Visão geral da proteção de acesso do BeyondCorp Enterprise

Com base no modelo de segurança BeyondCorp, o BeyondCorp Enterprise é uma abordagem que usa uma variedade de ofertas do Google Cloud para aplicar o controle de acesso granular com base na identidade de um usuário e no contexto da solicitação.

Por exemplo, dependendo da configuração da política, seu app ou recurso confidencial pode:

  • conceder acesso a todos os funcionários se eles estiverem usando um dispositivo corporativo confiável na rede local;
  • conceder acesso aos funcionários no grupo Acesso remoto se eles estiverem usando um dispositivo corporativo confiável com uma senha segura e um nível de patch atualizado a partir de qualquer rede;
  • conceder aos administradores acesso ao Console do Google Cloud (via IU ou API) somente se vierem de uma rede corporativa;
  • conceder aos desenvolvedores acesso SSH para máquinas virtuais.

Quando usar o BeyondCorp Enterprise

Use o BeyondCorp Enterprise quando você quiser estabelecer um controle de acesso detalhado com base em uma ampla variedade de atributos e condições, incluindo qual dispositivo está sendo usado e a partir de qual endereço IP. Tornar seus recursos corporativos sensíveis ao contexto melhora a postura de segurança.

Você também pode aplicar o BeyondCorp aos aplicativos do espaço de trabalho do Google. Para mais informações sobre como implementar o BeyondCorp Enterprise com o espaço de trabalho do Google, consulte a Visão geral do espaço de trabalho do Google.

Como o BeyondCorp Enterprise funciona

A implementação do BeyondCorp Enterprise envolve um modelo de confiança zero. Ninguém pode acessar seus recursos a menos que atenda a todas as regras e condições. Em vez de proteger seus recursos no nível da rede, os controles de acesso são colocados em dispositivos e usuários individuais.

O IAP é a base do BeyondCorp Enterprise, permitindo que você conceda aos membros acesso aos seus apps e recursos HTTPS. Depois de proteger seus aplicativos e recursos por trás do IAP, sua organização pode estender gradualmente o BeyondCorp Enterprise à medida que regras mais avançadas são necessárias. Os recursos estendidos do BeyondCorp Enterprise podem limitar o acesso com base em propriedades como atributos do dispositivo do usuário, hora do dia e caminho da solicitação.

O BeyondCorp Enterprise aproveita quatro ofertas do Google Cloud:

Fluxo do BeyondCorp Enterprise

Como coletar informações do dispositivo

A Verificação de endpoints coleta as informações do dispositivo dos funcionários, incluindo o status de criptografia, o SO e os detalhes do usuário. Depois de ativada por meio do Admin Console do espaço de trabalho do Google, é possível implantar a extensão do Chrome de Verificação de endpoints em dispositivos corporativos. Os funcionários também podem instalá-los nos dispositivos gerenciados e pessoais. Essa extensão reúne e registra as informações do dispositivo enquanto faz uma sincronização constante com o Google Workspace. O resultado final é um inventário de todos os dispositivos corporativos e pessoais que acessam seus recursos corporativos.

Como limitar o acesso

Por meio do Access Context Manager, são criados níveis de acesso para definir regras de acesso. Os níveis de acesso aplicados aos recursos com Condições do IAM aplicam o controle de acesso refinado com base em vários atributos.

Os níveis de acesso restringem o acesso com base nos seguintes atributos:

Quando você cria um nível de acesso baseado em dispositivo, o Access Context Manager faz referência ao inventário de dispositivos criados pela Verificação de endpoints. Por exemplo, um nível de acesso pode restringir o acesso apenas a funcionários que usam dispositivos criptografados. Com as condições do IAM, é possível tornar esse nível de acesso mais granular ao restringir o acesso ao horário entre 9h e 17h.

Como proteger recursos com o IAP

O IAP une tudo, permitindo que você aplique condições do IAM aos recursos do Google Cloud. O IAP permite estabelecer uma camada de autorização central para seus recursos do Google Cloud acessados pelo tráfego HTTPS e SSH/TCP. Com o IAP, é possível estabelecer um modelo de controle de acesso no nível do recurso em vez de confiar em firewalls de rede. Depois de protegidos, os recursos ficam acessíveis para qualquer funcionário, de qualquer dispositivo e em qualquer rede, que atenda às regras e condições de acesso.

Como aplicar as condições do IAM

As Condições do IAM permitem que você defina e aplique o controle de acesso condicional e baseado em atributos para recursos do Google Cloud.

Com as condições do IAM, você pode conceder permissões aos membros somente se as condições configuradas forem atendidas. As condições do IAM podem limitar o acesso a diversos atributos, incluindo os níveis de acesso.

As condições são especificadas nas vinculações de papéis do IAP da política do IAM de um recurso. Quando uma condição existe, o papel é concedido somente se a expressão de condição for avaliada como true. Cada expressão é definida como um conjunto de instruções lógicas que permitem especificar um ou vários atributos a serem verificados.

A seguir