Panoramica di Gestore contesto accesso

Gestore contesto accesso consente agli amministratori dell'organizzazione Google Cloud di definire un controllo dell'accesso granulare e basato sugli attributi per i progetti e le risorse in Google Cloud.

Gli amministratori definiscono innanzitutto un criterio di accesso, ovvero un container a livello di organizzazione per livelli di accesso e servizio perimetri.

I livelli di accesso descrivono i requisiti per l'accettazione delle richieste. Ecco alcuni esempi:

  • Tipo di dispositivo e sistema operativo
  • Indirizzo IP
  • Identità utente

I perimetri di servizio definiscono sandbox di risorse che possono scambiare liberamente dati all'interno del perimetro, ma non sono autorizzate a esportare dati al di fuori. Gestore contesto accesso non è responsabile dell'applicazione dei criteri. Il suo scopo è descrivere le regole desiderate. I criteri vengono configurati e applicati in vari come Controlli di servizio VPC. Puoi scoprire di più su questi servizi nelle rispettive guide dell'utente.

Puoi configurare e applicare i criteri di Gestore contesto accesso nei seguenti componenti della soluzione Chrome Enterprise Premium:

Perché Gestore contesto accesso

Molte aziende si basano su un modello di sicurezza perimetrale, ad esempio i firewall, per proteggere le risorse interne. Questo modello è simile a un castello medievale: una fortezza con mura spesse, circondata da un fossato e con una singola guardia punto di ingresso e di uscita. Tutto ciò che si trova al di fuori del muro è considerato pericoloso. Tutto ciò che è dentro è affidabile.

I firewall e il modello di sicurezza perimetrale funzionano bene se esiste un confine preciso intorno a utenti e servizi specifici. Tuttavia, se una forza lavoro mobile, la varietà di dispositivi aumenta man mano che gli utenti portano i propri dispositivi (BYOD) e utilizzare servizi basati su cloud. Questo scenario genera vettori di attacco aggiuntivi che non vengono considerati dal modello di perimetro. Il perimetro non è più solo la sede fisica dell'azienda e non si può dare per scontato che ciò che si trova al suo interno sia sicuro.

Gestore contesto accesso ti consente di ridurre le dimensioni della rete privilegiata e di passare a un modello in cui gli endpoint non hanno autorità ambientale in base alla rete. Invece, puoi concedere l'accesso in base al contesto della richiesta, come il tipo di dispositivo, l'identità utente e altro ancora, controllando comunque l'accesso alla rete aziendale, se necessario.

Access Context Manager è parte integrante dell'impegno di BeyondCorp in Google. Per approfondire, consulta BeyondCorp.

Criteri di accesso

Un criterio di accesso è un container per tutte le risorse di Gestore contesto accesso, come i livelli di accesso e perimetri di servizio.

Puoi creare un criterio di accesso nel contesto di un'organizzazione e utilizzarlo in qualsiasi punto dell'organizzazione. Per delegare amministrazione di un criterio di accesso, puoi creare un criterio di accesso con ambito e impostare l'ambito del criterio a livello di cartella o a livello di progetto. L'amministratore delegato a cui è assegnato il criterio basato sugli ambiti può gestire solo il criterio di accesso basato sugli ambiti e non il criterio di accesso a livello di organizzazione.

Viene eseguito il controllo delle versioni di un criterio di accesso utilizzando una etag. Puoi utilizzare etag per scegliere come target le modifiche ai criteri di accesso, ad esempio le modifiche ai livelli di accesso, per una versione specifica dei criteri. Se più origini modificano i tuoi criteri di accesso, l'utilizzo del campo etag per lo strumento a riga di comando gcloud e le chiamate API garantisce che non si verifichino sovrascritture e conflitti involontari.

Per informazioni su come creare i criteri di accesso, consulta Creazione di un criterio di accesso.

Livelli di accesso

I livelli di accesso vengono utilizzati per consentire l'accesso alle risorse in base a le informazioni sulla richiesta. Utilizzando i livelli di accesso, puoi iniziare a organizzare i livelli di attendibilità. Ad esempio, potresti creare un livello di accesso chiamatoHigh_Level che consenta le richieste di un piccolo gruppo di persone con privilegi elevati. Potresti anche identificare un gruppo più generico di cui ti fidi, come Intervallo IP da cui vuoi consentire le richieste. In questo caso, puoi creare un livello di accesso denominato Medium_Level per consentire queste richieste.

Una volta definiti i livelli di accesso, i servizi di applicazione possono utilizzarli per decidere se soddisfare o meno una richiesta. Ad esempio, puoi specificare che, mentre molte risorse sono disponibili per "Medium_Trust", alcune risorse più sensibili richiedono il livello di attendibilità "High_Trust" livello. Questi controlli vengono applicati in aggiunta al criterio IAM standard.

I livelli di accesso sono personalizzabili; accesso High_Trust e Medium_Trust diversi sono esempi. Puoi specificare più livelli di accesso all'interno di un criterio di accesso.

Gestore contesto accesso offre due modi per definire i livelli di accesso: di base e personalizzato.

Un livello di accesso di base è una raccolta di condizioni utilizzate per testare richieste. Le condizioni sono un gruppo di attributi che che vuoi testare, ad esempio il tipo di dispositivo, l'indirizzo IP o l'identità utente. La vengono combinati come un'operazione AND (tutti i valori devono essere true) o Operazione NOR (nessuna deve essere vera) per determinare se la condizione è sono soddisfatte determinate condizioni.

I livelli di accesso personalizzati vengono creati utilizzando un sottoinsieme del linguaggio Common Expression Language. Oltre al contesto della richiesta utilizzato per le query di accesso ai livelli di accesso, puoi anche utilizzare livelli di accesso personalizzati per consentire sui dati di servizi di terze parti. Per saperne di più, consulta Livelli di accesso personalizzati.

Indirizzo IP

Puoi concedere un livello di accesso in base all'indirizzo IP dell'account di origine richiesta. L'intervallo di IP da consentire è specificato sotto forma di Routing senza classe tra domini (CIDR) che consente un controllo semplice ma granulare sugli IP consentiti.

Un singolo livello di accesso può contenere più intervalli IP.

Consulta la sezione Creare un livello di accesso per l'accesso alla rete aziendale per scoprire come creare un livello di accesso che consenta l'accesso solo a un intervallo specificato di indirizzi IP (ad esempio quelli all'interno di una rete aziendale).

Tipo di dispositivo

Gestore contesto accesso utilizza Verifica endpoint per raccogliere informazioni relative ai dispositivi utente, tra cui il sistema operativo e la versione. Puoi concedere un livello di accesso in base a questi dati. ad esempio, potrebbe decidere di concedere un livello di accesso più permissivo ai dispositivi che eseguono l'ultima versione del sistema operativo principale di cui è stato eseguito il deployment nella tua azienda.

Per ulteriori informazioni su come concedere un livello di accesso a determinati dispositivi, consulta la sezione Creare un livello di accesso per i dispositivi degli utenti.

Identità utente

In alcuni casi, potresti voler concedere un livello di accesso a entità specifiche. In questo caso, l'identità del chiamante determina se la condizione è sono soddisfatte determinate condizioni.

Questo scenario viene spesso utilizzato in combinazione con gli account di servizio e i controlli di servizio VPC, ad esempio per consentire a una funzione Cloud di accedere ai dati protetti dai controlli di servizio VPC.

Puoi creare e gestire livelli di accesso solo per l'identità con lo strumento a riga di comando gcloud, ma non con la console Google Cloud.

Per iniziare a creare un livello di accesso di base, consulta Crea un livello di accesso per Gestore contesto accesso.

Per informazioni sulla creazione di un livello di accesso che consenta l'accesso in base al contesto di una richiesta, vedi Creare un livello di accesso personalizzato.

Combinazione delle condizioni

Un singolo livello di accesso può contenere più condizioni. Le condizioni possono essere valutato utilizzando l'operatore AND o OR. Puoi specificare la modalità la creazione o l'aggiornamento di un livello di accesso.

Il caso AND è l'opzione più restrittiva (e predefinita). Viene concesso il livello di accesso solo se tutte le condizioni sono soddisfatte. Ad esempio, potresti richiedere che una richiesta provenga da nella rete aziendale e da un dispositivo un intero sistema operativo.

OR è un'opzione meno restrittiva. Richiede solo che una di molte condizioni sia vera. A volte questo è particolarmente utile quando si ha a che fare con le identità degli utenti. ad esempio per escludere entità specifiche (come gli Account di servizio) dalla normale i tuoi requisiti.

Condizioni di nidificazione

Le condizioni possono essere nidificate in modo che una condizione dipenda da un'altra. Ad esempio, se hai due livelli di accesso, "Medio" e "Alta" di fiducia, puoi imposta i requisiti per "Alto" per richiedere "Medio", più alcune altre condizioni.

Le condizioni di nidificazione possono rendere più comoda la gestione dei livelli di accesso. Ad esempio, immagina che il tuo livello di accesso più permissivo contenga una versione minima del sistema operativo e che tu abbia impostato i livelli più restrittivi in modo che dipendano da questa. Se la versione minima, basta aggiornare una singola anziché per ogni livello di accesso incluso nel criterio.

Scopri di più