Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.10.2019

Skalowalna infrastruktura

Red Hat OpenStack Platform 15
25.10.2019

Cienki klient 2.0

Windows Virtual Desktop
25.10.2019

Nowy sprzęt Microsoftu

Rodzina Surface się powiększa
24.10.2019

Serwery ARM

Oracle stawia na Ampere Computing
24.10.2019

Wszechstronny i elegancki

Dell XPS 15
10.10.2019

CYBERSEC EXPO - największe w...

Bezpieczeństwo cyfrowe nie jest problemem dotyczącym jedynie działów IT. Obecnie stanowi...
30.09.2019

Nowości w wirtualizacji

VMware World 2019
30.09.2019

Bezpieczeństwo mobile-first

Android 10

Możliwości platformy chmurowej IAM

Data publikacji: 22-03-2019 Autor: Grzegorz Kubera
Do platformy Cloud IAM możemy...

Google Cloud Identity and Access Management to platforma, która pozwala na kompleksowe zarządzanie tożsamością i dostępami do aplikacji. Oferuje wszystkie niezbędne funkcje, jak również ma wbudowany pakiet Mobile Device Management do zarządzania bezpieczeństwem urządzeń mobilnych. Czy warto z niej korzystać i wdrożyć ją w firmie?

 

 Usługa Cloud Identity, oparta na modelu zabezpieczającym Google BeyondCorp, była składową pakietu G Suite, jednak pod koniec 2018 r. firma postanowiła zrobić z niej oddzielne narzędzie z konsolą i platformą do zarządzania użytkownikami, urządzeniami, aplikacjami i dostępem. Dla wyjaśnienia, BeyondCorp to model działający zgodnie z założeniami, że: nie należy ufać żadnej sieci, każde zapytanie z aplikacji lub bazy danych musi być szyfrowane, uwierzytelnione i autoryzowane, a dodatkowo każda aplikacja i interfejs API znajdują się w internecie (chmura). Takie rozwiązanie jest przydatne, ponieważ w organizacjach wykorzystywane są nie tylko zaufane sieci wewnętrzne i VPN-y, ale też usługi firm trzecich i kontrahentów, które mogą nie być tak bezpieczne, jak oczekiwałaby nasza organizacja.

Cloud Identity oferowana jest w modelu IDaaS (Identity as a Service – tożsamość jako usługa) i EMM (Enterprise Mobility Management – zarządzanie urządzeniami mobilnymi). W ramce Cloud IAM – wersja premium vs bezpłatna opisano różnice pomiędzy dwiema wersjami tego rozwiązania.

> UŻYTKOWNICY GOOGLE MAJĄ ŁATWIEJ

Cloud Identity and Access Management (Cloud IAM) pozwala na tworzenie uprawnień do zasobów Google Cloud Platform (GCP) i ujednolica kontrolę dostępu dla tych usług w jednym systemie. Za pomocą Cloud IAM możemy określić, kto (tożsamość) będzie miał dostęp i jakiego rodzaju (rola) do wybranych zasobów. Można przydzielać uprawnienia do konkretnych zasobów GCP i jednocześnie zapobiegać niechcianemu dostępowi do innych elementów. Mamy więc pełną kontrolę nad użytkownikami i prawami dostępu im przydzielanymi.

W ramach pakietu usług Google wprowadził związany z tożsamością podział, który warto znać:
 

  • Konto Google – może to być programista, administrator lub inny użytkownik korzystający z GCP. W celach identyfikacyjnych możemy wykorzystać dowolny adres e-mail powiązany z kontem Google, w tym gmail.com i inne domeny.
  • Konto usługowe – konto należące do aplikacji, nie do pojedynczego użytkownika końcowego. Uruchamiając hostowany na GCP kod, określamy konto, na którym powinien on działać. W zależności od potrzeb można utworzyć dowolną liczbę kont usługowych, aby reprezentowały one odmienne logicznie składniki aplikacji.
  • Grupa Google – zbiór kont Google oraz kont usługowych i jednocześnie wygodny sposób na przydzielanie określonych zasad dostępu dla grup użytkowników. Grupy umożliwiają łatwe dodawanie i usuwanie członków danej grupy, nie mają danych logowania, pojedynczy użytkownik nie może funkcjonować jako „grupa” i mieć własnych uprawnień. Każda grupa może mieć natomiast unikalny adres e-mail.
  • Domena G Suite – wirtualna grupa wszystkich kont Google, które zostały utworzone na koncie G Suite danej firmy. Domena G Suite reprezentuje domenę internetową organizacji (np. firma.pl), a po dodaniu użytkownika do domeny G Suite tworzone jest nowe konto Google w ramach wirtu­alnej grupy (np. uzytkownik@firma.pl). Podobnie jak grupy Google, konta w ramach domeny G Suite nie mogą być wykorzystywane w celach ustalenia tożsamości, za to umożliwiają wygodne zbiorcze zarządzanie uprawnieniami.
  • Domena Cloud Identity – zasada działania taka sama jak w przypadku domeny G Suite, niemniej użytkownicy domeny Cloud Identity nie mają dostępu do aplikacji i funkcji pakietu G Suite.


Po ustaleniu, kto jest kim, można zacząć przydzielać dostęp do zasobów. Cloud IAM przeprowadza wtedy proces autoryzacji i sprawdza, jakie zasoby są dostępne dla danego użytkownika oraz jakie ma on uprawnienia lub jaką przydzieloną rolę. Zasoby to konkretne pliki lub dane, do których dostęp możemy zapewnić. Uprawnienia określają dozwolone operacje, jakie dana osoba może przeprowadzić na zasobie. Co ważne, nie przydzielamy tu uprawnień bezpośrednio użytkownikom, ale zasobom. Dla użytkowników przewidziano role, które mogą obejmować swoim zasięgiem jedno lub więcej uprawnień. Kiedy więc stworzona zostanie już konkretna rola zawierająca zbiór uprawnień, możemy przydzielić ją wybranemu użytkownikowi.

W Cloud IAM przewidziano itrzy rodzaje ról. Pierwsza to primitive roles, czyli role Właściciela, Redaktora i Widza, które były już wcześniej dostępne w konsoli GCP. Jeśli korzystaliśmy już z tego rozwiązania, będziemy od razu wiedzieć, jak posługiwać się Cloud IAM. Drugi rodzaj to predefined roles – tego typu role zapewniają dokładniejszą kontrolę dostępu niż role primitive roles. Przykładowo rola Pub/Sub Publisher przydziela dostęp wyłącznie do opublikowanych wiadomości w danym wątku/subfolderze Cloud Pub/Sub. Ostatni rodzaj to custom roles, czyli role niestandardowe, które można dopasować do wymagań własnej organizacji, w sytuacji gdy predefiniowane role nie spełniają naszych potrzeb.

 

[...]
 

Założyciel firmy doradczo-technologicznej; pełnił funkcję redaktora naczelnego w magazynach i serwisach informacyjnych z branży ICT. Dziennikarz z ponad 12-letnim doświadczeniem i autor książek nt. start-upów i przedsiębiorczości. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"