Appliquer Chrome Enterprise Premium aux ressources cloud
Cette page présente les grandes étapes à suivre pour appliquer Chrome Enterprise Premium à entre vos ressources Google Cloud et vos ressources sur site.
Pour savoir comment Chrome Enterprise Premium exploite d'autres les offres Google Cloud, consultez les Présentation de la protection des accès de Chrome Enterprise Premium
Avant de commencer
Avant de rendre vos applications et vos ressources contextuelles, vous devez effectuer les opérations suivantes :
Si vous ne possédez pas encore de comptes utilisateur Cloud Identity dans votre organisation, créez-en quelques-uns.
Identifiez une ressource que vous souhaitez protéger. Configurez l'un des éléments suivants si vous n'avez pas de ressource.
- Une application Web exécutée derrière un équilibreur de charge HTTPS sur Google Cloud. Cela inclut les applications Web telles que les applications App Engine, les applications sur site et les applications s'exécutant dans un autre cloud.
- Une machine virtuelle sur Google Cloud.
Déterminez les comptes principaux auxquels vous souhaitez accorder l'accès et ceux dont vous souhaitez limiter l'accès.
Si vous souhaitez sécuriser les applications Google Workspace, consultez le Présentation de Google Workspace Chrome Enterprise Premium
Sécuriser vos applications et vos ressources avec IAP
Identity-Aware Proxy (IAP) établit une couche centralisée de détection de l'identité pour les applications et aux ressources accessibles via HTTPS et TCP. Cela signifie que vous pouvez contrôler l'accès sur chaque application et ressource au lieu d'utiliser des pare-feu au niveau du réseau.
Sécurisez votre application Google Cloud et toutes ses ressources en sélectionnant l'un des guides suivants :
Vous pouvez également étendre IAP à des environnements autres que Google Cloud, tels que l'environnement sur site ou d'autres clouds. Pour en savoir plus, consultez le guide Sécuriser des applications sur site.
Pour en savoir plus, consultez la documentation IAP.
Ressources de machine virtuelle
Vous pouvez contrôler l'accès aux services d'administration tels que SSH et RDP sur vos backends en définissant des autorisations de ressources acheminées par tunnel et en créant des tunnels acheminant le trafic TCP via IAP vers des instances de machine virtuelle.
Pour sécuriser une machine virtuelle, consultez le guide Sécuriser des machines virtuelles.
Créer un niveau d'accès avec Access Context Manager
Une fois que vous avez sécurisé vos applications et vos ressources avec IAP, il est temps de définir des stratégies d'accès plus riches avec des niveaux d'accès.
Access Context Manager crée des niveaux d'accès. Les niveaux d'accès peuvent limiter l'accès en fonction des attributs suivants :
- Sous-réseaux IP
- Régions
- Dépendance du niveau d'accès
- Comptes principaux
- Règles relatives aux appareils : notez que la validation des points de terminaison doit être configurée.
Créez un niveau d'accès en suivant les instructions du guide Créer un niveau d'accès.
Appliquer des niveaux d'accès
Un niveau d'accès ne prend effet que lorsque vous l'appliquez à la stratégie Identity and Access Management (IAM) de ressources sécurisées par IAP. Cette étape consiste à ajouter une condition IAM au rôle IAP utilisé pour accorder l'accès à votre ressource.
Pour appliquer votre niveau d'accès, consultez la section Appliquer des niveaux d'accès.
Une fois que vous avez appliqué votre niveau d'accès, vos ressources sont désormais sécurisées Chrome Enterprise Premium.
Activer la sécurité et la confiance des appareils avec la validation des points de terminaison
Pour renforcer la sécurité de vos ressources sécurisées Chrome Enterprise Premium, vous pouvez appliquer des attributs de confiance et de contrôle des accès basés sur les appareils et des niveaux d'accès. La validation des points de terminaison active ce contrôle.
La validation des points de terminaison est une extension Chrome pour les appareils Windows, Mac et Chrome OS. Access Context Manager fait référence aux attributs de l'appareil collectés par la validation des points de terminaison pour appliquer un contrôle d'accès précis avec des niveaux d'accès.
Suivez le guide de démarrage rapide de la validation des points de terminaison afin de configurer la validation de points de terminaison pour votre organisation.
Effectuer un nettoyage
Pour éviter que les ressources utilisées sur cette page soient facturées sur votre compte Google Cloud, procédez comme suit :
Étape suivante
- Configurez les journaux d'audit Cloud.