Basato sul modello di sicurezza BeyondCorp, Chrome Enterprise Premium è un approccio che utilizza una varietà di offerte di Google Cloud per applicare un controllo granulare degli accessi in base all'identità dell'utente e al contesto della richiesta.
Ad esempio, a seconda della configurazione dei criteri, l'app o la risorsa sensibile può:
- Concedi l'accesso a tutti i dipendenti se utilizzano un dispositivo aziendale attendibile della rete aziendale.
- Concedi l'accesso ai dipendenti del gruppo Accesso remoto se utilizzano un dispositivo aziendale attendibile con una password sicura e un livello patch aggiornato, da qualsiasi rete.
- Concedi agli amministratori l'accesso alla console Google Cloud (tramite UI o API) solo se provengono da una rete aziendale.
- Concedi agli sviluppatori l'accesso SSH alle macchine virtuali.
Quando utilizzare Chrome Enterprise Premium
Utilizza Chrome Enterprise Premium per stabilire un controllo dell'accesso granulare in base a un'ampia gamma di attributi e condizioni, incluso il dispositivo in uso e l'indirizzo IP. Rendere le risorse aziendali sensibili al contesto migliora il livello di sicurezza.
Puoi anche applicare Chrome Enterprise Premium alle app di Google Workspace. Per saperne di più sull'implementazione di Chrome Enterprise Premium con Google Workspace, consulta la panoramica di Google Workspace.
Come funziona Chrome Enterprise Premium
L'implementazione di Chrome Enterprise Premium applica un modello Zero Trust. Nessuno può accedere alle tue risorse se non soddisfano tutte le regole e le condizioni. Invece di proteggere le risorse a livello di rete, i controlli dell'accesso vengono applicati ai singoli dispositivi e utenti.
IAP è la base di Chrome Enterprise Premium e ti consente di concedere l'accesso alle app e alle risorse HTTPS. Dopo aver protetto le app e le risorse dietro IAP, la tua organizzazione potrà estendere gradualmente Chrome Enterprise Premium man mano che sono necessarie regole più avanzate. Le risorse di Chrome Enterprise Premium estese possono limitare l'accesso in base a proprietà come attributi del dispositivo utente, ora del giorno e percorso di richiesta.
Chrome Enterprise Premium funziona sfruttando quattro offerte di Google Cloud:
Identity-Aware Proxy (IAP): un servizio che consente ai dipendenti di accedere ad app e risorse aziendali da reti attendibili senza utilizzare una VPN.
Identity and Access Management (IAM): il servizio di gestione e autorizzazione delle identità per Google Cloud.
Gestore contesto accesso: un motore delle regole che consente controllo dell'accesso granulare.
Verifica degli endpoint: un'estensione di Google Chrome che raccoglie i dettagli dei dispositivi degli utenti.
Raccolta di informazioni sul dispositivo
La verifica degli endpoint raccoglie le informazioni del dispositivo dei dipendenti, tra cui lo stato della crittografia, il sistema operativo e i dettagli degli utenti. Dopo averla abilitata tramite la Console di amministrazione Google, puoi eseguire il deployment dell'estensione di Chrome Verifica degli endpoint sui dispositivi aziendali. I dipendenti possono anche installarla sui propri dispositivi gestiti e personali. Questa estensione raccoglie e segnala le informazioni del dispositivo, sincronizzandosi costantemente con Google Workspace. Il risultato finale è un inventario di tutti i dispositivi aziendali e personali che accedono alle risorse aziendali.
Limitazione dell'accesso
Tramite Gestore contesto accesso, vengono creati livelli di accesso per definire le regole di accesso. I livelli di accesso applicati alle risorse con le condizioni IAM applicano un controllo dell'accesso granulare in base a una serie di attributi.
I livelli di accesso limitano l'accesso in base ai seguenti attributi:
Quando crei un livello di accesso basato sul dispositivo, Gestore contesto accesso fa riferimento all'inventario dei dispositivi creati da Verifica degli endpoint. Ad esempio, un livello di accesso può limitare l'accesso solo ai dipendenti che utilizzano dispositivi criptati. In combinazione con le condizioni IAM, puoi rendere questo livello di accesso più granulare limitando l'accesso all'orario compreso tra le 9 e le 17.
Protezione delle risorse con IAP
IAP collega tutto ciò consentendoti di applicare condizioni IAM alle risorse Google Cloud. IAP consente di stabilire un livello di autorizzazione centrale per le risorse Google Cloud a cui si accede tramite traffico HTTPS e SSH/TCP. Con IAP, puoi stabilire un modello di controllo dell'accesso dell'accesso a livello di risorsa anziché utilizzare firewall a livello di rete. Una volta protette, le risorse sono accessibili a qualsiasi dipendente, da qualsiasi dispositivo e su qualsiasi rete, che soddisfi le regole e le condizioni di accesso.
Applicazione delle condizioni IAM in corso...
Le condizioni IAM consentono di definire e applicare forzatamente il controllo dell'accesso condizionale basato su attributi per le risorse Google Cloud.
Con le condizioni IAM puoi scegliere di concedere le autorizzazioni alle entità solo se sono soddisfatte le condizioni configurate. Le condizioni IAM possono limitare l'accesso con una varietà di attributi, tra cui i livelli di accesso.
Le condizioni sono specificate nelle associazioni di ruolo IAP del criterio IAM di una risorsa. In presenza di una condizione, il ruolo viene concesso solo se l'espressione della condizione è true. Ogni espressione di condizione è definita come insieme di istruzioni logiche che consentono di specificare uno o più attributi da verificare.
Passaggi successivi
- Inizia a utilizzare Chrome Enterprise Premium mediante la quickstart.
- Scopri di più su:
- Proteggi le tue app Google Workspace con Chrome Enterprise Premium.