Basato sul modello di sicurezza BeyondCorp, Chrome Enterprise Premium è un approccio che utilizza varie offerte di Google Cloud per applicare un controllo dell'accesso granulare in base all'identità dell'utente e al contesto della richiesta.
Ad esempio, a seconda della configurazione dei criteri, l'app o la risorsa sensibile può:
- Concedi l'accesso a tutti i dipendenti se utilizzano un dispositivo aziendale attendibile dalla rete aziendale.
- Concedi l'accesso ai dipendenti del gruppo Accesso remoto se utilizzano un dispositivo aziendale attendibile con una password sicura e un livello di patch aggiornato, da qualsiasi rete.
- Concedi agli amministratori l'accesso alla console Google Cloud (tramite UI o API) solo se provengono da una rete aziendale.
- Concedi agli sviluppatori l'accesso SSH alle macchine virtuali.
Quando utilizzare Chrome Enterprise Premium
Utilizza Chrome Enterprise Premium per stabilire un accesso granulare un controllo basato su un'ampia gamma di attributi e condizioni, tra cui dispositivo utilizzato e da quale indirizzo IP. Ottimizzare le risorse aziendali sensibile al contesto migliora il livello di sicurezza.
Puoi anche applicare Chrome Enterprise Premium alle app di Google Workspace. Per ulteriori informazioni sull'implementazione di Chrome Enterprise Premium con Google Workspace, consulta la Panoramica di Google Workspace.
Come funziona Chrome Enterprise Premium
L'implementazione di Chrome Enterprise Premium applica un modello Zero Trust. Nessuno può accedere alle tue risorse a meno che non soddisfi tutte le regole e le condizioni. Invece di proteggere le risorse a livello di rete, i controlli di accesso vengono applicati a singoli dispositivi e utenti.
L'IAP è la base di Chrome Enterprise Premium e ti consente di concedere accesso alle tue app e risorse HTTPS. Dopo aver protetto le app di risorse alla base di IAP, la tua organizzazione può estendere gradualmente Chrome Enterprise Premium perché sono necessarie regole più avanzate. Estesi Le risorse di Chrome Enterprise Premium possono limitare l'accesso in base a proprietà come l'utente attributi dei dispositivi, ora del giorno e percorso di richiesta.
Chrome Enterprise Premium funziona sfruttando quattro offerte di Google Cloud:
Identity-Aware Proxy (IAP): un servizio che consente ai dipendenti di accedere ad app e risorse aziendali da reti non attendibili senza utilizzare una VPN.
Identity and Access Management (IAM): il servizio di gestione delle identità e di autorizzazione per Google Cloud.
Gestore contesto accesso: una regola che consente un controllo dell'accesso granulare.
Verifica endpoint: un'estensione di Google Chrome che raccoglie i dettagli dei dispositivi utente.
Raccolta delle informazioni del dispositivo
Verifica degli endpoint raccoglie informazioni sui dispositivi dei dipendenti, compresa la crittografia stato, sistema operativo e dettagli utente. Una volta attivata tramite la Console di amministrazione Google, puoi eseguire il deployment dell'estensione di Chrome Endpoint Verification sui dispositivi dell'azienda. I dipendenti possono installarlo anche sui propri dispositivi personali gestiti. Questa estensione raccoglie e segnala le informazioni del dispositivo, sincronizzandosi costantemente con Google Workspace. Il risultato finale è un inventario di tutte le risorse e i dispositivi personali che accedono alle risorse aziendali.
Limitazione dell'accesso
Tramite Gestore contesto accesso, vengono creati livelli di accesso per definire le regole di accesso. I livelli di accesso applicati alle risorse con le condizioni IAM applicano un controllo granulare degli accessi in base a una serie di attributi.
I livelli di accesso limitano l'accesso in base ai seguenti attributi:
Quando crei un livello di accesso in base al dispositivo, Gestore contesto accesso fa riferimento all'inventario dei dispositivi creato dalla verifica degli endpoint. Ad esempio, un accesso di Google Cloud può limitare l'accesso ai soli dipendenti che usano dispositivi criptati. Abbinato a Condizioni IAM, è possibile rendere questo livello di accesso più granulare limitando anche l'accesso ai tra le 9 e le 17.
Protezione delle risorse con IAP
IAP riunisce tutto in un unico pacchetto consentendoti di applicare le condizioni IAM alle risorse Google Cloud. IAP consente di definire un livello di autorizzazione centrale per le risorse Google Cloud a cui si accede tramite traffico HTTPS e SSH/TCP. Con IAP, puoi stabilire un modello di controllo dell'accesso a livello di risorsa anziché fare affidamento su firewall a livello di rete. Una volta protette, le risorse vengono accessibile a tutti i dipendenti, da qualsiasi dispositivo e rete, in grado di soddisfare regole e condizioni di accesso.
Applicazione delle condizioni IAM
Condizioni IAM di definire e applicare condizionali, dell'controllo dell'accesso basato su attributi per le risorse Google Cloud.
Con le condizioni IAM puoi decidere di concedere autorizzazioni ai principali solo se sono soddisfatte le condizioni configurate. Le condizioni IAM possono limitare l'accesso con una serie di attributi, inclusi i livelli di accesso.
Le condizioni sono specificate nelle associazioni di ruolo IAP dei criteri IAM di una risorsa. In presenza di una condizione, il ruolo viene concesso solo se l'espressione della condizione ha valore true. Ogni espressione di condizione è definita come insieme di istruzioni logiche che consentono di specificare uno o più attributi da verificare.
Passaggi successivi
- Inizia a utilizzare Chrome Enterprise Premium con la guida rapida.
- Scopri di più su:
- Proteggere le app di Google Workspace con Chrome Enterprise Premium.