Gestore contesto accesso consente alle organizzazioni Google Cloud agli amministratori di Google Cloud di definire un controllo dell'accesso granulare, basato su attributi, di progetti e risorse in Google Cloud.
Gli amministratori definiscono innanzitutto un criterio di accesso, ovvero un container a livello di organizzazione per livelli di accesso e servizio perimetri.
I livelli di accesso descrivono i requisiti da soddisfare per le richieste. Ecco alcuni esempi:
- Tipo di dispositivo e sistema operativo
- Indirizzo IP
- Identità utente
I perimetri di servizio definiscono sandbox di risorse che possono scambiare liberamente i dati all'interno del perimetro, ma non a cui è consentito esportare dati al di fuori. Gestore contesto accesso non è responsabile dell'applicazione dei criteri. Il suo scopo è quello di e descrivere le regole desiderate. I criteri vengono configurati e applicati in diverse come Controlli di servizio VPC. Puoi scoprire di più su questi servizi nelle rispettive guide dell'utente.
Puoi configurare e applicare i criteri di Gestore contesto accesso per: Componenti della soluzione Chrome Enterprise Premium:
- Controlli di servizio VPC
- Identity-Aware Proxy
- Accesso sensibile al contesto per Google Workspace
- Condizioni per Identity and Access Management (IAM)
Perché accedere a Gestore contesto
Molte aziende si affidano a un modello di sicurezza perimetrale, ad esempio i firewall, per la sicurezza delle risorse interne. Questo modello è simile a un castello medievale: una fortezza con mura spesse, circondata da un fossato e con una singola guardia punto di ingresso e di uscita. Tutto ciò che si trova al di fuori del muro è considerato pericoloso. Tutto ciò che è dentro è affidabile.
I firewall e il modello di sicurezza perimetrale funzionano bene se c'è una confini attorno a utenti e servizi specifici. Tuttavia, se una forza lavoro mobile, la varietà di dispositivi aumenta man mano che gli utenti portano i propri dispositivi (BYOD) e utilizzare servizi basati su cloud. Questo scenario determina ulteriori vettori d'attacco che non sono considerati dal modello perimetrale. Il perimetro non è più solo posizione fisica dell'azienda e ciò che si trova al suo interno non può essere considerato sicuro.
Gestore contesto accesso consente di ridurre le dimensioni della rete con privilegi e passare a un modello in cui gli endpoint non hanno autorità ambientale in base in ogni rete. Puoi concedere l'accesso in base al contesto della richiesta, come il tipo di dispositivo, l'identità dell'utente e altro ancora, pur continuando a cercare l'accesso alla rete in caso di necessità.
Il Gestore contesto accesso è una parte integrante delle iniziative di Google relative a BeyondCorp. A per saperne di più, consulta BeyondCorp.
Criteri di accesso
Un criterio di accesso è un container per tutte le risorse di Gestore contesto accesso, come i livelli di accesso e perimetri di servizio.
Puoi creare un criterio di accesso nel contesto di un'organizzazione e utilizzare di accesso a livello di organizzazione in qualsiasi punto dell'organizzazione. Per delegare amministrazione di un criterio di accesso, puoi creare un criterio di accesso con ambito e impostare l'ambito del criterio a livello di cartella o a livello di progetto. L'amministratore con delega a cui è assegnato il criterio con ambito può gestire solo il criterio di accesso con ambito e non il criterio di accesso a livello di organizzazione.
Viene eseguito il controllo delle versioni di un criterio di accesso utilizzando una etag.
Puoi utilizzare etag per scegliere come target le modifiche al criterio di accesso, ad esempio modifiche a
livelli di accesso specifici, a una specifica versione del criterio. Se più origini cambiano
il criterio di accesso, l'utilizzo del campo etag per lo strumento a riga di comando gcloud e le chiamate API garantisce
che non si verificano sovrascritture involontarie e non si verificano conflitti.
Per informazioni su come creare i criteri di accesso, consulta Creazione di un criterio di accesso.
Livelli di accesso
I livelli di accesso vengono utilizzati per consentire l'accesso alle risorse in base a
le informazioni sulla richiesta. Utilizzando i livelli di accesso, puoi iniziare a organizzare
diversi livelli di attendibilità. Ad esempio, potresti creare un livello di accesso denominato
High_Level che consentirà richieste da parte di un piccolo gruppo di persone con privilegi elevati
singoli utenti. Potresti anche identificare un gruppo più generico di cui ti fidi, come
Intervallo IP da cui vuoi consentire le richieste. In questo caso, potresti creare
un livello di accesso chiamato Medium_Level per consentire queste richieste.
Una volta definiti i livelli di accesso, i servizi di applicazione possono utilizzarli per decidere se soddisfare o meno una richiesta. Ad esempio, puoi specificare che, mentre molte risorse sono disponibili per "Medium_Trust", alcune risorse più sensibili richiedono il livello di attendibilità "High_Trust" livello. Questi controlli vengono applicati in aggiunta il criterio IAM standard.
I livelli di accesso sono personalizzabili; accesso High_Trust e Medium_Trust
diversi sono esempi. Puoi specificare più livelli di accesso come parte di un
criterio di accesso.
Gestore contesto accesso offre due modi per definire i livelli di accesso: di base e personalizzato.
Un livello di accesso di base è una raccolta di condizioni utilizzate per testare richieste. Le condizioni sono un gruppo di attributi che che vuoi testare, ad esempio il tipo di dispositivo, l'indirizzo IP o l'identità utente. La vengono combinati come un'operazione AND (tutti i valori devono essere true) o Operazione NOR (nessuna deve essere vera) per determinare se la condizione è sono soddisfatte determinate condizioni.
I livelli di accesso personalizzati vengono creati utilizzando un sottoinsieme di Common Expression Language (Linguaggio di espressione comune). Oltre al contesto della richiesta utilizzato per le query di accesso ai livelli di accesso, puoi anche utilizzare livelli di accesso personalizzati per consentire sui dati di servizi di terze parti. Per ulteriori informazioni, vedi Livelli di accesso personalizzati.
Indirizzo IP
Puoi concedere un livello di accesso in base all'indirizzo IP dell'account di origine richiesta. L'intervallo di IP da consentire è specificato sotto forma di Routing senza classe tra domini (CIDR) che consente un controllo semplice ma granulare sugli IP consentiti.
Un singolo livello di accesso può contenere più intervalli IP.
Consulta la sezione Creazione di un livello di accesso per l'accesso alla rete aziendale per scoprire come creare un livello di accesso che consenta l'accesso solo a un di indirizzi IP (ad esempio quelli all'interno di una rete aziendale).
Tipo di dispositivo
Gestore contesto accesso utilizza Verifica degli endpoint per raccogliere informazioni relative ai dispositivi degli utenti, inclusi sistema operativo e completamente gestita. Puoi concedere un livello di accesso in base a questi dati. ad esempio, potrebbe decidere di concedere un livello di accesso più permissivo ai dispositivi che eseguono l'ultima versione del sistema operativo principale di cui è stato eseguito il deployment nella tua azienda.
Leggi Creazione di un livello di accesso per i dispositivi utente per ulteriori informazioni su come concedere un livello di accesso a determinati dispositivi.
Identità utente
In alcuni scenari, potresti voler concedere un livello di accesso a entità specifiche. In questo caso, l'identità del chiamante determina se la condizione è sono soddisfatte determinate condizioni.
Questo scenario viene spesso utilizzato in combinazione con gli account di servizio Controlli di servizio VPC; ad esempio, per attivare Cloud Function Functions per accedere ai dati protetti dai Controlli di servizio VPC.
Puoi creare e gestire livelli di accesso solo per l'identità con lo strumento a riga di comando gcloud, ma non con
la console Google Cloud.
Per iniziare a creare un livello di accesso di base, consulta Crea un livello di accesso per Gestore contesto accesso.
Per informazioni sulla creazione di un livello di accesso che consenta l'accesso in base al contesto di una richiesta, consulta Creare un livello di accesso personalizzato.
Combinazione delle condizioni
Un singolo livello di accesso può contenere più condizioni. Le condizioni possono essere
valutato utilizzando l'operatore AND o OR. Puoi specificare la modalità
la creazione o l'aggiornamento di un livello di accesso.
Il caso AND è l'opzione più restrittiva (e predefinita). Concede solo l'accesso
Livello se tutte le condizioni vengono soddisfatte. Ad esempio, potresti richiedere che una richiesta provenga da
nella rete aziendale e da un dispositivo
un intero sistema operativo.
OR è un'opzione meno restrittiva. Richiede solo una delle numerose condizioni
vero. A volte questo risulta particolarmente utile quando si ha a che fare con le identità degli utenti. ad esempio
per escludere entità specifiche (come gli Account di servizio) dalla normale
i tuoi requisiti.
Condizioni di nidificazione
Le condizioni possono essere nidificate in modo che una condizione dipenda da un'altra. Ad esempio, se hai due livelli di accesso, "Medio" e "Alta" di fiducia, puoi imposta i requisiti per "Alto" per richiedere "Medio", più alcune altre condizioni.
Le condizioni di nidificazione possono rendere più comoda la gestione dei livelli di accesso. Ad esempio: immagina che il tuo livello di accesso più permissivo contenga un sistema operativo minimo e puoi impostare i livelli più restrittivi in base alla versione. Se la versione minima, basta aggiornare una singola anziché per ogni livello di accesso incluso nel criterio.
Scopri di più
- Guida rapida: crea un livello di accesso per Gestore contesto accesso
- Creare un livello di accesso di base
- Creazione di un livello di accesso per l'accesso alla rete aziendale
- Creazione di un livello di accesso per i dispositivi utente
- Inclusione delle identità nei livelli di accesso