Berdasarkan model keamanan BeyondCorp, BeyondCorp Enterprise adalah pendekatan yang memanfaatkan berbagai penawaran Google Cloud untuk menerapkan kontrol akses terperinci berdasarkan identitas pengguna dan konteks permintaan.
Misalnya, bergantung pada konfigurasi kebijakan, aplikasi atau resource yang sensitif dapat:
- Berikan akses ke semua karyawan jika mereka menggunakan perangkat perusahaan tepercaya dari jaringan perusahaan Anda.
- Berikan akses kepada karyawan di grup Akses Jarak Jauh jika mereka menggunakan perangkat perusahaan tepercaya dengan sandi aman dan level patch terbaru, dari jaringan apa pun.
- Beri administrator akses ke Konsol Google Cloud (melalui UI atau API) hanya jika mereka berasal dari jaringan perusahaan.
- Memberi developer akses SSH ke virtual machine.
Kapan harus menggunakan BeyondCorp Enterprise
Gunakan BeyondCorp Enterprise jika Anda ingin membuat kontrol akses terperinci berdasarkan berbagai atribut dan kondisi, termasuk perangkat yang sedang digunakan dan dari alamat IP tertentu. Membuat resource perusahaan Anda sadar akan konteks akan meningkatkan postur keamanan Anda.
Anda juga dapat menerapkan BeyondCorp Enterprise ke aplikasi Google Workspace. Untuk mengetahui informasi selengkapnya tentang cara menerapkan BeyondCorp Enterprise dengan Google Workspace, lihat ringkasan Google Workspace.
Cara kerja BeyondCorp Enterprise
Mengimplementasikan BeyondCorp Enterprise akan menerapkan model zero-trust. Tidak ada yang dapat mengakses resource Anda kecuali jika mereka memenuhi semua aturan dan ketentuan. Sebagai ganti mengamankan resource Anda di tingkat jaringan, kontrol akses ditempatkan di setiap perangkat dan pengguna.
IAP adalah dasar dari BeyondCorp Enterprise, yang memungkinkan Anda memberikan akses ke aplikasi dan resource HTTPS. Setelah mengamankan aplikasi dan resource di belakang IAP, organisasi Anda dapat memperluas BeyondCorp Enterprise secara bertahap seiring diperlukannya aturan yang lebih beragam. Resource BeyondCorp Enterprise yang diperluas dapat membatasi akses berdasarkan properti seperti atribut perangkat pengguna, waktu, dan jalur permintaan.
BeyondCorp Enterprise bekerja dengan memanfaatkan empat penawaran Google Cloud:
Identity-Aware Proxy (IAP): Layanan yang memungkinkan karyawan mengakses aplikasi dan resource perusahaan dari jaringan yang tidak tepercaya tanpa menggunakan VPN.
Identity and Access Management (IAM): Layanan pengelolaan dan otorisasi identitas untuk Google Cloud.
Access Context Manager: Mesin aturan yang memungkinkan kontrol akses yang terperinci.
Verifikasi Endpoint: Ekstensi Google Chrome yang mengumpulkan detail perangkat pengguna.
Mengumpulkan informasi perangkat
Verifikasi Endpoint mengumpulkan informasi perangkat karyawan termasuk status enkripsi, OS, dan detail pengguna. Setelah diaktifkan melalui konsol Google Admin, Anda dapat men-deploy ekstensi Chrome Verifikasi Endpoint ke perangkat perusahaan. Karyawan juga dapat menginstalnya di perangkat pribadi terkelola mereka. Ekstensi ini mengumpulkan dan melaporkan informasi perangkat, yang terus disinkronkan dengan Google Workspace. Hasil akhirnya adalah inventaris semua perangkat perusahaan dan pribadi yang mengakses resource perusahaan Anda.
Membatasi akses
Melalui Access Context Manager, tingkat akses dibuat untuk menentukan aturan akses. Tingkat akses yang diterapkan pada resource Anda dengan IAM Conditions memberlakukan kontrol akses yang sangat mendetail berdasarkan berbagai atribut.
Tingkat akses membatasi akses berdasarkan atribut berikut:
Saat Anda membuat tingkat akses berbasis perangkat, Access Context Manager akan merujuk ke inventaris perangkat yang dibuat oleh Verifikasi Endpoint. Misalnya, tingkat akses dapat membatasi akses hanya untuk karyawan yang menggunakan perangkat terenkripsi. Bersama dengan kondisi IAM, Anda dapat membuat tingkat akses ini lebih terperinci dengan juga membatasi akses ke waktu antara pukul 09.00 dan 17.00.
Mengamankan resource dengan IAP
IAP menggabungkan semuanya dengan mengizinkan Anda menerapkan kondisi IAM di resource Google Cloud. Dengan IAP, Anda dapat membuat lapisan otorisasi pusat untuk resource Google Cloud yang diakses oleh traffic HTTPS dan SSH/TCP. Dengan IAP, Anda dapat membuat model kontrol akses tingkat resource, bukan mengandalkan firewall tingkat jaringan. Setelah diamankan, resource Anda dapat diakses oleh semua karyawan, dari perangkat apa pun, di jaringan apa pun, yang memenuhi aturan dan ketentuan akses.
Menerapkan kondisi IAM
Dengan IAM Conditions Anda dapat menentukan dan menerapkan kontrol akses berbasis atribut bersyarat untuk resource Google Cloud.
Dengan IAM Conditions, Anda dapat memilih untuk memberikan izin ke akun utama hanya jika kondisi yang dikonfigurasi terpenuhi. IAM Conditions dapat membatasi akses dengan berbagai atribut, termasuk tingkat akses.
Kondisi ditentukan dalam binding peran IAP pada kebijakan IAM resource. Jika suatu kondisi ada, peran hanya diberikan jika ekspresi kondisi bernilai benar (true). Setiap ekspresi kondisi didefinisikan sebagai serangkaian pernyataan logika yang memungkinkan Anda menentukan satu atau beberapa atribut untuk diperiksa.
Langkah selanjutnya
- Mulai gunakan BeyondCorp Enterprise menggunakan quickstart.
- Pelajari lebih lanjut:
- Amankan aplikasi Google Workspace Anda dengan BeyondCorp Enterprise.