强化Google Apps安全的八大实用技巧

本文详细介绍了如何通过创建安全管理员账户、启用双因素认证、禁用不必要服务等8种方法强化Google Apps安全性,同时提出安全功能改进建议,帮助企业降低数据泄露风险。

如何强化您的Google Apps安全 - Trail of Bits博客指南

风险概述

即使将业务迁移到Google Apps等云托管平台,计算机安全仍存在诸多风险。用户经常重复使用密码、遭遇钓鱼攻击,或因密码管理器选择不当而丢失所有凭证。Google持续开发大量Web应用并频繁收购新公司,新代码流中可能隐藏XSS漏洞,导致攻击者通过被盗cookie登录您的Google账户。权限管理复杂,Google文档界面未能简化此过程,内部文档和日历可能意外公开并被搜索引擎索引。一旦用户账户被成功入侵,攻击者会寻求持久访问权限,即使格式化受感染计算机,被后门的Google Apps账户仍可能持续泄露邮件。即使全部使用Chromebook(我们强烈推荐),计算机仍可能感染恶意软件,通过合法会话劫持访问您的账户。

八大Google Apps安全增强措施

实施以下更改,您将远胜大多数人,显著降低上述风险。

1. 创建安全超级管理员账户

在admin.google.com中为您的域名创建新的管理员账户。此账户仅用于管理域名,不用于邮件或聊天。保持注销状态,将辅助恢复邮箱设置为安全邮件主机(如个人Gmail)。为两个账户启用双因素认证(2FA)或使用安全密钥。分离域名管理访问角色。

2. 修补邮件策略漏洞

Gmail提供丰富选项,允许用户转发、共享、报告或向第三方披露邮件。这些功能可能导致意外披露或为攻击者提供便捷后门。禁用已读回执、邮件委托、邮件配置文件、自动转发和出站网关。限制邮件可能出错的情况,禁用自动转发,保持工作邮件配置清洁。

3. 启用两步验证(2SV)并审核注册报告

2SV(通常称为双因素认证或2FA)能保护您的账户。启用后,被盗密码不足以入侵账户。数百项服务支持2FA,应鼓励用户随处启用。购买一批安全密钥并分发,就像卫生工作者发放避孕套一样。为什么这还是个选项?立即启用!

注意:高级设置提供强制域名所有用户启用2FA的选项。正确使用此功能需创建例外组允许新用户设置账户。简而言之,忽略强制功能,发现用户未启用2FA时直接督促。

4. 删除或暂停未维护的用户账户

陈旧账户积累敏感数据却无人看管。账户生命周期内可能连接数十个应用,在移动和客户端应用中保存密码,共享的公共文档可能被遗忘且未维护。通过删除或暂停这些账户降低风险。

5. 减少数据对第三方的暴露

邮件、云端硬盘、Talk和Sites的默认设置可能导致数据过度共享。保留员工选择合适设置的灵活性,但收紧默认值,以数据私有为起点,并在非私有时警告用户。目前无通用控制,需逐个更改Google应用设置。为云端硬盘设置更严格的默认值,帮助用户识别对话对象,不需要时不过度存储数据,帮助用户了解谁可查看其网站。

6. 防止使用您域名的邮件伪造

未受保护时,攻击者易伪造看似来自CEO的邮件发送给员工、合作伙伴或客户。确保不发生此情况。启用SPF和DKIM为域名验证邮件。两者均需修改DNS设置中的TXT记录。为域名启用DKIM并获得绿色勾选。

7. 禁用不需要的Google服务

跨站脚本(XSS)和其他客户端Web应用漏洞是进行针对性黑客攻击的未被充分重视的方法。DOM XSS可用作持久性方法。当您全天登录Google账户时,将漏洞标记为“后认证”意义不大。禁用未使用的Google服务,有助于限制cookie暴露的代码量。有许多您永远不会使用的服务,禁用它们。

8. 为入侵黑客设置陷阱

您的防御终将失效。发生时,您需快速知晓。启用预定义警报,在Google Apps发生重大更改时接收邮件。启用可疑登录活动、管理员权限添加或撤销、用户添加或删除及任何设置更改的警报。将警报发送给普通用户,因为您不会定期登录超级管理员。启用警报并广泛发送。

Google Apps安全愿望清单

Google Apps为运行外包IT服务提供最安全的平台之一。但即使上述配置仍存在盲点。

更好地支持入站附件过滤

攻击者会向用户发送恶意附件或链接。此问题主要涉及端点(Google提供Chromebook作为解决方案),但邮件提供商可更多缓解此策略。Gmail的Google Apps设置提供“附件合规性”功能,虽非专为安全设计,但可增强以保护用户免受恶意附件侵害。Gmail可在邮件主题前添加消息,包含对某些附件的警告,隔离具有特定功能(如宏)的附件,通过类似ICAP的协议将附件发送给第三方服务分析,或转换附件(如doc转docx)。进一步,Gmail可完全剥离附件并将其放入Google云端硬盘。这将便于在附件被识别为恶意时移除访问权限,并便于对过去附件进行重复分析以发现未知恶意内容。调整附件合规性选项以保护用户免受恶意附件侵害。

更好地管理2FA强制执行

Google是首个向所有用户推出2FA的主要服务提供商。其对此技术的支持非常出色。但在Google Apps中跨域名强制执行仍太困难。启用组织范围强制执行需设置例外组,并在每次添加新用户时执行额外工作。Google能否在首次登录时要求2FA,或给新用户可配置的X天宽限期,期间仅使用密码?安全密钥批量折扣如何?

DMARC的内置管理和报告

域消息认证报告和一致性(DMARC)与SPF和DKIM一样,旨在增强发送邮件的安全性和可交付性。DMARC可帮助您发现他人如何及何时以您的名义发送邮件。若想为Google Apps启用DMARC,您基本需自行处理。Google应更易启用DMARC并提供管理工具。考虑到邮件是其旗舰功能,这应是理所当然的。

所有服务的端到端加密

若组织数据在Google服务器上加密存储,您不必过于担心密码披露、Google员工窥探或Google安全事件。任何访问您数据但无正确密钥者将无法读取。Google的端到端项目将帮助用户部署邮件加密。若想立即使用此功能,S/MIME标准在Mail.app、iOS、Outlook、Thunderbird等中开箱即用。Google Apps的竞争对手Amazon WorkMail允许客户端管理密钥。通过加密100%内部邮件,内容对偶然访问您账户的第三方不可读。但这仍使敏感数据在其他服务(如Hangouts和云端硬盘)上无保护。是的,有替代方案,但在此场景中均不理想。您可部署内部安全视频会议或考虑采用tarsnap,但不便之处仍太大。此问题在Google Apps中仍需解决方案。

如果出现问题

至此,您的Google Apps域名应更不易受攻击。那么,如果发现用户被黑客入侵怎么办?Google在此提供支持。如果您认为有问题,请查看“管理员安全清单”。其分步指南几乎包含响应安全事件所需的一切。

反馈

希望本指南对您有用。您使用什么保护Google Apps安全?您的愿望清单中是否有我遗漏的Google Apps功能?我是否遗漏了什么?

更新1: GCHQ于2015年11月发布了保护Google Apps的指南。

如果您喜欢本文,请分享至: Twitter LinkedIn GitHub Mastodon Hacker News

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次