search
ruРусский
banner
Дом / Новости / Повышение безопасности с помощью функции истечения срока действия ключа сервисного аккаунта Google Cloud
Новости
pageSearch
Последние новости

2 простых способа подшить брюки самостоятельно в домашних условиях

Oct 27, 2023

44 вещи, которые облегчат жизнь в маленькой квартире

May 23, 2023

7 лучших упражнений для тонкой талии

Sep 20, 2023

Краткое руководство по основным навыкам для инженеров ИИ

Jun 30, 2023

Воздушный поток и динамическая окружность живота и грудной клетки у взрослых при различных настройках вентиляции с постоянным положительным давлением в дыхательных путях и частоте дыхания

Jun 12, 2023

Повышение безопасности с помощью функции истечения срока действия ключа сервисного аккаунта Google Cloud

Aug 13, 2023Aug 13, 2023

Домашняя страница InfoQ Новости Повышение безопасности с помощью функции истечения срока действия ключа сервисной учетной записи Google Cloud

8 августа 2023 г., чтение на 3 минуты

к

Стив-Ян Виггерс

Google Cloud недавно ввел срок действия ключа служебной учетной записи для решения проблем безопасности, связанных с долгосрочными ключами служебной учетной записи. Компания заявляет, что благодаря этой возможности «клиенты теперь могут настраивать организационную политику на уровне организации, папки и проекта, чтобы ограничить срок использования новых ключей учетной записи службы» — и, таким образом, снизить риски, связанные с утечкой и компрометацией ключей.

Ранее при создании ключа сервисного аккаунта Google Cloud не позволял пользователям указывать дату истечения срока действия. Ключ оставался действительным до тех пор, пока они не удалили ключ или не удалили всю учетную запись службы. Теперь, благодаря возможности устанавливать срок действия ключа, это полезно для определенных сценариев, таких как непроизводственные среды или использование сторонних инструментов, которые могут аутентифицироваться только с помощью ключей служебной учетной записи. Однако изменение конфигурации по умолчанию, включающее срок действия ключа, может привести к непредвиденным сбоям в работе для разработчиков, привыкших к долгосрочным ключам.

Тем не менее, для более продвинутых организаций, у которых ключи учетной записи службы уже отключены с помощью политики организации, истечение срока действия ключа учетной записи службы также может действовать как процесс исключения, позволяющий использовать ключи в течение ограниченного времени без изменения политики безопасности своей организации.

Администраторы облака организации могут перейти на страницу политики организации и найти ограничение с идентификатором «constraints/iam.serviceAccountKeyExpiryHours». Впоследствии, посредством редактирования, они могут настроить пользовательскую политику разрешения на срок от 8 до 2160 часов (90 дней) с установленным для принудительного применения политики значением «Заменить».

Скриншот страницы политики организации для установки срока действия учетной записи службы (Источник: блог Google Cloud)

В качестве альтернативы настройка срока действия ключа сервисной учетной записи заключается в использовании практики ротации ключей — процесса замены существующих ключей новыми ключами и последующего признания замененных ключей недействительными — рекомендуемый способ для производственных рабочих нагрузок. В сообщении в блоге Google авторы написали:

Если вы хотите настроить ротацию ключей для своих сервисных учетных записей в вашей организации, мы рекомендуем вам отслеживать ключи с помощью инвентаризации облачных ресурсов, а не использовать срок действия ключей, чтобы избежать возможных сбоев. Это позволит вам отправлять разработчикам предупреждающие уведомления, когда срок действия ключа истекает и пришло время его сменить.

Кроме того, в более ранней публикации на LinkedIn Лукаш Бодух, облачный архитектор Google в SoftServe, прокомментировал:

Итак, что, если срок действия вашего Prod GCE или любого другого ключа SA истекает? Кроме того, если я правильно помню, Google никогда не рекомендовал эту функцию для Прода, по крайней мере, когда она была еще до запуска :)

И:

Кстати, раньше вы могли экспортировать ключ с истекающим сроком действия, вы знали? Все, что вам нужно, это сертификат со сроком действия, так что эта «новая» функция не такая уж и крутая и новая.

Йоханнес Пассинг, штатный архитектор решений Google Cloud, написал в своем блоге в начале 2021 года:

Когда вы загружаете ключ учетной записи службы, все выглядит по-другому: загрузка ключа учетной записи службы происходит путем создания самозаверяющего сертификата X.509, а затем загрузки этого сертификата в формате PEM. Сертификаты X.509 имеют срок действия, и вы можете использовать его для ограничения срока действия ключа учетной записи службы.

Другие поставщики облачных услуг предлагают аналогичные учетные записи, например учетную запись службы в Google. Например, в Microsoft Azure эквивалент учетной записи службы называется «субъект службы». Как и учетные записи служб в Google Cloud, субъект-служба также используется для аутентификации приложений, сценариев или служб для доступа к ресурсам в Azure. У этой учетной записи также есть дата истечения срока действия, которую можно установить при создании (по умолчанию — один год); однако здесь ротация ключей регулярно признается практикой, направленной на улучшение состояния безопасности и снижение риска компрометации.

Предыдущий: Ключевые термины, определения и системы, относящиеся к законам FAFSA об упрощении и БУДУЩЕМ Следующий: Alteryx, Inc. (AYX) сообщает о прибыли за второй квартал: что говорят ключевые показатели
Отправить запрос
Отправлять