PAM — Управління привілейованим доступом у Google Cloud

Коли йдеться про управління даними, безпека завжди є головним пріоритетом для організації. Повний або розширений доступ надається лише тоді, коли є законна причина, і навіть тоді він ретельно контролюється. Наприклад, якщо інженер підтримки потребує доступу для виконання конкретного завдання, наша відповідальність як адміністраторів IAM — надати цей доступ належним чином.

Проблема виникає, коли їхні завдання, які можуть тривати лише тиждень або два, залишають за собою непотрібні дозволи ще довго після завершення роботи. В більшості випадків ці зайві дозволи перевіряються та відкликаються тільки під час щорічного аудиту — затримка, яка становить значний ризик для безпеки.

Це сценарій, який я бачив неодноразово, і з яким стикається багато організацій. На щастя, тепер є кращий спосіб вирішити цю проблему. Нова функція Google — Управління привілейованим доступом (PAM) — пропонує розумніше і ефективніше рішення для керування тимчасовими дозволами, підвищуючи рівень безпеки.

Що таке PAM?

PAM дозволяє надавати доступ до привілеїв тільки в разі необхідності, з чіткими обмеженнями часу і з підтвердженням. Це дозволяє надавати користувачам тимчасові підвищені привілеї лише тоді, коли це дійсно потрібно. Ви можете визначати конкретні правила, хто може отримувати доступ до певних ресурсів, які це ресурси і чи повинен доступ бути наданий із підтвердженням чи без нього. Це рішення базується на чутливості інформації та терміновості ситуації. Це забезпечує контроль над тим, хто може робити що і над яким ресурсом.

Ключове завдання — запитувати тимчасовий доступ за потреби. Результатом цього стане гладкий процес аудиту завдяки усуненню надмірних дозволів.

PAM на допомогу!

Добре, давайте розпочнемо 😎

Тут я проведу вас через практичний посібник щодо використання PAM для створення прав доступу, запиту на доступ через грант і його затвердження для доступу до GCP Datastream.

Попередні вимоги

Перед тим як почати створювати права доступу та гранти, наші принципи повинні мати визначений набір дозволів.

Необхідні ролі IAM:

  1. Для створення, оновлення і видалення прав доступу → Privileged Access Manager Admin
  2. Додатково, або Folder IAM Admin, Project IAM Admin, or Security Admin
  3. Для перегляду прав доступу і грантів → Privileged Access Manager Viewer
  4. Для перегляду журналів аудиту → Logs Viewer

Як працює PAM

1. Створення прав доступу

Право доступу — це визначений набір привілеїв або дозволів, які можуть бути тимчасово надані авторизованим особам або групам. Воно слугує основою для надання певних ролей чи прав доступу на конкретний період.

Примітка: Права доступу можна створювати на рівні організації, папки чи проєкту. Ролі, надані правами доступу, діють на кожному рівні.

Перейдіть на сторінку Privileged Access Manager.

  • Клікніть на вкладку Entitlements → Створити.
  • Заповніть поля нижче для права доступу.
  • Дайте значущу назву праву доступу.
  • Виберіть роль або привілеї, які ми хочемо надати. Також можна застосувати умови IAM до цих ролей. Для цього блогу ми використовуємо дозволи, пов'язані з Datastream.

Примітка: Підтримуються стандартні та користувацькі ролі, але не базові ролі. Важливо не надавати ролі (setIamPolicy або iam.roles.update), які модифікують власні дозволи.

  • Виберіть максимальний час для надання дозволів.

pic

Створення права доступу

Вкажіть осіб, які можуть подати запит на грант. Можна додати групу електронних адрес (кращий підхід) або окремого принципала.

Примітка: Коли ви додаєте групу як запитувача для права доступу, кожен окремий акаунт у цій групі може подати запит на надання цього права доступу.

pic

Додайте електронні адреси осіб, які мають повноваження схвалювати або відхиляти запити на доступ.
Ви також маєте можливість увімкнути автоматичне схвалення прав доступу, поставивши галочку в полі “Активувати доступ без схвалення”.

Примітка: Якщо ви додаєте групу як затверджувача для права доступу, кожен окремий акаунт цієї групи може схвалювати або відхиляти запит на грант.

pic

Цей 4-й крок стосується сповіщень і є необов'язковим.

  1. Коли право доступу стає доступним для запиту → Вказана електронна адреса отримає сповіщення, коли буде створено нове право доступу, і вони можуть запитати грант, якщо вони також додані до запитувачів.
  2. Коли грант чекає на схвалення → Ці електронні адреси отримають сповіщення про гранти, які чекають на схвалення. Вони можуть схвалити або відхилити доступ, якщо вони також вказані як затверджувачі для цього права доступу.
  3. Коли запитувачу надано доступ → Ці електронні адреси отримають сповіщення, коли запитувачу надано доступ.

pic

Для цього блогу я створив право доступу “datastream-admin” для групи команди даних, де менеджер команди даних є затверджувачем на максимальний термін в один день.

pic

2. Запит на доступ

Члени команди даних тепер можуть переглядати свої права доступу на вкладці “Мої права доступу” (My Entitlement). Вони можуть побачити список всіх прав доступу, які вони додали, з детальною інформацією, такою як ролі, максимальні терміни та затверджувачі, як показано на малюнку нижче.

pic

Натисніть “Запитати грант” (Request Grant), і з'явиться запит. У цьому запиті ви повинні вказати термін, на який запитується доступ, а також обґрунтування. Ви також можете додати додаткові електронні адреси тих, хто хоче бути в курсі запитів на грант.

pic

3. Надання привілеїв

З боку запитувача:

Після подачі запиту на грант статус їхніх прав доступу відображатиметься як “Очікує на схвалення”.

pic

Примітка: На даний момент користувач/запитувач не має доступу до Datastream.

pic

З боку адміністратора:

Якщо надійшов запит на грант, затверджувач отримає сповіщення на електронну пошту.

pic

Адміністратори можуть побачити ці гранти у вкладці Approval Grants → Pending Approval.

pic

Залежно від обґрунтування та тривалості запиту, затверджувач може або схвалити, або відхилити його.

pic

Запитувач отримає сповіщення про схвалення/відхилення з обґрунтуванням затверджувача на електронну пошту.

pic

Після схвалення запиту почнеться відлік часу. Запитувач матиме доступ до кінця цього періоду. Цю інформацію можна переглянути на сторінці Grants Tab → My Grants, де статус зміниться на Активний.

pic

З наданим правом доступу запитувач може отримати доступ до Datastream відповідно до визначених ролей і дозволів.
Тепер вони можуть виконувати завдання в межах обсягу та тривалості наданого права доступу.

pic

Також запитувач отримає сповіщення, як тільки грант завершиться, і його статус буде змінено на “Завершено” (Ended).

pic

pic

Примітка: Історія грантів доступна протягом 30 днів після завершення гранту.

4. Скасування

Адміністратори можуть скасувати або повернути надані права з різних причин. Це можливо у PAM, оскільки адміністратори мають право це робити. Щоб скасувати конкретний грант, пов'язаний з правом доступу, дотримуйтесь наступних кроків:

  • Перейдіть на вкладку Grants → Гранти для всіх користувачів.
  • Натисніть на три крапки і виберіть Скасувати грант.
  • З'явиться запит для підтвердження, натисніть на кнопку "Скасувати" (Revoke).

pic

  • Ми можемо побачити, що стовпець статусу змінено на Скасовано (Revoked).

pic

  • Щоб скасувати всі гранти для конкретного права доступу, перейдіть на вкладку Entitlements → виберіть конкретне право доступу → натисніть на три крапки → виберіть Скасувати всі гранти. Це дію скасує весь наданий доступ.

pic

5. Аудит

Журнали аудиту надають детальний запис всіх подій Privileged Access Manager (PAM), дозволяючи організаціям ефективно відслідковувати створення прав доступу, оновлення, запити на гранти та скасування. Це дає можливість організаціям покращити свої процеси аудиту і забезпечити більшу точність та ефективність.

pic

Що потрібно пам'ятати

  • Користувачі можуть бачити та запитувати грант для прав доступу, до яких вони були додані. Для того щоб бути доданими до додаткових прав доступу або ролей, необхідно звертатися до адміністратора PAM.
  • Запит на грант автоматично втрачає свою чинність, якщо протягом 24 годин не було вжито жодних дій (схвалення або відхилення) з боку затверджувача.
  • Відображення успішних грантів може зайняти кілька хвилин.
  • Ви не можете схвалити власний запит.

Використання

  • Коли організація вирішує обмежити права доступу на певний період роботи.
  • Це корисно, коли організація працює над високозахищеними проектами.
  • Управління доступом для зовнішніх користувачів або інженерів підтримки для виконання конкретних завдань з належним обґрунтуванням.

Посилання

  • Включення PAM —

https://cloud.google.com/iam/docs/pam-permissions-and-setup#enable

  • Огляд PAM —

https://cloud.google.com/iam/docs/pam-overview

https://youtu.be/OSPx2Lg_tSU?si=qP-XYNdwAb94FrnS

Сподіваюся, цей блог про нову функцію Google допоможе організаціям обмежити надмірні дозволи і забезпечити зручний процес аудиту.

Щасливого управління доступом! 🙂

До наступного разу 🤞

Перекладено з: PAM — Privileged Access Management in Google Cloud

Вам також може сподобатися

Оптимізація запитів у MySQL: Індекси, EXPLAIN та найкращі практики
Зберігання секретів у Git репозиторії безпечно
День 01: Початок роботи з Java

Leave a Reply

Your email address will not be published. Required fields are marked *