BeyondCorp Enterprise-Zugriffsschutz – Übersicht

Basierend auf dem Sicherheitsmodell von BeyondCorp ist BeyondCorp Enterprise ein Ansatz, der eine Reihe von Google Cloud-Angeboten nutzt, um eine detaillierte Zugriffssteuerung anhand der Nutzeridentität und des Kontexts der Anfrage durchzusetzen.

Abhängig von der Richtlinienkonfiguration kann die vertrauliche Anwendung oder Ressource beispielsweise:

  • Allen Mitarbeitern Zugriff gewähren, wenn sie ein vertrauenswürdiges Unternehmensgerät im Unternehmensnetzwerk verwenden.
  • Den Mitarbeitern der Gruppe Remotezugriff gewähren, wenn sie ein vertrauenswürdiges Unternehmensgerät mit einem sicheren Passwort und mit den aktuellen Patches in einem beliebigen Netzwerk verwenden.
  • Administratoren nur dann Zugriff auf die Google Cloud Console (über UI oder API) gewähren, wenn sie aus einem Unternehmensnetzwerk stammen.
  • Entwicklern SSH-Zugriff auf virtuelle Maschinen gewähren.

Typische Fälle für die Nutzung von BeyondCorp Enterprise

Mit BeyondCorp Enterprise können Sie eine differenzierte Zugriffssteuerung anhand einer Vielzahl von Attributen und Bedingungen einrichten, einschließlich des verwendeten Geräts und der IP-Adresse. Wenn Sie Ihre Unternehmensressourcen kontextsensitiv gestalten, verbessern Sie die Sicherheit.

Sie können BeyondCorp Enterprise auch auf Google Workspace-Anwendungen anwenden. Weitere Informationen zur Implementierung von BeyondCorp Enterprise mit Google Workspace finden Sie in der Google Workspace-Übersicht.

Funktionsweise von BeyondCorp Enterprise

Die Implementierung von BeyondCorp Enterprise implementiert auch ein Zero-Trust-Modell. Ihre Ressourcen sind nur für einen Nutzer zugänglich, wenn er alle Regeln und Bedingungen erfüllt. Anstatt Ihre Ressourcen auf Netzwerkebene zu sichern, wird die Zugriffssteuerung auf individuelle Geräte und Nutzer ausgerichtet.

IAP ist die Basis von BeyondCorp Enterprise, mit der Sie Zugriff auf Ihre HTTPS-Anwendungen und -Ressourcen gewähren können. Sobald Sie Ihre Anwendungen und Ressourcen hinter IAP gesichert haben, kann Ihre Organisation BeyondCorp Enterprise schrittweise erweitern, wenn umfangreichere Regeln erforderlich sind. Mit erweiterten BeyondCorp Enterprise-Ressourcen kann der Zugriff anhand von Attributen wie Nutzergeräteattributen, Tageszeit und Anfragepfad beschränkt werden.

BeyondCorp Enterprise nutzt vier Google Cloud-Angebote:

BeyondCorp Enterprise-Ablauf

Geräteinformationen erfassen

Die Endpunktprüfung erfasst Informationen zu Mitarbeitergeräten, einschließlich Verschlüsselungsstatus, Betriebssystem und Nutzerdetails. Nach der Aktivierung über die Google Workspace Admin-Konsole können Sie die Chrome-Erweiterung "Endpoint Verification" auf Unternehmensgeräten bereitstellen. Mitarbeiter können die Erweiterung auch auf ihren verwalteten privaten Geräten installieren. Diese Erweiterung erfasst und meldet Geräteinformationen, und synchronisiert fortlaufend mit Google Workspace. Das Endergebnis ist ein Inventar aller Unternehmensgeräte und privaten Geräte, die auf Ihre Unternehmensressourcen zugreifen.

Zugriff einschränken

Über Access Context Manager werden Zugriffsebenen erstellt, um Zugriffsregeln zu definieren. Zugriffsebenen, die mit IAM-Bedingungen auf Ihre Ressourcen angewendet werden, erzwingen eine detaillierte Zugriffssteuerung anhand einer Vielzahl von Attributen.

Zugriffsebenen beschränken den Zugriff anhand der folgenden Attributen:

Wenn Sie eine gerätebasierte Zugriffsebene erstellen, verweist Access Context Manager auf das Inventar der Geräte, das von Endpoint Verification erstellt wurde. Beispielsweise kann eine Zugriffsebene den Zugriff auf Mitarbeiter beschränken, die verschlüsselte Geräte verwenden. In Verbindung mit IAM-Bedingungen können Sie diese Zugriffsebene verfeinern, indem Sie den Zugriff auf die Zeit zwischen 9:00 und 17:00 Uhr einschränken.

Ressourcen mit IAP sichern

IAP verknüpft alles, indem Sie IAM-Bedingungen auf Google Cloud-Ressourcen anwenden können. Mit IAP können Sie eine zentrale Autorisierungsebene für Ihre Google Cloud-Ressourcen einrichten, auf die über HTTPS- und SSH/TCP-Traffic zugegriffen wird. Mit IAP können Sie ein Zugriffssteuerungsmodell auf Ressourcenebene einrichten, anstatt sich auf Firewalls auf Netzwerkebene zu verlassen. Nach der Sicherung können Ihre Mitarbeiter von jedem Gerät und von jedem Netzwerk aus auf die Ressourcen zugreifen, die den Zugriffsregeln und -bedingungen entsprechen.

IAM-Bedingungen anwenden

Mit IAM-Bedingungen können Sie eine bedingte, Attribut-basierte Zugriffssteuerung für Google Cloud-Ressourcen definieren und erzwingen.

Mit IAM-Bedingungen können Sie Hauptkonten Berechtigungen erteilen, wenn die konfigurierten Bedingungen erfüllt sind. IAM-Bedingungen können den Zugriff mit einer Vielzahl von Attributen einschränken, einschließlich Zugriffsebenen.

Die Bedingungen werden in den IAP-Rollenbindungen der IAM-Richtlinie einer Ressource festgelegt. Ist eine Bedingung vorhanden, wird die Rolle nur zugewiesen, wenn der Bedingungsausdruck als true ausgewertet wird. Jeder Bedingungsausdruck wird als Satz logischer Anweisungen definiert, in denen Sie ein oder mehrere Attribute angeben können, die geprüft werden sollen.

Nächste Schritte