谷歌应用安全加固指南:八大关键措施与安全愿景

本文详细介绍了如何通过八大关键步骤加固谷歌企业应用的安全性,包括创建超级管理员账户、启用双因素认证、防范邮件伪造等实用技术方案,并提出了谷歌安全功能的未来改进愿景。

如何加固您的谷歌应用 - Trail of Bits 博客

Dan Guido
2015年7月7日
指南类文章

绝不浪费任何一次安全事件带来的教训。今天,我们借OPM事件为契机,与您分享我们关于加强谷歌企业应用(Google Apps for Work)账户安全性的顶级建议。

超过500万家公司依赖谷歌应用运行其关键业务功能,如电子邮件、文档存储、日历和聊天。因此,大量数据汇集在谷歌应用中,静待攻击者获取访问权限。在任何现代公司中,这都是头号目标。

本指南适用于希望以最小努力避免最严重安全问题的中小企业。如果您所在公司拥有超过500名员工,并设有专门的IT团队,那么本指南并不适合您。

风险

即使消除了客户端应用的复杂性并迁移到像谷歌应用这样的云托管平台,计算机仍可能出现许多问题。许多人往往过于抽象地思考安全,而忽略了改进安全的具体步骤。在此背景下,我们关注以下攻击方式:

  • 密码管理:用户偶尔会重复使用密码,因成功的网络钓鱼而交出密码,或因密码管理器选择不当而丢失所有密码。
  • 跨站脚本(XSS):谷歌拥有大量正在积极开发的Web应用。他们经常收购新公司并将其添加到自己的域名中。一些新的漏洞可能隐藏在这股新鲜代码流中。任何一个XSS都可能导致Cookie丢失,从而使攻击者登录到您的谷歌账户。
  • 无意泄露:权限管理很困难。谷歌文档的用户界面并没有使其变得更容易。内部文档、日历等最终可能公开可用并被搜索引擎索引。
  • 后门账户:一旦成功入侵一个用户账户,攻击者将寻求保留访问权限,以便日后返回。即使您格式化受感染的计算机,后门的谷歌应用账户仍可能继续泄露电子邮件。
  • 漏洞利用和恶意软件:即使全部使用Chromebook(我们全力推荐),计算机仍有可能被感染,恶意软件会利用合法会话的后门访问您的账户。

八大谷歌应用安全增强措施

如果您做出以下这些更改,您将远远领先于大多数人,并显著降低上述任何情况的风险。

1. 创建安全的超级管理员账户

在admin.google.com中,为您的域名创建一个新的管理员账户。您将仅使用此账户管理您的域名;不用于电子邮件或聊天。保持注销状态。将辅助恢复电子邮件设置为安全邮件主机(如您的个人Gmail)。为两个账户启用双因素认证(2FA)或使用安全密钥。

分离域名管理访问的角色

2. 堵塞电子邮件策略中的漏洞

Gmail提供了丰富的选项,允许用户将电子邮件转发、共享、报告或披露给第三方。这些选项中的任何一个都可能导致无意泄露,或为失去主要访问方法的攻击者提供方便的后门。禁用已读回执、邮件委托、电子邮件配置文件、自动转发和出站网关。

限制电子邮件可能出错的情况
禁用自动转发
保持工作电子邮件配置清洁

3. 启用两步验证(2SV)并查看注册报告

2SV(或更常见的双因素认证或2FA)将拯救您的账户。启用2FA后,被盗密码不足以入侵账户。数百种服务支持它。您应鼓励用户在所有地方启用它。嘿,只需购买一堆安全密钥,像卫生工作者发放避孕套一样分发它们。

为什么这甚至是一个选项?立即启用它!

注意:高级设置中暴露了一个选项,可以强制域名上的每个用户使用2FA。要正确使用此功能,您必须创建一个例外组,以允许新用户设置其账户。 tl;dr 忽略强制功能,当您看到用户尚未启用2FA时,只需轻敲他们的脑袋。

4. 删除或暂停未维护的用户账户

陈旧账户积累了敏感数据,却无人看管。在账户的生命周期中,它可能连接到数十个应用,将其密码保存在移动和客户端应用中,并共享现在被遗忘且未维护的公共文档。通过删除或暂停这些账户来降低风险。

删除或暂停未维护的账户

5. 减少数据对第三方的暴露

邮件、云端硬盘、Talk和站点的默认设置可能导致数据过度共享。保留员工选择适当设置的灵活性,但收紧默认设置,从数据私有开始,并在数据不私有时警告用户。目前,没有通用控制;您必须分别对每个谷歌应用进行更改。

更严格的云端硬盘默认设置
帮助用户识别他们正在与谁交谈
如果不需要,不要过度存储数据
帮助用户了解谁可以看到他们的站点

6. 使用您的域名防止电子邮件伪造

如果未受保护,攻击者很容易伪造一封看起来来自您CEO的电子邮件,并将其发送给您的员工、合作伙伴或客户。确保这不会发生。启用SPF和DKIM以验证您域名的电子邮件。两者都需要修改DNS设置中的TXT记录。

为您的域名启用DKIM并获得此绿色勾选

7. 禁用您不需要的谷歌服务

跨站脚本(XSS)和其他客户端Web应用漏洞是一种未被充分认识的执行针对性黑客攻击的方法。DOM XSS可以用作持久性方法。当您整天登录谷歌账户时,将错误标记为“后认证”意义不大。禁用您不使用的谷歌服务的访问。这将有助于限制您的Cookie暴露的代码量。

有数十种您永远不会使用的服务。禁用它们。

8. 为无论如何进入的黑客设置陷阱

您的防御将在某个时刻失效。当这种情况发生时,您会希望快速知道它。启用预定义警报,以便在您的谷歌应用发生重大更改时接收电子邮件。启用可疑登录活动、管理员权限添加或撤销、用户添加或删除以及任何设置更改的警报。将警报发送给普通用户,因为您不会定期登录超级管理员。

启用警报并广泛发送给接收者

谷歌应用的安全愿望清单

谷歌应用为您的公司运行外包IT服务提供了最安全的平台之一。然而,即使上述配置仍存在一些盲点。

更好地支持入站附件过滤

攻击者会向您的用户发送恶意附件或链接。这个问题在很大程度上是端点问题(谷歌提供Chromebook作为一种解决方案),但电子邮件提供商可以采取更多措施来缓解这种策略。

谷歌应用的Gmail设置提供了一个“附件合规性”功能,虽然并非专门为安全而设计,但可以增强以保护用户免受恶意附件的侵害。Gmail可以在电子邮件主题前添加一条消息,包含关于某些附件的警告,隔离具有某些特征(例如宏)的附件,将附件发送到第三方服务通过类似ICAP的协议进行分析,或转换附件(例如,doc到docx)。

如果我们进一步推进这个想法,Gmail可以完全剥离附件并将其放置在Google云端硬盘中。这将使在附件被识别为恶意时更容易移除对其的访问,并使得对过去附件进行重复分析以发现先前未知的恶意内容变得更加容易。

调整附件合规性选项以保护用户免受恶意附件侵害

更好地管理2FA强制执行

谷歌是第一个向所有用户推出2FA的主要服务提供商。他们对这项技术的支持非常出色。但在谷歌应用中跨域名强制执行仍然太困难。

启用组织范围的强制执行需要设置一个例外组,并在每次向域名添加新用户时执行额外工作。谷歌能否在首次登录时要求2FA,或给新用户一个可配置的X天宽限期,在此期间他们只能使用密码?安全密钥的批量折扣怎么样?

DMARC的内置管理和报告

域名消息认证报告和一致性(DMARC),如SPF和DKIM,旨在增强您发送的电子邮件的安全性和可交付性。DMARC可以帮助您发现其他人如何以及何时可能以您的名义发送电子邮件。如果您想为您的谷歌应用启用DMARC,您基本上只能靠自己。

谷歌应使启用DMARC变得更加容易,并提供帮助管理它的工具。这是一个显而易见的事情,考虑到电子邮件是他们的旗舰功能,它应该是这样。

所有服务的端到端加密

如果您的组织数据在谷歌服务器上加密存储,您就不必那么担心密码泄露、窥探的谷歌员工或谷歌的安全事件。任何获得您数据访问权限但缺乏正确密钥的人都无法读取它。

谷歌的端到端项目将帮助用户部署电子邮件加密。如果您今天想要此功能,S/MIME标准在Mail.app、iOS、Outlook、Thunderbird等中开箱即用。谷歌应用的竞争对手Amazon WorkMail允许客户端管理的密钥。通过加密100%的内部电子邮件,其内容对偶然获得您账户访问权限的第三方是不可读的。

然而,这仍然留下了在其他服务(如Hangouts和云端硬盘)上未受保护的敏感数据。是的,有替代方案,但在这种情况下都不理想。您可以部署自己的内部安全视频会议或考虑采用tarsnap,但不便之处仍然太大。这个问题仍在等待谷歌应用的解决方案。

如果您遇到问题

到目前为止,您的谷歌应用域名应该不那么脆弱了。那么,如果您发现您的某个用户被黑客入侵了怎么办?谷歌在这里为您提供了保障。如果您认为有问题,请查看“管理员安全清单”。他们的分步指南几乎是您开始响应安全事件所需的一切。

反馈

我希望您发现本指南有用。您使用什么来帮助保护您的谷歌应用?您的谷歌应用愿望清单上是否有我遗漏的功能?我遗漏了什么吗?

更新1:
GCHQ于2015年11月发布了一份保护谷歌应用的指南。

如果您喜欢这篇文章,请分享:
Twitter、LinkedIn、GitHub、Mastodon、Hacker News

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次