BeyondCorp Enterprise-Zugriffsschutz – Übersicht

Basierend auf dem Sicherheitsmodell von BeyondCorp ist BeyondCorp Enterprise ein Ansatz, der eine Reihe von Google Cloud-Angeboten nutzt, um eine detaillierte Zugriffssteuerung anhand der Nutzeridentität und des Kontexts der Anfrage durchzusetzen.

Abhängig von der Richtlinienkonfiguration kann die vertrauliche Anwendung oder Ressource beispielsweise:

  • Allen Mitarbeitern Zugriff gewähren, wenn sie ein vertrauenswürdiges Unternehmensgerät im Unternehmensnetzwerk verwenden.
  • Den Mitarbeitern der Gruppe Remotezugriff gewähren, wenn sie ein vertrauenswürdiges Unternehmensgerät mit einem sicheren Passwort und mit den aktuellen Patches in einem beliebigen Netzwerk verwenden.
  • Gewähren Sie Administratoren nur über die UI oder die API Zugriff auf die Google Cloud Console, wenn sie von einem Unternehmensnetzwerk stammen.
  • Gewähren Sie Entwicklern SSH-Zugriff auf virtuelle Maschinen.

Wann sollte BeyondCorp Enterprise verwendet werden?

Verwenden Sie BeyondCorp Enterprise, wenn Sie eine detaillierte Zugriffssteuerung basierend auf einer Vielzahl von Attributen und Bedingungen einrichten möchten, einschließlich des verwendeten Geräts und der IP-Adresse. Wenn Sie Ihre Unternehmensressourcen kontextabhängig gestalten, verbessert sich der Sicherheitsstatus.

Sie können BeyondCorp Enterprise auch auf Google Workspace-Anwendungen anwenden. Weitere Informationen zur Implementierung von BeyondCorp Enterprise mit Google Workspace finden Sie in der Übersicht zum Google-Arbeitsbereich.

So funktioniert BeyondCorp Enterprise

Die Implementierung von BeyondCorp Enterprise erfordert ein Zero-Trust-Modell. Niemand kann auf Ihre Ressourcen zugreifen, es sei denn, sie erfüllen alle Regeln und Bedingungen. Statt Ihre Ressourcen auf Netzwerkebene zu sichern, werden sie stattdessen auf einzelne Geräte und Nutzer abgestimmt.

Cloud IAP ist die Basis von BeyondCorp Enterprise. Damit können Sie Mitgliedern Zugriff auf Ihre HTTPS-Anwendungen und -Ressourcen gewähren. Nachdem Sie Ihre Anwendungen und Ressourcen hinter IAP gesichert haben, kann Ihre Organisation BeyondCorp Enterprise schrittweise erweitern, wenn umfangreichere Regeln erforderlich sind. Erweiterte BeyondCorp Enterprise-Ressourcen können den Zugriff basierend auf Attributen wie Nutzergeräteattributen, Tageszeit und Anfragepfad beschränken.

BeyondCorp Enterprise verwendet vier Google Cloud-Angebote:

BeyondCorp Enterprise-Ablauf

Geräteinformationen erfassen

Die Endpunktprüfung erfasst Informationen zu Mitarbeitergeräten, einschließlich Verschlüsselungsstatus, Betriebssystem und Nutzerdetails. Nach der Aktivierung über die Google Workspace Admin-Konsole können Sie die Chrome-Erweiterung "Endpoint Verification" für die Endpunkte bereitstellen. Mitarbeiter können die Erweiterung auch auf ihren verwalteten privaten Geräten installieren. Diese Erweiterung erfasst und meldet Geräteinformationen, und synchronisiert fortlaufend mit Google Workspace. Das Ergebnis ist ein Inventar aller Unternehmens- und privaten Geräte, die auf die Unternehmensressourcen zugreifen.

Zugriff einschränken

Über Access Context Manager werden Zugriffsebenen erstellt, um Zugriffsregeln zu definieren. Auf Ressourcen angewendete Zugriffsebenen mit IAM-Bedingungen erzwingen eine detaillierte Zugriffssteuerung für verschiedene Attribute.

Zugriffsebenen beschränken den Zugriff anhand der folgenden Attributen:

Wenn Sie eine gerätebasierte Zugriffsebene erstellen, verweist Access Context Manager auf das Inventar der Geräte, die von der Endpunktprüfung erstellt werden. Eine Zugriffsebene kann beispielsweise den Zugriff auf Mitarbeiter beschränken, die verschlüsselte Geräte verwenden. In Verbindung mit IAM-Bedingungen können Sie diese Zugriffsebene detaillierter festlegen, indem Sie den Zugriff auf die Zeit zwischen 9:00 und 17:00 Uhr einschränken.

Ressourcen mit IAP sichern

Mit IAP können Sie alles verbinden. Hierfür können Sie IAM-Bedingungen auf Google Cloud-Ressourcen anwenden. Mit IAP können Sie eine zentrale Autorisierungsebene für Ihre Google Cloud-Ressourcen einrichten, auf die über HTTPS- und SSH/TCP-Traffic zugegriffen wird. Mit IAP können Sie ein Zugriffssteuerungsmodell auf Ressourcenebene einrichten, anstatt Firewalls auf Netzwerkebene zu verwenden. Nach der Absicherung sind Ihre Ressourcen für jeden Mitarbeiter von jedem Gerät und über jedes Netzwerk aus zugänglich, das die Zugriffsregeln und -bedingungen erfüllt.

IAM-Bedingungen anwenden

Mit IAM-Bedingungen können Sie eine bedingte, Attribut-basierte Zugriffssteuerung für Google Cloud-Ressourcen definieren und erzwingen.

Mit IAM-Bedingungen können Sie Mitgliedern Berechtigungen erteilen, wenn die konfigurierten Bedingungen erfüllt sind. IAM-Bedingungen können den Zugriff mit einer Vielzahl von Attributen einschränken, einschließlich Zugriffsebenen.

Die Bedingungen werden in den IAP-Rollenbindungen der IAM-Richtlinie einer Ressource festgelegt. Ist eine Bedingung vorhanden, wird die Rolle nur zugewiesen, wenn der Bedingungsausdruck als true ausgewertet wird. Jeder Bedingungsausdruck wird als Satz logischer Anweisungen definiert, in denen Sie ein oder mehrere Attribute angeben können, die geprüft werden sollen.

Nächste Schritte