PAM — Керування привілейованим доступом у Google Cloud

Коли мова йде про управління даними, безпека завжди є головним пріоритетом для організації. Повний або розширений доступ надається лише у випадку наявності обґрунтованої причини, і навіть тоді це ретельно контролюється. Наприклад, якщо інженер підтримки потребує доступу для виконання конкретного завдання, ми, як адміністратори IAM, повинні правильно авторизувати цей доступ.

Проблема виникає, коли їхні завдання, які можуть тривати лише тиждень або два, залишають їм доступ, що залишається після виконання роботи. У більшості випадків ці непотрібні дозволи переглядаються та скасовуються лише під час річного аудиту — затримка, яка є значним ризиком для безпеки.

Це сценарій, який я бачив багато разів, і з яким стикаються багато організацій. На щастя, зараз є кращий спосіб вирішення цієї проблеми. Нова функція Google, Privileged Access Management (PAM), пропонує розумніше та ефективніше рішення для керування тимчасовими дозволами при підвищенні рівня безпеки.

Що таке PAM?

PAM дозволяє надавати доступ на основі принципу "just-in-time", обмежений за часом та заснований на затвердженні, надаючи користувачам тимчасові підвищені привілеї лише коли це необхідно. Це дає змогу визначити конкретні правила щодо того, хто може отримати доступ до певних ресурсів, що це за ресурси та чи повинен доступ надаватись з або без затвердження. Це рішення залежить від чутливості інформації та терміновості ситуації. Це гарантує, хто може робити що і на якому ресурсі.

Основне — запитувати тимчасовий доступ лише за необхідності. Це забезпечить ефективний процес аудиту завдяки усуненню надмірних дозволів.

PAM на допомогу!

Гаразд, почнемо 😎

Тут я проведу вас через практичний посібник з використання PAM для створення прав доступу, запиту доступу через надання дозволу та затвердження його для доступу до GCP Datastream.

Передумови

Перед тим як почати створювати права доступу та дозволи, наші принципи повинні мати визначений набір дозволів.

Необхідні ролі IAM:

1. Для створення, оновлення та видалення прав доступу → Privileged Access Manager Admin
2. Додатково, будь-яка з ролей Folder IAM Admin, Project IAM Admin, або Security Admin
3. Для перегляду прав доступу та дозволів → Privileged Access Manager Viewer
4. Для перегляду журналів аудиту → Logs Viewer

Як працює PAM

1. Створення прав доступу

Право доступу — це визначений набір привілеїв або дозволів, які можуть бути тимчасово надані авторизованим особам або групам. Воно слугує як основа для надання певних ролей або прав доступу на конкретний період.

Примітка: Права доступу можуть бути створені на рівні організації, папки або проекту. Ролі, надані правами доступу, будуть діяти на кожному рівні.

Перейдіть на сторінку Privileged Access Manager.

• Клікніть на вкладку Entitlements → Створити.
• Заповніть поля прав доступу:
• Дайте осмислену назву для права доступу.
• Виберіть роль або привілеї, які ми хочемо надати. Також можна застосувати умови IAM до цих ролей. Для цього блогу ми використовуємо дозволи, що стосуються Datastream.

Примітка: Підтримуються попередньо визначені та власні ролі, але не базові ролі. Важливо не надавати ролі (setIamPolicy або iam.roles.update), які змінюють власні дозволи.

• Виберіть максимальний час для надання дозволів.

Створення прав доступу

Зазначте осіб, які можуть подавати запити на надання дозволу. Можна додати групу електронної пошти (найкращий підхід) або окремих осіб.

Примітка: Коли ви додаєте групу як запитувача для прав доступу, кожен обліковий запис у цій групі може подати запит на надання цього права доступу.

Додайте електронні адреси затверджувачів, які мають право затвердити або відхилити запити на доступ.
Коли мова йде про управління даними, безпека завжди є головним пріоритетом для організації. Повний або розширений доступ надається лише у випадку наявності обґрунтованої причини, і навіть тоді цей доступ ретельно контролюється. Наприклад, якщо інженер підтримки потребує доступу для виконання конкретного завдання, ми, як адміністратори IAM, повинні правильно авторизувати цей доступ.

Проблема виникає, коли їхні завдання, які можуть тривати лише тиждень або два, залишають їм доступ, що зберігається навіть після завершення роботи. У більшості випадків ці непотрібні дозволи переглядаються та скасовуються лише під час річного аудиту — затримка, яка становить значний ризик для безпеки.

Це сценарій, який я бачив багато разів, і з яким стикаються багато організацій. На щастя, зараз є кращий спосіб вирішення цієї проблеми. Нова функція Google, Privileged Access Management (PAM), пропонує розумніше та ефективніше рішення для керування тимчасовими дозволами при підвищенні рівня безпеки.

Що таке PAM?

PAM дозволяє надавати доступ на основі принципу "just-in-time", обмежений за часом та заснований на затвердженні, надаючи користувачам тимчасові підвищені привілеї лише коли це необхідно. Це дає змогу визначити конкретні правила щодо того, хто може отримати доступ до певних ресурсів, що це за ресурси та чи повинен доступ надаватись з або без затвердження. Це рішення залежить від чутливості інформації та терміновості ситуації. Це гарантує, хто може робити що і на якому ресурсі.

Основне — запитувати тимчасовий доступ лише за необхідності. Це забезпечить ефективний процес аудиту завдяки усуненню надмірних дозволів.

PAM на допомогу!

Гаразд, почнемо 😎

Тут я проведу вас через практичний посібник з використання PAM для створення прав доступу, запиту доступу через надання дозволу та затвердження його для доступу до GCP Datastream.

Передумови

Перед тим як почати створювати права доступу та дозволи, наші принципи повинні мати визначений набір дозволів.

Необхідні ролі IAM:

1. Для створення, оновлення та видалення прав доступу → Privileged Access Manager Admin
2. Додатково, будь-яка з ролей Folder IAM Admin, Project IAM Admin, або Security Admin
3. Для перегляду прав доступу та дозволів → Privileged Access Manager Viewer
4. Для перегляду журналів аудиту → Logs Viewer

Як працює PAM

1. Створення прав доступу

Право доступу — це визначений набір привілеїв або дозволів, які можуть бути тимчасово надані авторизованим особам або групам. Воно слугує як основа для надання певних ролей або прав доступу на конкретний період.

Примітка: Права доступу можуть бути створені на рівні організації, папки або проекту. Ролі, надані правами доступу, будуть діяти на кожному рівні.

Перейдіть на сторінку Privileged Access Manager.

• Клікніть на вкладку Entitlements → Створити.
• Заповніть поля прав доступу:
• Дайте осмислену назву для права доступу.
• Виберіть роль або привілеї, які ми хочемо надати. Також можна застосувати умови IAM до цих ролей. Для цього блогу ми використовуємо дозволи, що стосуються Datastream.

Примітка: Підтримуються попередньо визначені та власні ролі, але не базові ролі. Важливо не надавати ролі (setIamPolicy або iam.roles.update), які змінюють власні дозволи.

• Виберіть максимальний час для надання дозволів.

Створення прав доступу

Зазначте осіб, які можуть подавати запити на надання дозволу. Можна додати групу електронної пошти (найкращий підхід) або окремих осіб.

Примітка: Коли ви додаєте групу як запитувача для прав доступу, кожен обліковий запис у цій групі може подати запит на надання цього права доступу.

Додайте електронні адреси затверджувачів, які мають право затвердити або відхилити запити на доступ.
Ви також маєте можливість увімкнути автоматичне затвердження прав доступу, поставивши галочку в полі “Активувати доступ без затверджень”.

Примітка: Якщо ви додаєте групу як затверджувача для прав доступу, кожен окремий обліковий запис цієї групи може затвердити або відхилити запит на надання дозволу.

Цей 4-й крок стосується сповіщень і є необов'язковим.

1. Коли право доступу доступне для запиту → Вказана електронна адреса отримає сповіщення, коли будуть створені нові права доступу, і вони можуть подати запит на надання дозволу, якщо також будуть додані в список запитувачів.
2. Коли запит на надання дозволу чекає на затвердження → Ці електронні адреси отримують сповіщення про запити на надання дозволу, що чекають на затвердження. Вони можуть затвердити або відхилити доступ, якщо також вказані як затверджувачі для цього права доступу.
3. Коли запитувачу надано доступ → Ці електронні адреси отримають сповіщення, коли запитувачу надано доступ.

Для цього блогу я створив право доступу “datastream-admin” для групи data team, з менеджером цієї групи як затверджувачем для максимального обмеження часу в один день.

2. Запит на доступ

Тепер учасники групи data team можуть переглядати свої права доступу на вкладці “My Entitlement”. Вони можуть побачити список всіх прав доступу, які вони додали, разом з детальною інформацією, такою як ролі, максимальні обмеження часу та затверджувачі, як показано на зображенні нижче.

Натисніть “Request Grant” і з'явиться наступний запит. В цьому запиті потрібно вказати тривалість, на яку запитується дозвіл, а також обґрунтування. Ви також можете включити додаткові електронні адреси тих, хто хоче залишатися в курсі запитів на надання дозволу.

3. Надання привілеїв

Сторона запитувача:

Після подачі запиту на надання дозволу статус їхніх прав доступу відображатиметься як “Очікує на затвердження”.

Примітка: Наразі користувач/запитувач не має доступу до Datastream.

Сторона адміністратора:

Якщо подано запит на надання дозволу, затверджувач отримає сповіщення на електронну пошту.

Адміністратори можуть переглядати ці запити на вкладці Grants Tab → Pending Approval.

Залежно від обґрунтування та тривалості запиту, затверджувач може або затвердити, або відхилити запит.

Запитувач отримає сповіщення про затвердження/відхилення з обґрунтуванням затверджувача на електронну пошту.

Після затвердження запиту таймер розпочнеться. Запитувач матиме доступ до моменту закінчення таймера. Цю інформацію можна переглянути на сторінці Grants Tab → My Grants, і статус зміниться на Активний.

З наданим правом доступу запитувач може отримати доступ до Datastream відповідно до визначених ролей та дозволів.
Ви також маєте можливість увімкнути автоматичне затвердження прав доступу, поставивши галочку в полі “Активувати доступ без затверджень”.

Примітка: Якщо ви додаєте групу як затверджувача для прав доступу, кожен окремий обліковий запис цієї групи може затвердити або відхилити запит на надання дозволу.

Цей 4-й крок стосується сповіщень і є необов'язковим.

1. Коли право доступу доступне для запиту → Вказана електронна адреса отримає сповіщення, коли будуть створені нові права доступу, і вони можуть подати запит на надання дозволу, якщо також будуть додані в список запитувачів.
2. Коли запит на надання дозволу чекає на затвердження → Ці електронні адреси отримують сповіщення про запити на надання дозволу, що чекають на затвердження. Вони можуть затвердити або відхилити доступ, якщо також вказані як затверджувачі для цього права доступу.
3. Коли запитувачу надано доступ → Ці електронні адреси отримають сповіщення, коли запитувачу надано доступ.

Для цього блогу я створив право доступу “datastream-admin” для групи data team, з менеджером цієї групи як затверджувачем для максимального обмеження часу в один день.

2. Запит на доступ

Тепер учасники групи data team можуть переглядати свої права доступу на вкладці “My Entitlement”. Вони можуть побачити список всіх прав доступу, які вони додали, разом з детальною інформацією, такою як ролі, максимальні обмеження часу та затверджувачі, як показано на зображенні нижче.

Натисніть “Request Grant” і з'явиться наступний запит. В цьому запиті потрібно вказати тривалість, на яку запитується дозвіл, а також обґрунтування. Ви також можете включити додаткові електронні адреси тих, хто хоче залишатися в курсі запитів на надання дозволу.

3. Надання привілеїв

Сторона запитувача:

Після подачі запиту на надання дозволу статус їхніх прав доступу відображатиметься як “Очікує на затвердження”.

Примітка: Наразі користувач/запитувач не має доступу до Datastream.

Сторона адміністратора:

Якщо подано запит на надання дозволу, затверджувач отримає сповіщення на електронну пошту.

Адміністратори можуть переглядати ці запити на вкладці Grants Tab → Pending Approval.

Залежно від обґрунтування та тривалості запиту, затверджувач може або затвердити, або відхилити запит.

Запитувач отримає сповіщення про затвердження/відхилення з обґрунтуванням затверджувача на електронну пошту.

Після затвердження запиту таймер розпочнеться. Запитувач матиме доступ до моменту закінчення таймера. Цю інформацію можна переглянути на сторінці Grants Tab → My Grants, і статус зміниться на Активний.

З наданим правом доступу запитувач може отримати доступ до Datastream відповідно до визначених ролей та дозволів.
Тепер вони можуть виконувати завдання в межах та протягом тривалості наданого права доступу.

Також запитувач буде сповіщений, коли строк дії дозволу закінчиться, і його статус буде змінено на “Завершено”.

Примітка: Історія прав доступу доступна протягом 30 днів після закінчення терміну дії дозволу.

4. Відкликання

Адміністратори можуть потребувати відкликання або скасування наданих прав доступу з різних причин. Це можливо в PAM, оскільки адміністратори мають відповідні повноваження. Щоб відкликати конкретний дозвіл, пов'язаний з правом доступу, дотримуйтесь наведених нижче кроків:

• Перейдіть до вкладки Grants → Grants для всіх користувачів
• Натисніть на значок з трьома крапками і виберіть “Revoke Grant”.
• З'явиться запит на підтвердження, натисніть кнопку “Revoke”.

• Ми бачимо, що в стовпці статусу змінився на Revoked.

• Щоб відкликати всі права для певного права доступу, перейдіть до Entitlements → виберіть конкретне право доступу → натисніть на більше опцій → виберіть “Revoke all Grants”. Ця дія відкличе всі раніше надані доступи.

5. Аудит

Журнали аудиту надають детальний запис всіх подій у Privileged Access Manager (PAM), що дозволяє організаціям ефективно відстежувати створення прав доступу, оновлення, запити на надання дозволу та відкликання. Це дасть змогу організаціям покращити процеси аудиту та забезпечити більшу точність і ефективність.

Що слід пам'ятати

• Користувачі можуть бачити та подавати запити на надання прав доступу до тих прав, до яких вони були додані. Для додавання до інших прав доступу чи ролей потрібно звернутися до PAM Admin.
• Запит на надання прав доступу автоматично закінчиться, якщо протягом 24 годин не буде вжито жодних дій (затвердження чи відхилення) зі сторони затверджувача.
• Відображення успішно наданих прав може зайняти кілька хвилин.
• Ви не можете затвердити свій власний запит.

Використання

• Коли організація вирішує обмежити дозволи на певний період часу для виконання завдань.
• Це корисно, коли організація працює над проектами з високим рівнем безпеки.
• Керування доступом для зовнішніх користувачів або інженерів підтримки для конкретних завдань з належними обґрунтуваннями.

Посилання

• Включення PAM —

https://cloud.google.com/iam/docs/pam-permissions-and-setup#enable

• Огляд PAM —

https://cloud.google.com/iam/docs/pam-overview

https://youtu.be/OSPx2Lg_tSU?si=qP-XYNdwAb94FrnS

Сподіваюся, що цей блог про нову функцію Google буде корисний для організації в обмеженні надмірних дозволів і допоможе в процесі аудиту.

Успішного керування доступом! 🙂

До наступного разу 🤞
Вони тепер можуть виконувати завдання в межах та протягом терміну, на який надано привілей.

Також, заявник отримає сповіщення, коли термін дії привілею завершиться, і його статус зміниться на “Завершено”.

Примітка: Історія наданих привілеїв доступна протягом 30 днів після завершення привілею.

4. Відкликання

Адміністратори можуть потребувати відкликання або скасування наданих прав з різних причин. Це можливо в PAM, оскільки адміністратори мають відповідні повноваження. Щоб відкликати конкретний привілей, пов'язаний з правом доступу, виконайте наступні кроки:

• Перейдіть на вкладку Grants → Grants для всіх користувачів.
• Натисніть на значок з трьома крапками і виберіть "Відкликати привілей".
• З'явиться спливаюче вікно для підтвердження, натискайте кнопку "Відкликати".

• Ми можемо побачити, що стовпець статусу змінився на Відкликано.

• Щоб відкликати всі привілеї для конкретних прав доступу, перейдіть на вкладку Entitlements → виберіть конкретне право доступу → натисніть на опцію More → виберіть "Відкликати всі привілеї". Ця дія відкличе всі раніше надані доступи.

5. Аудит

Журнали аудиту надають детальну інформацію про всі події в Privileged Access Manager (PAM), що дозволяє організаціям відслідковувати створення прав доступу, їх оновлення, запити на надання привілеїв та їх відкликання. Це допоможе організаціям покращити процеси аудиту та забезпечити більшу точність і ефективність.

Що потрібно пам'ятати

• Користувачі можуть переглядати та запитувати привілеї для прав доступу, до яких вони додані. Для того щоб бути доданим до інших прав або ролей, необхідно звернутися до адміністратора PAM.
• Запит на надання привілеїв автоматично втратить силу, якщо не буде жодних дій (схвалено або відхилено) з боку затверджувача протягом 24 годин.
• Відображення наданих привілеїв може зайняти кілька хвилин.
• Ви не можете схвалити свій власний запит.

Використання

• Коли організація вирішує обмежити права доступу для конкретного періоду роботи.
• Це корисно, коли організація працює над надзвичайно захищеними проектами.
• Керування доступом для зовнішніх користувачів або інженерів підтримки для виконання конкретних завдань з належними обґрунтуваннями.

Джерела

• Активування PAM —

https://cloud.google.com/iam/docs/pam-permissions-and-setup#enable

• Огляд PAM —

https://cloud.google.com/iam/docs/pam-overview

https://youtu.be/OSPx2Lg_tSU?si=qP-XYNdwAb94FrnS

Сподіваюсь, що цей блог про нову функцію Google допоможе організаціям обмежити надмірні привілеї та сприятиме більш ефективному процесу аудиту.

Щасливого керування доступом! 🙂

До наступного разу 🤞

Перекладено з: PAM — Privileged Access Management in Google Cloud