Tạo và bảo vệ sự an toàn cho tài khoản quản trị viên Google Cloud

Tháng Mười Một 21, 2021
Nga Pham

Việc thiết lập cơ sở hạ tầng đám mây mới của bạn có lẽ thật đáng sợ và thậm chí còn đáng sợ hơn khi bạn nhận ra rằng ai đó (liệu có phải là bạn?) sở hữu sức mạnh vũ trụ phi thường đối với toàn bộ sự vật!

Không gì khác, đó chính là tài khoản quản trị viên. Hãy cùng tìm hiểu lý do tại sao chúng lại quan trọng, nguy hiểm và khác biệt.

Hãy xem xét ví dụ cụ thể là trường hợp của nhóm pistach.io. Khi họ phát triển thành công công việc kinh doanh dịch vụ của mình, họ biết rằng sẽ cần phản suy nghĩ cẩn thận về tài khoản quản trị viên. Những người này sẽ có quyền kiểm soát rất lớn đối với việc sử dụng Google Cloud của tổ chức và họ có thể gây ra sự cố vô cùng lớn. Rõ ràng, các tài nguyên cần một lớp vỏ bảo vệ.

Trong quá trình phát triển sơ khai của pistach.io, một nhân viên đã muốn bày trò chơi khăm bằng cách thay đổi ảnh đại diện của đồng nghiệp. Anh không có quyền truy cập vào máy tính của bạn mình, nhưng lại được quyền truy cập vào toàn bộ dữ liệu trên Lưu trữ Đám mây (Cloud Storage) của công ty. Khi tìm kiếm ảnh đại diện của đồng nghiệp, anh đã vô tình xóa toàn bộ nội dung lưu trữ trên bucket!

Trong khi tìm cách khôi phục những nội dung đã xóa, anh đã thay đổi quyền truy cập vào hay bucket pistach.io khác. Chính vì vậy, công ty đã phải ngừng hoạt động trong một tuần để các nhóm làm việc giải quyết các vấn đề liên quan đến quyền truy cập dữ liệu.

Họ nhận ra rằng đã đến lúc phải xem xét lại các quyền này một chút, để ngăn chặn việc chúng làm hỏng các hoạt động trơn tru của họ trong tương lai.

Theo hướng dẫn quản lý tài nguyên của Google, nhóm đã tạo ra một địa chỉ email quản trị viên cấp cao không bị ràng buộc với một cá nhân hoặc tài khoản Workspace nào, đồng thời bảo mật nó bằng xác thực đa yếu tố mạnh mẽ. Đây sẽ là bản sao lưu của họ trong trường hợp tài khoản quản trị bị xâm phạm, để họ có thể khôi phục và sửa chữa mọi thứ.

Nhóm đã sử dụng Google Workspace, vì vậy họ có được một tổ chức đã được thiết lập sẵn. Quá trình khởi tạo đó đã thiết lập các quản trị viên cấp cao ban đầu, cho phép họ tạo và sửa đổi tất cả các tài nguyên khác bên trong tổ chức. Khi họ hướng tới việc sử dụng Google Cloud, các quản trị viên cấp cao có thể:

  1. Trao vai trò quản trị Cloud cho người khác
  2. Hoạt động như một đầu mối liên hệ để khôi phục tài khoản
  3. Sửa đổi hoặc xóa tổ chức nếu cần

Việc tạo người dùng quản trị cho tổ chức cho phép những người khác thêm các tài nguyên và chính sách vào pistach.io trước khi họ “nổi cơn” và cấp cho người khác tất cả các quyền. Mặc dù cách làm này sẽ tăng tốc mọi việc, nhưng nó cũng giúp kẻ tấn công dễ dàng bẻ khóa lớp vỏ bảo mật vì bất kỳ sự xâm phạm tài khoản nào cũng có thể cấp quyền truy cập một cách quá đà.

Các trưởng nhóm CNTT đưa ra một giải pháp thay thế bằng cách chỉ định một số người nhất định đóng vai trò là quản trị viên của tổ chức, sau đó cấp cho họ quyền:

  1. Xác định chính xác Quản lý Danh tính và Truy cập
  2. Định cấu trúc hệ thống phân cấp tài nguyên
  3. Ủy quyền kiểm soát các phần tử đám mây cụ thể cho những người khác trong nhóm

Sau khi các thành viên của tổ chức đó được chỉ định, họ có thể trao quyền quản lý và giám sát Cloud Compute, Storage, Networking và các loại tài nguyên khác cho các khách hàng tiềm năng có liên quan, đảm bảo mỗi người có đủ quyền để thực hiện vai trò của họ. Bản thân quản trị viên của tổ chức không có quyền tạo ra các tài nguyên này. Họ chỉ ủy thác.

Iam Overview Basics

Bằng cách này, mỗi người có thể hoàn thành công việc mà họ chịu trách nhiệm, song đồng thời không có quyền truy cập quá đà. Phương pháp ủy quyền này giúp toàn bộ tổ chức được an toàn hơn và giảm thiểu giới hạn bán kính của vụ nổ nếu có ai đó cố gắng đột nhập. Bạn có thể tự mình thực hiện các bước trên với hướng dẫn này.

Mặc định, khi tạo các tài nguyên tổ chức cho miền, mọi người được cung cấp khả năng tạo dự án và tài khoản thanh toán. Sau khi Tổ chức Quản trị của pistach.io được thành lập, họ sẽ quyết định loại bỏ một số quyền rộng này và đưa mọi thứ đến mức kiểm soát tốt hơn. Vì vậy, mọi người có thể nhận được quyền cho một thư mục hoặc một dự án – không phải là toàn bộ tổ chức!

Hãy luôn chú ý đến các tài khoản đảm nhận vai trò quản trị viên, vì chúng có quyền và trách nhiệm trong việc gây ra các tác hại nghiêm trọng nếu không được sử dụng một cách an toàn. Giữ an toàn với Quản lý Danh tính và Quyền truy cập của bạn. Và giữ cho dữ liệu của bạn là của riêng bạn!

Theo Google Cloud Blog