English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Épinglettes d'avatar et coffret de jeu Omatikaya Rainforest avec Jake Sully disponibles dès maintenant chez Disney's Animal Kingdom
Aug 09, 2023Opportunité de croissance du marché des vérins à vis mécaniques : Columbus McKinnon, ZIMM, Joyce Dayton, Power Jacks
Jul 26, 2023NSK développe la première pièce de retenue en bioplastique au monde pour vis à billes
Jul 16, 2023Marché mondial des vis à billes miniatures à semi-conducteurs : taille, tendance et prévisions
Jul 12, 2023Marché des guides linéaires à retour de bille 2023 Acteurs clés mondiaux : Rollon, HepcoMotion, CPC, LinTech
Jul 10, 2023Améliorer la sécurité grâce à la fonctionnalité d'expiration des clés de compte de service de Google Cloud
Aug 13, 2023Accueil InfoQ Actualités Améliorer la sécurité grâce à la fonctionnalité d'expiration des clés de compte de service de Google Cloud
08 août 2023 3 min de lecture
par
Steef-Jan Wiggers
Google Cloud a récemment introduit l'expiration des clés de compte de service pour résoudre les problèmes de sécurité associés aux clés de compte de service de longue durée. Grâce à cette fonctionnalité, l'entreprise déclare que « les clients peuvent désormais configurer une politique d'organisation au niveau de l'organisation, du dossier et du projet pour limiter la durée d'utilisation des nouvelles clés de compte de service » – et ainsi réduire les risques liés aux clés divulguées et compromises.
Auparavant, lors de la création d'une clé de compte de service, Google Cloud ne permettait pas aux utilisateurs de spécifier une date d'expiration. La clé est restée valide jusqu'à ce qu'ils suppriment la clé ou suppriment l'intégralité du compte de service. Désormais, avec la possibilité de définir l'expiration de la clé, cela est utile pour des scénarios spécifiques, tels que les environnements de non-production ou l'utilisation d'outils tiers qui ne peuvent s'authentifier qu'avec des clés de compte de service. Cependant, modifier la configuration par défaut pour inclure l'expiration des clés peut entraîner des pannes involontaires pour les développeurs habitués aux clés de longue durée.
Cependant, pour les organisations plus avancées dont les clés de compte de service sont désactivées à l'aide de la stratégie d'organisation, l'expiration de la clé de compte de service peut également servir de processus d'exception pour autoriser l'utilisation des clés pendant une durée limitée sans modifier la politique de sécurité de leur organisation.
Les administrateurs cloud des organisations peuvent accéder à la page de stratégie d'organisation et rechercher la contrainte portant l'ID « constraints/iam.serviceAccountKeyExpiryHours ». Par la suite, via la modification, ils peuvent configurer une stratégie d'autorisation personnalisée pour une durée allant de 8 à 2 160 heures (90 jours), l'application de la stratégie étant définie sur « Remplacer ».
Capture d'écran de la page de stratégie d'organisation pour définir l'expiration du compte de service (Source : blog Google Cloud)
Alternativement, configurer l’expiration des clés du compte de service consiste à tirer parti de la pratique de la rotation des clés – un processus de remplacement des clés existantes par de nouvelles clés, puis d’invalidation des clés remplacées, une méthode recommandée pour les charges de travail de production. Dans un article de blog Google, les auteurs ont écrit :
Si vous souhaitez configurer une rotation des clés pour les clés de votre compte de service dans votre organisation, nous vous recommandons de surveiller les clés à l'aide de l'inventaire des actifs cloud au lieu d'utiliser l'expiration des clés pour éviter des pannes potentielles. Cela vous permettra d'envoyer des notifications d'avertissement aux développeurs lorsqu'une clé est sur le point d'expirer et qu'il est temps de faire pivoter la clé.
De plus, dans un précédent article sur LinkedIn, Lukasz Boduch, architecte cloud Google chez SoftServe, a commenté :
Alors, que se passe-t-il si votre clé Prod GCE ou toute autre clé SA expire ? De plus, si je me souviens bien, Google n'a jamais recommandé cette fonctionnalité pour Prod, du moins quand c'était avant la version :)
Et:
Au fait, dans le passé, vous pouviez également exporter une clé avec une date d'expiration, le saviez-vous ? Tout ce dont vous avez besoin est un certificat avec une date d'expiration, donc cette "nouvelle" fonctionnalité n'est pas si cool et nouvelle après tout.
Johannes Passing, architecte de solutions pour le personnel chez Google Cloud, a écrit dans un article de blog début 2021 :
Les choses semblent différentes lorsque vous téléchargez une clé de compte de service : le téléchargement d'une clé de compte de service fonctionne en créant un certificat X.509 auto-signé, puis en téléchargeant ce certificat au format PEM. Les certificats X.509 ont une date d'expiration et vous pouvez l'utiliser pour limiter la validité d'une clé de compte de service.
D'autres fournisseurs de cloud proposent des comptes similaires, comme le compte de service de Google. Par exemple, dans Microsoft Azure, l'équivalent d'un compte de service est appelé « Principal de service ». Comme les comptes de service dans Google Cloud, un principal de service est également utilisé pour authentifier les applications, les scripts ou les services afin d'accéder aux ressources dans Azure. Ce compte a également une date d'expiration qui peut être définie lors de la création (la valeur par défaut est d'un an) ; cependant, ici, la rotation des clés est régulièrement reconnue comme une pratique permettant d’améliorer la sécurité et de réduire le risque de compromission.