Chrome Enterprise Premium auf Cloud-Ressourcen anwenden
Auf dieser Seite werden die allgemeinen Schritte zur Anwendung von Chrome Enterprise Premium für Ihre Google Cloud- und lokalen Ressourcen.
Informationen dazu, wie Chrome Enterprise Premium andere Google Cloud-Angebote nutzt, finden Sie in der Übersicht über den Chrome Enterprise Premium-Zugriffsschutz.
Hinweise
Um Anwendungen und Ressourcen kontextsensitiv zu gestalten benötigen Sie:
Wenn Sie noch keine Cloud Identity-Nutzerkonten in Ihrer Organisation haben, erstellen Sie ein paar Cloud Identity-Konten.
Bestimmen Sie eine zu schützende Ressource. Konfigurieren Sie eines der folgenden Elemente, falls Sie keine Ressource haben.
- Eine Webanwendung, die hinter einem HTTPS-Load-Balancer in Google Cloud ausgeführt wird. Dazu gehören Webanwendungen wie App Engine-Anwendungen, lokal ausgeführte Anwendungen und Anwendungen, die in einer anderen Cloud ausgeführt werden.
- Eine virtuelle Maschine in Google Cloud.
Legen Sie die Hauptkonten fest, für die Sie Zugriff gewähren und beschränken möchten.
Informationen zum Schutz von Google Workspace-Anwendungen finden Sie in den Google Workspace Chrome Enterprise Premium – Übersicht
Anwendungen und Ressourcen mit IAP schützen.
Identity-Aware Proxy (IAP) richtet eine zentrale IAP-Ebene für Anwendungen und Ressourcen ein, auf die über HTTPS und TCP zugegriffen wird. Das bedeutet, dass Sie den Zugriff für jede einzelne Anwendung und Ressource steuern können, anstatt Firewalls auf Netzwerkebene zu verwenden.
Schützen Sie Ihre Google Cloud-Anwendung und alle zugehörigen Ressourcen auf eine der folgenden Arten:
Sie können IAP auch auf Nicht-Google Cloud-Umgebungen wie lokale Umgebungen oder andere Clouds ausweiten. Weitere Informationen finden Sie unter Lokale Anwendungen sichern.
Weitere Informationen finden Sie in der IAP-Dokumentation.
VM-Ressourcen
Sie können den Zugriff auf administrative Dienste wie SSH und RDP auf Ihren Back-Ends steuern. Dazu legen Sie Berechtigungen für Tunnelressourcen fest und erstellen Tunnel, die den TCP-Traffic über IAP an VM-Instanzen weiterleiten.
Informationen zum Sichern virtueller Maschinen finden Sie unter Virtuelle Maschinen sichern.
Zugriffsebene mit Access Context Manager erstellen
Sobald Sie Ihre Anwendungen und Ressourcen mit IAP gesichert haben, sollten Sie detailliertere Zugriffsrichtlinien mit Zugriffsebenen festlegen.
Der Access Context Manager erstellt Zugriffsebenen. Der Zugriff kann nach folgenden Attributen eingeschränkt werden:
- IP-Subnetzwerke
- Regionen
- Abhängigkeit von Zugriffsebenen
- Hauptkonten
- Geräterichtlinie: Beachten Sie, dass die Endpunktprüfung eingerichtet sein muss.
Erstellen Sie eine Zugriffsebene gemäß der Anleitung in Zugriffsebenen erstellen.
Zugriffsebenen anwenden
Zugriffsebenen werden erst wirksam, nachdem sie auf die IAM-Richtlinie (Identitäts- und Zugriffsverwaltung) einer IAP-Ressource angewendet wurden. Dazu fügen Sie der IAP-Rolle, über die der Zugriff auf Ihre Ressource gewährt wird, eine IAM-Bedingung hinzu.
Informationen zum Anwenden Ihrer Zugriffsebene finden Sie unter Zugriffsebenen anwenden.
Nach dem Anwenden der Zugriffsebene sind Ihre Ressourcen durch Chrome Enterprise Premium gesichert.
Mit Endpunktprüfung Gerätevertrauen und -sicherheit ermöglichen
Wenn Sie die Sicherheit Ihrer Chrome Enterprise Premium-Ressourcen weiter erhöhen möchten, können Sie gerätebasierte Attribute für Vertrauen und Sicherheit mit Zugriffsebenen. Dies wird durch die Endpunktprüfung ermöglicht.
Endpoint Verification ist eine Chrome-Erweiterung für Windows-, Mac- und Chrome OS-Geräte. Access Context Manager verweist auf die von Endpoint Verification erfassten Geräteattribute, um eine detaillierte Zugriffssteuerung mit Zugriffsebenen zu erzwingen.
Folgen Sie der Kurzanleitung für die Endpunktprüfung, um die Endpunktprüfung für Ihre Organisation einzurichten.
Nächste Schritte
- Cloud-Audit-Logs einrichten