Mejora de la seguridad con la función de caducidad de clave de cuenta de servicio de Google Cloud

Aug 13, 2023

InfoQ Página de inicio Noticias Mejora de la seguridad con la función de caducidad de clave de cuenta de servicio de Google Cloud

08 de agosto de 2023 Lectura de 3 minutos

por

Steef Jan Wiggers

Google Cloud introdujo recientemente la caducidad de la clave de la cuenta de servicio para abordar los desafíos de seguridad asociados con las claves de la cuenta de servicio de larga duración. Con esta capacidad, la compañía afirma que "los clientes ahora pueden configurar una Política de organización a nivel de organización, carpeta y proyecto para limitar la duración utilizable de las nuevas claves de cuenta de servicio" y así reducir los riesgos relacionados con las claves filtradas y comprometidas.

Anteriormente, al crear una clave de cuenta de servicio, Google Cloud no permitía a los usuarios especificar una fecha de vencimiento. La clave permaneció válida hasta que la eliminaron o eliminaron toda la cuenta de servicio. Ahora, con la capacidad de establecer la caducidad de la clave, es útil para escenarios específicos, como entornos que no son de producción o el uso de herramientas de terceros que solo pueden autenticarse con claves de cuentas de servicio. Sin embargo, cambiar la configuración predeterminada para incluir la caducidad de claves puede provocar interrupciones no deseadas para los desarrolladores acostumbrados a claves de larga duración.

Sin embargo, para las organizaciones más avanzadas que tienen claves de cuenta de servicio deshabilitadas y ya usan la Política de la organización, la caducidad de la clave de la cuenta de servicio también puede actuar como un proceso de excepción para permitir el uso de claves por un tiempo limitado sin cambiar la política de seguridad de su organización.

Los administradores de la nube de las organizaciones pueden ir a la página de políticas de la organización y buscar la restricción con el ID "constraints/iam.serviceAccountKeyExpiryHours". Posteriormente, mediante la edición, pueden configurar una política de permiso personalizada con una duración que oscila entre 8 y 2160 horas (90 días) con la aplicación de la política configurada en "Reemplazar".

Captura de pantalla de la página de política de la organización para establecer la caducidad de la cuenta de servicio (Fuente: blog de Google Cloud)

Alternativamente, configurar la caducidad de la clave de la cuenta de servicio es aprovechar la práctica de la rotación de claves: un proceso de reemplazar las claves existentes con claves nuevas y luego invalidar las claves reemplazadas, una forma recomendada para cargas de trabajo de producción. En una publicación del blog de Google, los autores escribieron:

Si desea configurar una rotación de claves para las claves de su cuenta de servicio en su organización, le recomendamos monitorear las claves mediante el inventario de activos en la nube en lugar de utilizar la caducidad de claves para evitar posibles interrupciones. Esto le permitirá enviar notificaciones de advertencia a los desarrolladores cuando una clave esté a punto de caducar y sea hora de rotarla.

Además, en una publicación anterior de LinkedIn, Lukasz Boduch, arquitecto de la nube de Google en SoftServe, comentó:

Entonces, ¿qué pasa si su Prod GCE o cualquier otra clave SA caduca? Además, si no recuerdo mal, Google nunca recomendó esta función para Prod, al menos cuando era anterior a la versión ga :)

Y:

Por cierto, en el pasado también se podía exportar una clave con fecha de caducidad, ¿lo sabías? Todo lo que necesita es un certificado con fecha de vencimiento, por lo que esta "nueva" característica no es tan nueva y atractiva después de todo.

Johannes Passing, arquitecto de soluciones para el personal de Google Cloud, escribió en una publicación de blog a principios de 2021:

Las cosas se ven diferentes cuando carga una clave de cuenta de servicio: la carga de una clave de cuenta de servicio funciona creando un certificado X.509 autofirmado y luego cargando ese certificado en formato PEM. Los certificados X.509 tienen una fecha de vencimiento y puede usarla para limitar la validez de una clave de cuenta de servicio.

Otros proveedores de la nube ofrecen cuentas similares, como la cuenta de servicio de Google. Por ejemplo, en Microsoft Azure, el equivalente de una cuenta de servicio se denomina "principal de servicio". Al igual que las cuentas de servicio en Google Cloud, una entidad de servicio también se utiliza para autenticar aplicaciones, scripts o servicios para acceder a recursos dentro de Azure. Esta cuenta también tiene una fecha de vencimiento que se puede establecer durante la creación (el valor predeterminado es un año); sin embargo, aquí la rotación de claves se reconoce regularmente como una práctica para mejorar la postura de seguridad y reducir el riesgo de compromiso.

Por último, en la documentación se encuentran disponibles más detalles sobre las cuentas de servicio de Google.

Proteger las identidades. Servicios digitales seguros. Habilite el acceso de usuario escalable y seguro a aplicaciones web y móviles. Empiza la prueba gratuita.

Escribir para InfoQ ha abierto muchas puertas y aumentado las oportunidades profesionales. para mí. Pude interactuar profundamente con expertos y líderes de opinión para aprender más sobre los temas que cubrí. Y también puedo difundir mis conocimientos a la comunidad tecnológica en general y comprender cómo se utilizan las tecnologías en el mundo real.

¡Descubrí el programa de colaboradores de InfoQ a principios de este año y lo he disfrutado desde entonces! Además de brindarme una plataforma para compartir aprendizaje con una comunidad global de desarrolladores de software, el sistema de revisión entre pares de InfoQ ha mejorado significativamente mi escritura. . Si está buscando un lugar para compartir su experiencia en software, comience a contribuir a InfoQ.

Comencé a escribir noticias para la cola InfoQ .NET como una forma de mantenerme actualizado con la tecnología, pero saqué mucho más provecho de ello. Conocí gente conocedora, obtuve visibilidad global y mejoré mis habilidades de escritura..

Convertirme en editor de InfoQ fue una de las mejores decisiones de mi carrera . Me ha desafiado y me ha ayudado a crecer de muchas maneras. . Nos encantaría tener más gente.Unete a nuestro equipo.

InfoQ busca un editor en jefe a tiempo completo para unirse al equipo internacional y siempre remoto de C4Media. Únase a nosotros para cubrir las tecnologías más innovadoras de nuestro tiempo, colabore con los profesionales de software más brillantes del mundo y ayude a más de 1,6 millones de equipos de desarrollo a adoptar nuevas tecnologías y prácticas que superan los límites de lo que el software y los equipos pueden ofrecer.

Todos los martes se envía un resumen del contenido de la semana pasada en InfoQ. Únase a una comunidad de más de 250.000 desarrolladores senior. Ver un ejemplo

Protegemos su privacidad.

Debe registrar una cuenta InfoQ o iniciar sesión o iniciar sesión para publicar comentarios. Pero hay mucho más detrás de estar registrado.

Aproveche al máximo la experiencia InfoQ.

HTML permitido: a,b,br,blockquote,i,li,pre,u,ul,p

HTML permitido: a,b,br,blockquote,i,li,pre,u,ul,p

HTML permitido: a,b,br,blockquote,i,li,pre,u,ul,p