Panoramica della protezione dell'accesso di BeyondCorp Enterprise

Basato sul modello di sicurezza BeyondCorp, BeyondCorp Enterprise è un approccio che utilizza una varietà di offerte Google Cloud per applicare un controllo dell'accesso granulare in base all'identità dell'utente e al contesto della richiesta.

Ad esempio, a seconda della configurazione dei criteri, l'app o la risorsa sensibile può:

• Concedi l'accesso a tutti i dipendenti che utilizzano un dispositivo aziendale attendibile della rete aziendale.
• Concedi l'accesso ai dipendenti del gruppo di accesso remoto se utilizzano un dispositivo aziendale attendibile con una password sicura e un livello di patch aggiornato, da qualsiasi rete.
• Concedere agli amministratori l'accesso alla console Google Cloud (tramite UI o API) solo se provengono da una rete aziendale.
• Concede agli sviluppatori l'accesso SSH alle macchine virtuali.

Quando utilizzare BeyondCorp Enterprise

Utilizza BeyondCorp Enterprise quando vuoi stabilire un controllo dell'accesso granulare basato su un'ampia gamma di attributi e condizioni, tra cui il dispositivo in uso e l'indirizzo IP. Rendere le risorse aziendali sensibili al contesto migliora la tua strategia di sicurezza.

Puoi anche applicare BeyondCorp Enterprise alle app Google Workspace. Per ulteriori informazioni sull'implementazione di BeyondCorp Enterprise con Google Workspace, consulta la panoramica di Google Workspace.

Come funziona BeyondCorp Enterprise

L'implementazione di BeyondCorp Enterprise applica un modello Zero Trust. Nessuno può accedere alle tue risorse a meno che non soddisfino tutte le regole e condizioni. Anziché proteggere le risorse a livello di rete, i controlli di accesso vengono applicati ai singoli dispositivi e utenti.

IAP è la base di BeyondCorp Enterprise e ti consente di concedere l'accesso alle app e alle risorse HTTPS. Dopo aver protetto le app e le risorse dietro IAP, la tua organizzazione può estendere gradualmente BeyondCorp Enterprise man mano che sono necessarie regole più avanzate. Le risorse estese di BeyondCorp Enterprise possono limitare l'accesso in base a proprietà come gli attributi del dispositivo dell'utente, l'ora del giorno e il percorso di richiesta.

BeyondCorp Enterprise sfrutta quattro offerte Google Cloud:

• Identity-Aware Proxy (IAP): un servizio che consente ai dipendenti di accedere alle app e alle risorse aziendali da reti attendibili senza utilizzare una VPN.

• Identity and Access Management (IAM): il servizio di gestione e autorizzazione delle identità per Google Cloud.

• Gestore contesto accesso: un motore di regole che consente un controllo granulare degli accessi.

• Verifica degli endpoint: un'estensione di Google Chrome che raccoglie i dettagli dei dispositivi utente.

Raccolta di informazioni sui dispositivi

Verifica endpoint raccoglie informazioni sui dispositivi dei dipendenti, tra cui lo stato della crittografia, il sistema operativo e i dettagli utente. Dopo averla attivata tramite la Console di amministrazione Google, puoi eseguire il deployment dell'estensione di Chrome Verifica degli endpoint sui dispositivi aziendali. I dipendenti possono anche installarla sui loro dispositivi personali gestiti. Questa estensione raccoglie e segnala informazioni del dispositivo, sincronizzandosi costantemente con Google Workspace. Il risultato finale è un inventario di tutti i dispositivi aziendali e personali che accedono alle risorse aziendali.

Limitazione dell'accesso

Tramite Gestore contesto accesso, vengono creati livelli di accesso per definire le regole di accesso. I livelli di accesso applicati alle risorse con le condizioni IAM impongono un controllo granulare degli accessi basato su una serie di attributi.

I livelli di accesso limitano l'accesso in base ai seguenti attributi:

• Subnet IP
• Regioni
• Presidi
• Criteri relativi ai dispositivi

Quando crei un livello di accesso basato sui dispositivi, Gestore contesto accesso fa riferimento all'inventario dei dispositivi creati mediante Verifica degli endpoint. Ad esempio, un livello di accesso può limitare l'accesso ai soli dipendenti che utilizzano dispositivi criptati. Insieme alle condizioni IAM, puoi rendere più granulare questo livello di accesso limitando anche l'accesso all'orario compreso tra le 09:00 e le 17:00.

Protezione delle risorse con IAP

IAP collega tutto consentendo di applicare le condizioni IAM alle risorse Google Cloud. IAP consente di stabilire un livello di autorizzazione centrale per le risorse Google Cloud accessibili dal traffico HTTPS e SSH/TCP. Con IAP, puoi stabilire un modello di controllo dell'accesso a livello di risorsa invece di fare affidamento su firewall a livello di rete. Una volta protette, le risorse sono accessibili a qualsiasi dipendente, da qualsiasi dispositivo, su qualsiasi rete che soddisfi le regole e le condizioni di accesso.

Applicazione delle condizioni IAM

Le condizioni IAM consentono di definire e applicare forzatamente il controllo dell'accesso condizionale basato su attributi per le risorse Google Cloud.

Con le condizioni IAM puoi scegliere di concedere le autorizzazioni alle entità solo se sono soddisfatte le condizioni configurate. Le condizioni IAM possono limitare l'accesso con una varietà di attributi, inclusi i livelli di accesso.

Le condizioni sono specificate nelle associazioni di ruoli IAP del criterio IAM di una risorsa. In presenza di una condizione, il ruolo viene concesso solo se l'espressione della condizione ha valore true. Ogni espressione di condizione è definita come un insieme di istruzioni logiche che consentono di specificare uno o più attributi da verificare.

Passaggi successivi

• Inizia a utilizzare BeyondCorp Enterprise mediante la quickstart.
• Scopri di più su:
  • Verifica degli endpoint
  • Gestore contesto accesso
  • Condizioni IAM
  • IAP
• Proteggi le app di Google Workspace con BeyondCorp Enterprise.