Chrome 浏览器是 Chrome Enterprise 进阶版的零信任端点平台,可助力并保护移动办公企业。Chrome Enterprise 进阶版与 Chrome 浏览器原生集成,提供集中式安全政策管理、无代理端点保护和集成式零信任访问权限。
Chrome Enterprise Premium 端点防护功能提供以下威胁防范和数据保护功能:
- 数据保护 - 防止泄露传输的文件和浏览器上传的内容中的敏感数据(例如个人身份信息)。
- 威胁防护 - 使用声誉、签名和云沙盒来防范恶意软件传输。
- 企业分析 - 提供针对安全事件(例如恶意软件传输、钓鱼式攻击网站访问、凭据盗用或敏感数据传输)的分析和调查。
为确保用户从安全环境访问资源,您可以设置零信任政策,以确保用户的浏览器环境已启用这些威胁和数据保护功能。
重要提示:Chrome 属性仅适用于基于浏览器的流量;如果请求并非来自浏览器(例如来自 gcloud CLI 或 Google Cloud SDK 的请求),这些属性将不起作用。
下面介绍了您可以在 Access Context Manager 的自定义访问权限级别中使用的新访问权限条件。
| 特性/函数 | 定义 |
|---|---|
management_state |
是否在浏览器级别或配置文件级别管理浏览器以及浏览器是否由正确网域中的企业管理。 如果政策是集中管理并推送的,并且受管理的浏览器或配置文件的网域与服务器端的预期网域匹配,则浏览器会被视为受管理的浏览器。 “托管式”仅指云端托管。此设置不考虑平台管理(例如代管式 Microsoft AD 组政策对象)。 这些管理状态是互斥的。例如,如果浏览器已注册 Chrome 浏览器云管理 (CBCM),则
如果浏览器在其他网域中注册了 CBCM,即使已登录的用户位于其他网域中,该值也始终为
|
versionAtLeast(min_version) |
浏览器是否高于特定的最低版本。
|
is_realtime_url_check_enabled |
是否启用实时网址检查连接器。
|
is_file_upload_analysis_enabled |
是否启用文件上传分析连接器。
|
is_file_download_analysis_enabled |
是否启用文件下载分析连接器。
|
is_bulk_data_entry_analysis_enabled |
是否启用批量文本(粘贴)分析连接器。
|
is_security_event_analysis_enabled |
是否启用安全性事件报告连接器。
|
下表包含您可以设置的政策示例:
| 政策示例 | 表达式 |
|---|---|
| 仅在用户来自全代管式 Chrome 浏览器(而不只是代管式 Chrome 配置文件)时才允许访问。 通过全代管式 Chrome 浏览器进行身份验证后,用户或许还可以 请使用 Google Cloud CLI 访问资源。 | device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
|
| 仅在启用了下载内容分析时才允许访问资源,以便管理员确保可以检测到敏感内容下载。 | device.chrome.is_file_download_analysis_enabled == true
|
| 仅在浏览器启用威胁和数据保护功能时才允许访问内容。 | device.chrome.is_file_download_analysis_enabled == true &&
device.chrome.is_file_upload_analysis_enabled == true &&
device.chrome.is_realtime_url_check_enabled == true
|
| 仅在启用安全性事件报告时才允许访问内容。 | device.chrome.is_security_event_analysis_enabled == true
|