Ultime notizie

2 semplici modi per fare l'orlo ai pantaloni a casa

44 cose per rendere più facile la vita in un piccolo appartamento

May 23, 2023

7 migliori esercizi per una vita affusolata

Sep 20, 2023

Una breve guida alle competenze essenziali per gli ingegneri dell'intelligenza artificiale

Jun 30, 2023

Flusso d'aria e circonferenza dinamica dell'addome e del torace per adulti con diverse impostazioni di ventilazione a pressione positiva continua delle vie aeree e frequenze respiratorie

Jun 12, 2023

Miglioramento della sicurezza con la funzionalità di scadenza della chiave dell'account di servizio di Google Cloud

Aug 13, 2023

Notizie sulla home page di InfoQ Miglioramento della sicurezza con la funzionalità di scadenza della chiave dell'account di servizio di Google Cloud

08 agosto 2023 3 minuti di lettura

Steef-Jan Wiggers

Google Cloud ha recentemente introdotto la scadenza delle chiavi degli account di servizio per affrontare le sfide di sicurezza associate alle chiavi degli account di servizio di lunga durata. Con questa funzionalità, la società afferma che "i clienti possono ora configurare una politica organizzativa a livello di organizzazione, cartella e progetto per limitare la durata utilizzabile delle nuove chiavi dell'account di servizio" e quindi ridurre i rischi relativi alle chiavi trapelate e compromesse.

In precedenza, durante la creazione di una chiave dell'account di servizio, Google Cloud non consentiva agli utenti di specificare una data di scadenza. La chiave è rimasta valida fino all'eliminazione della chiave o all'eliminazione dell'intero account di servizio. Ora, con la possibilità di impostare la scadenza della chiave, è utile per scenari specifici, come ambienti non di produzione o utilizzo di strumenti di terze parti che possono eseguire l'autenticazione solo con chiavi dell'account di servizio. Tuttavia, la modifica della configurazione predefinita per includere la scadenza delle chiavi potrebbe causare interruzioni involontarie per gli sviluppatori abituati a chiavi di lunga durata.

Tuttavia, per le organizzazioni più avanzate che hanno già disabilitato le chiavi dell'account di servizio utilizzando i criteri dell'organizzazione, la scadenza delle chiavi dell'account di servizio può anche fungere da processo di eccezione per consentire l'utilizzo delle chiavi per un periodo di tempo limitato senza modificare la politica di sicurezza dell'organizzazione.

Gli amministratori cloud delle organizzazioni possono accedere alla pagina dei criteri dell'organizzazione e trovare il vincolo con l'ID "constraints/iam.serviceAccountKeyExpiryHours". Successivamente, tramite la modifica, possono configurare criteri di autorizzazione personalizzati per una durata compresa tra 8 e 2160 ore (90 giorni) con l'applicazione dei criteri impostata su "Sostituisci".

Screenshot della pagina dei criteri dell'organizzazione per impostare la scadenza dell'account di servizio (Fonte: blog Google Cloud)

In alternativa, configurare la scadenza delle chiavi dell'account di servizio significa sfruttare la pratica della rotazione delle chiavi, un processo di sostituzione delle chiavi esistenti con nuove chiavi e quindi di invalidazione delle chiavi sostituite, un metodo consigliato per i carichi di lavoro di produzione. In un post sul blog di Google, gli autori hanno scritto:

Se desideri impostare una rotazione delle chiavi per le chiavi dell'account di servizio nella tua organizzazione, ti consigliamo di monitorare le chiavi utilizzando l'inventario delle risorse cloud invece di utilizzare la scadenza delle chiavi per evitare potenziali interruzioni. Ciò ti consentirà di inviare notifiche di avviso agli sviluppatori quando una chiave sta per scadere ed è ora di ruotarla.

Inoltre, in un precedente post su LinkedIn, Lukasz Boduch, un architetto cloud di Google presso SoftServe, ha commentato:

Quindi, cosa succede se Prod GCE o qualsiasi altra chiave SA scade? Inoltre, se ricordo bene, Google non ha mai consigliato questa funzionalità per Prod, almeno quando era pre-ga :)

Inoltre, in passato, potevi esportare una chiave con una data di scadenza, lo sapevi? Tutto ciò di cui hai bisogno è un certificato con una data di scadenza, quindi questa "nuova" funzionalità non è poi così bella e nuova dopo tutto.

Johannes Passing, staff solution architect presso Google Cloud, ha scritto in un post sul blog all'inizio del 2021:

Le cose sembrano diverse quando carichi una chiave di un account di servizio: il caricamento di una chiave di account di servizio funziona creando un certificato X.509 autofirmato e quindi caricando tale certificato in formato PEM. I certificati X.509 hanno una data di scadenza che puoi utilizzare per limitare la validità di una chiave dell'account di servizio.

Altri fornitori di servizi cloud offrono account simili come l'account di servizio di Google. Ad esempio, in Microsoft Azure, l'equivalente di un account di servizio è chiamato "entità servizio". Come gli account di servizio in Google Cloud, un'entità servizio viene utilizzata anche per autenticare applicazioni, script o servizi per accedere alle risorse in Azure. Anche questo account ha una data di scadenza impostabile in fase di creazione (quella predefinita è un anno); tuttavia, in questo caso la rotazione delle chiavi viene regolarmente riconosciuta come una pratica volta a migliorare il livello di sicurezza e ridurre il rischio di compromissione.

Precedente: Termini chiave, definizioni e sistemi relativi alla semplificazione della FAFSA e agli atti FUTURI Prossimo: Alteryx, Inc. (AYX) riporta gli utili del secondo trimestre: cosa hanno da dire i parametri chiave

Invia richiesta

Inviare