Appliquer BeyondCorp Enterprise aux ressources cloud

Avant de commencer

Avant de rendre vos applications et vos ressources contextuelles, vous devez effectuer les opérations suivantes :

1. Si vous ne possédez pas encore de comptes utilisateur Cloud Identity dans votre organisation, créez-en quelques-uns.

2. Identifiez une ressource que vous souhaitez protéger. Configurez l'un des éléments suivants si vous n'avez pas de ressource.

   • Une application Web exécutée derrière un équilibreur de charge HTTPS sur Google Cloud. Cela inclut les applications Web telles que les applications App Engine, les applications sur site et les applications s'exécutant dans un autre cloud.
   • Une machine virtuelle sur Google Cloud.

3. Déterminez les comptes principaux auxquels vous souhaitez accorder l'accès et ceux dont vous souhaitez limiter l'accès.

Si vous souhaitez sécuriser les applications Google Workspace, consultez la présentation de BeyondCorp Entreprise pour Google Workspace.

Sécuriser vos applications et vos ressources avec IAP

Identity-Aware Proxy (IAP) établit une couche centrale de reconnaissance d'identité pour les applications et les ressources accessibles via HTTPS et TCP. Cela signifie que vous pouvez contrôler l'accès sur chaque application et ressource au lieu d'utiliser des pare-feu au niveau du réseau.

Sécurisez votre application Google Cloud et toutes ses ressources en sélectionnant l'un des guides suivants :

• Environnement standard et flexible App Engine
• Compute Engine
• Google Kubernetes Engine

Vous pouvez également étendre IAP à des environnements autres que Google Cloud, tels que l'environnement sur site ou d'autres clouds. Pour en savoir plus, consultez le guide Sécuriser des applications sur site.

Pour en savoir plus, consultez la documentation IAP.

Ressources de machine virtuelle

Vous pouvez contrôler l'accès aux services d'administration tels que SSH et RDP sur vos backends en définissant des autorisations de ressources acheminées par tunnel et en créant des tunnels acheminant le trafic TCP via IAP vers des instances de machine virtuelle.

Pour sécuriser une machine virtuelle, consultez le guide Sécuriser des machines virtuelles.

Créer un niveau d'accès avec Access Context Manager

Une fois que vous avez sécurisé vos applications et vos ressources avec IAP, il est temps de définir des stratégies d'accès plus riches avec des niveaux d'accès.

Access Context Manager crée des niveaux d'accès. Les niveaux d'accès peuvent limiter l'accès en fonction des attributs suivants :

• Sous-réseaux IP
• Régions
• Dépendance du niveau d'accès
• Comptes principaux
• Règles relatives aux appareils : notez que la validation des points de terminaison doit être configurée.

Créez un niveau d'accès en suivant les instructions du guide Créer un niveau d'accès.

Appliquer des niveaux d'accès

Un niveau d'accès ne prend effet que lorsque vous l'appliquez à la stratégie Identity and Access Management (IAM) de ressources sécurisées par IAP. Cette étape consiste à ajouter une condition IAM au rôle IAP utilisé pour accorder l'accès à votre ressource.

Pour appliquer votre niveau d'accès, consultez la section Appliquer des niveaux d'accès.

Une fois que vous avez appliqué votre niveau d'accès, vos ressources sont désormais sécurisées avec BeyondCorp Enterprise.

Activer la sécurité et la confiance des appareils avec la validation des points de terminaison

Pour renforcer la sécurité de vos ressources sécurisées BeyondCorp Enterprise, vous pouvez appliquer des attributs de contrôle d'accès de confiance et de sécurité basés sur les appareils avec des niveaux d'accès. La validation des points de terminaison active ce contrôle.

La validation des points de terminaison est une extension Chrome pour les appareils Windows, Mac et Chrome OS. Access Context Manager fait référence aux attributs de l'appareil collectés par la validation des points de terminaison pour appliquer un contrôle d'accès précis avec des niveaux d'accès.

Suivez le guide de démarrage rapide de la validation des points de terminaison afin de configurer la validation de points de terminaison pour votre organisation.