Basato sul modello di sicurezza BeyondCorp, Chrome Enterprise Premium è un approccio che utilizza varie offerte di Google Cloud per applicare un controllo dell'accesso granulare in base all'identità dell'utente e al contesto della richiesta.
Ad esempio, a seconda della configurazione dei criteri, l'app sensibile o risorsa può:
- Concedi l'accesso a tutti i dipendenti se utilizzano un dispositivo aziendale attendibile da la tua rete aziendale.
- Concedi l'accesso ai dipendenti nel gruppo di accesso remoto se utilizzano una un dispositivo aziendale affidabile con una password sicura e un livello patch aggiornato, da qualsiasi rete.
- Concedi agli amministratori l'accesso alla console Google Cloud (tramite UI o API) solo se provengono da una rete aziendale.
- Concedi agli sviluppatori l'accesso SSH alle macchine virtuali.
Quando utilizzare Chrome Enterprise Premium
Utilizza Chrome Enterprise Premium per stabilire un accesso granulare un controllo basato su un'ampia gamma di attributi e condizioni, tra cui dispositivo utilizzato e da quale indirizzo IP. Ottimizzare le risorse aziendali sensibile al contesto migliora il livello di sicurezza.
Puoi anche applicare Chrome Enterprise Premium alle app di Google Workspace. Per ulteriori informazioni informazioni sull'implementazione di Chrome Enterprise Premium con per Google Workspace, consulta Panoramica di Google Workspace.
Come funziona Chrome Enterprise Premium
L'implementazione di Chrome Enterprise Premium applica un modello Zero Trust. Nessuno può accedere le risorse, a meno che non soddisfino tutte le regole e le condizioni. Invece di la protezione delle risorse a livello di rete, i controlli dell'accesso vengono invece singoli dispositivi e utenti.
IAP è la base di Chrome Enterprise Premium e ti consente l'accesso alle app e alle risorse HTTPS. Dopo aver protetto le app di risorse alla base di IAP, la tua organizzazione può estendere gradualmente Chrome Enterprise Premium perché sono necessarie regole più avanzate. Estesi Le risorse di Chrome Enterprise Premium possono limitare l'accesso in base a proprietà come l'utente attributi dei dispositivi, ora del giorno e percorso di richiesta.
Chrome Enterprise Premium funziona sfruttando quattro offerte di Google Cloud:
Identity-Aware Proxy (IAP): che consente ai dipendenti di accedere ad app e risorse aziendali non attendibili senza VPN.
Identity and Access Management (IAM): l'identità di gestione e autorizzazione di Google Cloud.
Gestore contesto accesso: una regola che consente un controllo dell'accesso granulare.
Verifica degli endpoint: un account Google Estensione di Chrome che raccoglie i dettagli del dispositivo dell'utente.
Raccolta di informazioni sul dispositivo
Verifica degli endpoint raccoglie informazioni sui dispositivi dei dipendenti, compresa la crittografia stato, sistema operativo e dettagli utente. Una volta attivata tramite la Console di amministrazione Google, puoi implementare l'estensione di Chrome Verifica degli endpoint nei dispositivi mobili. I dipendenti possono anche installarla sui propri dispositivi gestiti e personali. Questa estensione raccoglie e segnala le informazioni del dispositivo, sincronizzandosi costantemente con Google Workspace. Il risultato finale è un inventario di tutte le risorse e i dispositivi personali che accedono alle risorse aziendali.
Limitazione dell'accesso
Tramite Gestore contesto accesso, livelli di accesso vengono create per definire le regole di accesso. Livelli di accesso applicati alle tue risorse con le condizioni IAM applicare un controllo dell'accesso granulare in base a una varietà di attributi.
I livelli di accesso limitano l'accesso in base ai seguenti attributi:
Quando crei un livello di accesso basato sul dispositivo, Gestore contesto accesso fa riferimento l'inventario dei dispositivi creati da Endpoint Verification. Ad esempio, un accesso di Google Cloud può limitare l'accesso solo ai dipendenti che utilizzano dispositivi criptati. Abbinato a Condizioni IAM, è possibile rendere questo livello di accesso più granulare limitando anche l'accesso ai tra le 9 e le 17.
Protezione delle risorse con IAP
Legami IAP il tutto consentendoti di applicare IAM di archiviazione sulle risorse Google Cloud. IAP consente di stabilire un livello di autorizzazione centrale Risorse Google Cloud a cui si accede tramite traffico HTTPS e SSH/TCP. Con IAP, puoi definire un modello di controllo dell'accesso a livello di risorsa anziché fare affidamento su firewall a livello di rete. Una volta protette, le risorse vengono accessibile a tutti i dipendenti, da qualsiasi dispositivo, su qualsiasi rete, in grado di soddisfare regole e condizioni di accesso.
Applicazione delle condizioni IAM in corso...
Condizioni IAM di definire e applicare condizionali, dell'controllo dell'accesso basato su attributi per le risorse Google Cloud.
Con le condizioni IAM puoi scegliere di concedere autorizzazioni solo se le condizioni configurate sono soddisfatte. Condizioni IAM può limitare l'accesso con una varietà di attributi, tra cui i livelli di accesso.
Le condizioni sono specificate nelle associazioni dei ruoli IAP del criterio IAM. In presenza di una condizione, il ruolo viene concesso solo se l'espressione della condizione restituisce true. Ogni espressione della condizione è definita un insieme di istruzioni logiche che consentono di specificare uno o più attributi controllo.
Passaggi successivi
- Inizia a utilizzare Chrome Enterprise Premium utilizzando il guida rapida.
- Scopri di più su:
- Proteggere le app di Google Workspace con Chrome Enterprise Premium.