Il browser Chrome è la piattaforma di endpoint Zero Trust di BeyondCorp Enterprise, che supporta e protegge le aziende ovunque si trovino. Integrato in modo nativo con il browser Chrome, BeyondCorp Enterprise offre gestione centralizzata dei criteri di sicurezza, protezione degli endpoint senza agente e accesso Zero Trust integrato.
La protezione degli endpoint BeyondCorp Enterprise include le seguenti funzionalità di protezione dei dati e dalle minacce:
- Protezione dei dati: impedisce la fuga di dati sensibili (ad esempio informazioni che consentono l'identificazione personale) nei file trasferiti e nei contenuti caricati dal browser.
- Protezione dalle minacce – Proteggiti dai trasferimenti di malware utilizzando reputazione, firme e sandboxing nel cloud.
- Analisi aziendali - Forniscono analisi e indagini per eventi di sicurezza quali trasferimento di malware, visite a siti di phishing, furti di credenziali o trasferimento di dati sensibili.
Per garantire che gli utenti accedano alle risorse da ambienti sicuri, puoi impostare criteri Zero Trust che assicurano l'attivazione di queste funzionalità di protezione dei dati e dalle minacce nell'ambiente browser dell'utente.
IMPORTANTE: gli attributi di Chrome sono efficaci solo per il traffico basato su browser; gli attributi non hanno effetto se le richieste non provengono da un browser, ad esempio le richieste da gcloud CLI o da Google Cloud SDK.
Di seguito sono riportate le nuove condizioni di accesso che puoi utilizzare nei livelli di accesso personalizzati di Gestore contesto accesso.
| Attributo/funzione | Definizione |
|---|---|
management_state |
È gestito dal browser, a livello di browser o di profilo e dall'azienda nel dominio corretto.
Un browser è considerato gestito se i criteri vengono gestiti e inviati centralmente e se il dominio del browser o del profilo gestito corrisponde a quello previsto sul lato server. Per "gestito" si intende solo quello gestito su cloud. Questa impostazione non prende in considerazione la gestione della piattaforma, ad esempio l'oggetto Criteri di gruppo di Microsoft AD gestito. Gli stati di gestione si escludono a vicenda. Ad esempio, se il browser è registrato in Chrome Browser Cloud Management (CBCM), il parametro
Se il browser è CBCM registrato in un altro dominio, sarà sempre
|
versionAtLeast(min_version) |
Se il browser è al di sopra di una determinata versione minima?
|
is_realtime_url_check_enabled |
Se il connettore di controllo degli URL in tempo reale è abilitato.
|
is_file_upload_analysis_enabled |
Il connettore di analisi del caricamento file è abilitato?
|
is_file_download_analysis_enabled |
Il connettore di analisi del download di file è abilitato?
|
is_bulk_data_entry_analysis_enabled |
Il connettore di analisi del testo collettivo (incolla) è abilitato?
|
is_security_event_analysis_enabled |
Il connettore di reporting degli eventi di sicurezza è abilitato?
|
La seguente tabella contiene esempi di criteri che puoi impostare:
| Criterio di esempio | Espressione |
|---|---|
| Consenti l'accesso solo quando l'utente accede da un browser Chrome completamente gestito e non solo da un profilo Chrome gestito. Dopo l'autenticazione tramite un browser Chrome completamente gestito, l'utente può anche utilizzare Google Cloud CLI per accedere alle risorse. | device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
|
| Consenti l'accesso alle risorse solo se l'analisi dei contenuti dei download è abilitata, in modo che gli amministratori possano garantire che il download di contenuti sensibili possa essere rilevato. | device.chrome.is_file_download_analysis_enabled == true
|
| Consenti l'accesso ai contenuti solo se nel browser sono attive le funzionalità di protezione dei dati e dalle minacce. | device.chrome.is_file_download_analysis_enabled == true &&
device.chrome.is_file_upload_analysis_enabled == true &&
device.chrome.is_realtime_url_check_enabled == true
|
| Consenti l'accesso ai contenuti solo se i report sugli eventi di sicurezza sono attivati. | device.chrome.is_security_event_analysis_enabled == true
|