר להתנות את הקצאת התפקיד בתג מסוים. מידע נוסף מופיע במאמר שימוש באילוצים.מדיניות הארגון נאכפת על משאבי הארגון
בטבלה הבאה מפורטים האילוצים של מדיניות הארגון שנאכפים באופן אוטומטי כשיוצרים משאב ארגון.
| שם מדיניות הארגון | אילוץ של מדיניות הארגון | תיאור | ההשפעה של האכיפה |
|---|---|---|---|
| השבתת יצירת מפתחות לחשבון שירות | constraints/iam.managed.disableServiceAccountKeyCreation |
מונעים ממשתמשים ליצור מפתחות קבועים לחשבונות שירות. מידע על ניהול מפתחות של חשבונות שירות זמין במאמר מתן חלופות ליצירת מפתחות של חשבונות שירות. | מצמצם את הסיכון לחשיפה של פרטי הכניסה של חשבון השירות. |
| השבתת ההעלאה של מפתחות לחשבונות שירות | constraints/iam.disableServiceAccountKeyUpload |
למנוע העלאה של מפתחות ציבוריים חיצוניים לחשבונות שירות. מידע על גישה למשאבים ללא מפתחות של חשבונות שירות זמין במאמר שיטות מומלצות. | מצמצם את הסיכון לחשיפה של פרטי הכניסה של חשבון השירות. |
| מניעת הקצאת התפקיד 'עריכה' לחשבונות שירות שמוגדרים כברירת מחדל | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
מונעים מחשבונות שירות שמוגדרים כברירת מחדל לקבל את תפקיד העריכה ב-IAM עם הרשאות רבות מדי בזמן היצירה. | התפקיד 'עריכה' מאפשר לחשבון השירות ליצור משאבים ולמחוק אותם ברוב השירותים Google Cloud , ולכן אם חשבון השירות נפרץ, נוצרת נקודת חולשה. |
| הגבלת זהויות לפי דומיין | constraints/iam.allowedPolicyMemberDomains |
הגבלת שיתוף משאבים לזהויות ששייכות למשאב ארגון מסוים או למזהה לקוח של Google Workspace. | השארת משאב הארגון פתוח לגישה של גורמים עם דומיינים שונים מאלה של הלקוח יוצרת נקודת חולשה. |
| הגבלת אנשי קשר לפי דומיין | constraints/essentialcontacts.managed.allowedContactDomains |
הגבלת אנשי הקשר החיוניים כך שרק זהויות משתמש מנוהלות בדומיינים נבחרים יוכלו לקבל התראות מהפלטפורמה. | יכול להיות שגורם זדוני עם דומיין אחר יתווסף כאיש קשר חיוני, מה שיוביל לפגיעה באבטחה. |
| הגבלת העברת פרוטוקולים על סמך סוג כתובת ה-IP | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
הגבלת ההגדרה של העברת פרוטוקולים לכתובות IP פנימיות בלבד. | השירות מגן על מופעי היעד מפני חשיפה לתנועה חיצונית. |
| גישה אחידה ברמת הקטגוריה | constraints/storage.uniformBucketLevelAccess |
מונעים מקטגוריות ב-Cloud Storage להשתמש ברשימת ACL לכל אובייקט (מערכת נפרדת מכללי מדיניות של אישור ודחייה) כדי לספק גישה. | אכיפת עקביות בניהול הגישה ובביקורת. |
הערה: יכול להיות שבחלק מהארגונים שנוצרו אחרי 15 באוגוסט 2024, constraints/compute.restrictProtocolForwardingCreationForTypesהגבלת מדיניות הארגון כבר הוחלה.
ניהול האכיפה של מדיניות הארגון
אפשר לנהל את האכיפה של מדיניות הארגון בדרכים הבאות:
הצגת רשימה של כללי מדיניות הארגון
כדי לבדוק אם האילוצים של תוכנית הבסיס לאבטחה נאכפים בארגון, משתמשים בפקודה הבאה: Google Cloud
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
מחליפים את ORGANIZATION_ID במזהה הייחודי של הארגון.
השבתה של מדיניות הארגון
כדי להשבית או למחוק מדיניות ארגונית, מריצים את הפקודה הבאה:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
מחליפים את מה שכתוב בשדות הבאים:
-
CONSTRAINT_NAME: השם של האילוץ של מדיניות הארגון שרוצים למחוק. לדוגמה:iam.allowedPolicyMemberDomains -
ORGANIZATION_ID: המזהה הייחודי של הארגון
המאמרים הבאים
למידע נוסף על יצירה וניהול של מדיניות ארגון, ראו שימוש באילוצים.