Configuração das condições do certificado empresarial

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Um princípio importante do BeyondCorp Enterprise é o "O acesso aos serviços é concedido com base no que sabemos de você e do seu dispositivo." O nível de acesso concedido a um único usuário ou dispositivo é inferido dinamicamente pela consulta de várias fontes de dados. O BeyondCorp Enterprise usa esse nível de confiança como parte do processo de decisão.

O Access Context Manager é o mecanismo de política de confiança zero do BeyondCorp Enterprise. O Access Context Manager permite que os administradores definam um controle de acesso refinado e baseado em atributos para aplicativos e recursos do Google Cloud.

Use níveis de acesso para permitir acesso a recursos com base em informações contextuais sobre a solicitação. Ao usar os níveis de acesso, você pode começar a organizar os níveis de confiança. Por exemplo, é possível criar um nível de acesso chamado High_Level, que permite solicitações de um pequeno grupo de indivíduos altamente privilegiados. Também é possível identificar um grupo mais geral confiável, como um intervalo de IPs de onde você quer permitir solicitações. Nesse caso, é possível criar um nível de acesso chamado Medium_Level para permitir essas solicitações.

Um dos principais requisitos para o acesso de confiança zero é permitir o acesso apenas quando o dispositivo for gerenciado ou de propriedade da empresa. Há muitas formas de determinar se um dispositivo é de propriedade corporativa, e uma maneira é determinar se um certificado válido emitido pela empresa existe no dispositivo. A existência de um certificado empresarial em um dispositivo pode ser usado para indicar que o dispositivo é da empresa.

Os certificados empresariais para acesso baseado no contexto são um recurso da solução geral de acesso baseado em certificado do BeyondCorp Enterprise. Esse recurso usa certificados de dispositivo como um indicador alternativo baseado no contexto para determinar se um dispositivo é de propriedade da empresa.

Como um dispositivo pode ter mais de um certificado, os certificados empresariais podem ser acessados no nível de acesso personalizado por meio das macros .exist(e,p):

device.certificates.exists(cert, predicate)

No exemplo, cert é um identificador simples a ser usado no predicator que se vincula ao certificado do dispositivo. A macro exist() combina resultados de predicado por elemento com o operador "or" (||). Isso significa que as macros retornam verdadeiro se, pelo menos, um certificado atender à expressão predicate.

O certificado tem os seguintes atributos que podem ser verificados juntos. As comparações de strings diferenciam maiúsculas de minúsculas.

Atributo Descrição Exemplo de expressão de predicado (em que cert é um identificador de macros)
is_valid Verdadeiro se o certificado for válido e não tiver expirado (booleano). cert.is_valid
cert_fingerprint Impressão digital do certificado (hash SHA-256 no formato Base64 não preenchido).

A impressão digital é o resumo SHA256 codificado em Base64, em formato binário, do certificado codificado por DER. É possível gerar a string do certificado no formato PEM usando o seguinte procedimento com o OpenSSL:

$ openssl x509 -in cert.pem -out cert.der -outform DER
$ openssl dgst -sha256 -binary cert.der > digest.sha
$ openssl base64 -in digest.sha

cert.cert_fingerprint == origin.clientCertFingerprint()
root_ca_fingerprint Impressão digital do certificado de CA raiz usado para assinar o certificado (hash SHA-256 no formato Base64 não preenchido).

A impressão digital é o resumo SHA256 codificado em Base64, em formato binário, do certificado codificado por DER. É possível gerar a string do certificado no formato PEM usando o seguinte procedimento com o OpenSSL:

$ openssl x509 -in cert.pem -out cert.der -outform DER
$ openssl dgst -sha256 -binary cert.der > digest.sha
$ openssl base64 -in digest.sha

cert.root_ca_fingerprint == "the_fingerprint"
issuer Nome do emissor (nomes totalmente expandidos).

Para encontrar o nome do emissor, use a seguinte abordagem:

Execute o seguinte comando no certificado:

$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in

A string do emissor usada no nível de acesso é o inverso da saída, e / é substituído por uma vírgula. Exemplo:

EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN

cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"
subject Nome do assunto do certificado (nomes totalmente expandidos). cert.subject == "CA_SUB"
serial_number Número de série do certificado (string). cert.serial_number = "123456789"
template_id ID do modelo da extensão X.509 CertificateTemplate do certificado (string). cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"

A tabela a seguir contém exemplos de políticas que podem ser definidas:

Exemplo de política Expressão
O dispositivo tem um certificado válido assinado pelo certificado raiz da empresa. device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
O dispositivo tem um certificado válido emitido pelo emissor CA_ABC. device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")

Configuração de certificados empresariais

Antes de configurar certificados empresariais, confirme que você configurou os níveis de acesso personalizados em Como criar um nível de acesso personalizado.

Você pode usar uma definição de nível de acesso personalizado do Access Context Manager para definir as políticas apropriadas. Os níveis de acesso personalizados usam expressões booleanas escritas em um subconjunto do Common Expression Language (CEL) para testar os atributos de um cliente que faz uma solicitação.

Fazer upload de âncoras de confiança no Admin Console

Para que o BeyondCorp Enterprise colete e valide o certificado empresarial do dispositivo, você precisa fazer upload das âncoras de confiança usadas para emitir o certificado do dispositivo. As âncoras de confiança aqui se referem ao certificado de CA raiz (autoridade de certificação) autoassinada e aos certificados intermediários e subordinados relevantes. Siga estas etapas para fazer upload das âncoras de confiança:

  1. Acesse o Admin Console e acesse Dispositivos > Redes > Certificados.
  2. Selecione a unidade organizacional apropriada.
  3. Selecione Add Certificate.
  4. Digite o nome do certificado.
  5. Faça upload do certificado.
  6. Marque a caixa de seleção Verificação de endpoints.
  7. Clique em Adicionar.
  8. Confirme que os usuários pertencem à unidade organizacional para a qual as âncoras de confiança foram enviadas.

Configurar uma política AutoSelectCertificateForUrls

Para que a Verificação de endpoints pesquise o certificado do dispositivo e colete pelo Chrome, você precisa configurar a política do Chrome AutoSelectCertificateForUrls seguindo estas etapas:

  1. Confirme que o navegador Chrome é gerenciado pelo gerenciamento de nuvem do navegador Chrome ou pela política de grupo do Windows.

    OU

  2. No Admin Console, adicione a política AutoSelectCertificateForUrls:

    1. Acesse o Admin Console e acesse Dispositivos > Chrome > Configurações > Usuário e AMP; Configurações do navegador > Certificados do cliente.
    2. Selecione a unidade organizacional apropriada.
    3. Adicione uma política (AutoSelectCertificateForUrls, como demonstrado no exemplo a seguir):
    {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{<issuerDNs>}}}
    

    OBSERVAÇÃO: o filtro precisa se referir a um certificado de emissor enviado nas etapas anteriores.

Para verificar a configuração da política, siga estas etapas:

  1. Acesse chrome://policy no navegador.
  2. Verifique o valor configurado para AutoSelectCertificateForUrls.
  3. Verifique se o valor da política Aplica-se a está definido como Máquina. No sistema operacional Chrome, o valor é aplicado a Current User*.
  4. Confirme que o Status da política não contém um Conflito.

Solução de problemas de configuração

Revise os atributos do certificado na página de detalhes do dispositivo para garantir que os atributos do certificado estejam listados corretamente.

Os registros de verificação de endpoints podem ajudar a resolver problemas. Para fazer o download dos registros da Verificação de endpoints, siga estas etapas:

  1. Clique com o botão direito do mouse na extensão Verificação de endpoints e acesse Opções.
  2. Selecione Nível do registro > Todos os registros > Fazer o download de registros.
  3. Abra um caso de suporte com o Cloud Customer Care e compartilhe os registros para fazer uma depuração mais detalhada.