Aplica BeyondCorp Enterprise a recursos en la nube

Antes de comenzar

Antes de que tus apps y recursos se adapten al contexto, deberás hacer lo siguiente:

1. Si aún no tienes cuentas de usuario de Cloud Identity en tu organización, crea algunas cuentas de Cloud Identity.

2. Determina el recurso que deseas proteger. Configura una de las siguientes opciones si no tienes un recurso.

   • Una aplicación web que se ejecuta detrás de un balanceador de cargas HTTPS en Google Cloud Esto incluye aplicaciones web como aplicaciones de App Engine, apps que se ejecutan de forma local y apps que se ejecutan en otra nube.
   • Una máquina virtual en Google Cloud.

3. Determina los principales a los que deseas otorgar y limitar el acceso.

Si te interesa proteger las apps de Google Workspace, consulta la descripción general de BeyondCorp Enterprise en Google Workspace.

Protege tus apps y recursos con IAP

Identity-Aware Proxy (IAP) establece una capa central de reconocimiento de la identidad para las apps y los recursos a los que se accede mediante HTTPS y TCP. Esto significa que puedes controlar el acceso en cada aplicación y recurso en lugar de usar firewalls a nivel de red.

Selecciona una de las siguientes guías para proteger tu app de Google Cloud y todos sus recursos:

• Entorno estándar y flexible de App Engine
• Compute Engine
• Google Kubernetes Engine

También puedes ampliar IAP a entornos que no sean de Google Cloud, como locales o a otras nubes. Para obtener más información, consulta la guía Protege apps locales.

Para obtener más información, consulta la documentación de IAP.

Recursos de máquina virtual

Puedes controlar el acceso a los servicios administrativos, como SSH y RDP, en tus backends mediante la configuración de los permisos para los recursos del túnel y la creación de túneles que enruten el tráfico de TCP a través de IAP a las instancias de máquinas virtuales.

Para proteger una máquina virtual, consulta la guía Protege máquinas virtuales.

Crea un nivel de acceso con Access Context Manager

Una vez que hayas protegido tus apps y recursos con IAP, es momento de establecer políticas de acceso enriquecidas con niveles de acceso.

Access Context Manager crea niveles de acceso. Los niveles de acceso pueden limitar el acceso en función de los siguientes atributos:

• Subredes de IP
• regiones
• Dependencia de nivel de acceso
• Principales
• Política de dispositivo (ten en cuenta que se debe configurar Endpoint Verification)

Crea un nivel de acceso con la guía Crea un nivel de acceso.

Aplica niveles de acceso

Un nivel de acceso no tendrá efecto hasta que lo apliques en una política de administración de identidades y accesos (IAM) de recursos protegidos por IAP. Para ello, se agrega una Condición de IAM en la función de IAP que se usa para otorgar acceso a tu recurso.

Para aplicar tu nivel de acceso, consulta Aplica niveles de acceso.

Una vez que hayas aplicado tu nivel de acceso, tus recursos estarán protegidos con BeyondCorp Enterprise.

Habilita la confianza y seguridad del dispositivo con la verificación de extremos

Para reforzar aún más la seguridad de tus recursos protegidos de BeyondCorp Enterprise, puedes aplicar atributos de control de acceso seguridad y confianza basadas en el dispositivo con niveles de acceso. La Verificación de extremos habilita este control.

La verificación de extremos es una extensión de Chrome para dispositivos con Windows, Mac y el Sistema operativo Chrome. Access Context Manager hace referencia a los atributos del dispositivo que recopila la verificación de extremos para aplicar un control de acceso detallado con niveles de acceso.

Sigue la guía de inicio rápido de verificación de extremos a fin de configurar la verificación de extremos para tu organización.