Buat dan tetapkan tingkat akses kustom menggunakan data Falcon ZTA

Dokumen ini menunjukkan cara membuat tingkat akses kustom berbasis perangkat menggunakan data Falcon ZTA dan menetapkan tingkat akses tersebut ke resource organisasi Anda.

Sebelum memulai

Siapkan integrasi BeyondCorp Enterprise dan Falcon ZTA.
Upgrade ke BeyondCorp Enterprise Premium, yang merupakan langganan berbayar BeyondCorp Enterprise. Untuk melakukan upgrade, hubungi tim penjualan kami.
Pastikan Anda memiliki salah satu peran Identity and Access Management berikut:
- Admin Access Context Manager (roles/accesscontextmanager.policyAdmin)
- Editor Access Context Manager (roles/accesscontextmanager.policyEditor)
Pahami objek dan atribut yang digunakan untuk membangun ekspresi Common Expression Language (CEL) untuk tingkat akses kustom. Untuk mengetahui detailnya, lihat Spesifikasi tingkat akses kustom.

Buat tingkat akses kustom

Anda dapat membuat tingkat akses dengan satu atau beberapa kondisi. Jika Anda ingin perangkat pengguna memenuhi beberapa kondisi (AND logis dari kondisi), buat tingkat akses yang berisi semua kondisi yang diperlukan.

Untuk membuat tingkat akses kustom baru menggunakan data yang disediakan oleh Falcon ZTA, lakukan hal berikut:

Buka halaman Access Context Manager di Konsol Google Cloud.
Buka Access Context Manager
Jika diminta, pilih organisasi Anda.
Di halaman Access Context Manager, klik New.
Di panel New Access Level, masukkan opsi berikut:
1. Di kolom Judul tingkat akses, masukkan judul untuk tingkat akses. Judul harus berisi maksimal 50 karakter, diawali dengan huruf, dan hanya dapat berisi angka, huruf, garis bawah, serta spasi.
2. Di bagian Buat Kondisi di, pilih Mode Lanjutan.
3. Di bagian Kondisi, masukkan ekspresi untuk tingkat akses kustom Anda. Kondisi tersebut harus di-resolve menjadi satu nilai boolean.
  Untuk menemukan kolom CrowdStrike yang tersedia untuk ekspresi CEL, Anda dapat meninjau data Falcon ZTA yang dikumpulkan untuk perangkat Anda.
  Contoh
  Ekspresi CEL berikut membuat aturan yang mengizinkan akses hanya dari perangkat yang dikelola ZTA Falcon dengan skor penilaian OS di atas 50:
```
device.vendors["CrowdStrike"].is_managed_device == true && device.vendors["CrowdStrike"].data["assessment.os"] > 50.0
```
  Ekspresi CEL berikut membuat aturan yang mengizinkan akses hanya dari perangkat yang dinilai oleh Falcon ZTA dalam dua hari terakhir. Kolom iat (diterbitkan pada) disediakan sebagai bagian dari penilaian zero-trust Falcon ZTA.
```
request.time - timestamp(device.vendors["CrowdStrike"].data["iat"]) < duration("48h")
      
```
  Catatan: Sebaiknya tetapkan nilai lebih dari 90 menit untuk duration karena BeyondCorp Enterprise memiliki penundaan bawaan selama 90 menit untuk mendapatkan penilaian baru oleh Falcon ZTA.
  
  Ekspresi CEL berikut membuat aturan yang mengizinkan akses hanya dari perangkat yang masa berlaku penilaian Falcon ZTA-nya belum berakhir. Kolom exp (masa berlaku habis) disediakan sebagai bagian dari penilaian zero-trust Falcon ZTA.
```
timestamp(device.vendors["CrowdStrike"].data["exp"]) - request.time > duration("0m")
       
```
  Untuk mengetahui contoh dan informasi selengkapnya tentang dukungan Common Expression Language (CEL) dan tingkat akses kustom, lihat Spesifikasi tingkat akses kustom.
4. Klik Simpan.

Tetapkan tingkat akses kustom

Anda dapat menetapkan tingkat akses kustom untuk mengontrol akses ke aplikasi. Aplikasi tersebut mencakup aplikasi Google Workspace dan aplikasi yang dilindungi oleh Identity-Aware Proxy di Google Cloud (juga dikenal sebagai resource yang diamankan oleh IAP). Anda dapat menetapkan satu atau beberapa tingkat akses untuk aplikasi. Jika Anda memilih beberapa tingkat akses, perangkat pengguna hanya perlu memenuhi kondisi di salah satu tingkat akses yang akan diberikan akses ke aplikasi.

Tetapkan tingkat akses kustom untuk aplikasi Google Workspace

Tetapkan tingkat akses untuk aplikasi Google Workspace dari konsol Admin Google Workspace:

Dari Halaman beranda konsol Admin, buka Keamanan > Akses Kontekstual.
Buka Akses Kontekstual
Klik Tetapkan tingkat akses.

Anda akan melihat daftar aplikasi.
Di bagian Unit organisasi, pilih unit organisasi atau grup Anda.
Pilih aplikasi yang ingin Anda tetapkan tingkat aksesnya, lalu klik Tetapkan.

Anda akan melihat daftar semua tingkat akses. Tingkat akses adalah resource bersama antara Google Workspace, Cloud Identity, dan Google Cloud, sehingga Anda mungkin melihat tingkat akses yang tidak Anda buat dalam daftar.
Pilih satu atau beberapa tingkat akses untuk aplikasi.
Untuk menerapkan tingkat akses ke pengguna di aplikasi desktop dan seluler (serta di browser), pilih Terapkan untuk aplikasi seluler dan desktop Google. Kotak centang ini hanya berlaku untuk aplikasi bawaan.
Klik Simpan. Nama tingkat akses akan ditampilkan dalam daftar tingkat akses yang ditetapkan di samping aplikasi.

Menetapkan tingkat akses kustom untuk resource yang diamankan oleh IAP

Guna menetapkan tingkat akses untuk resource yang diamankan oleh IAP dari Konsol Google Cloud, ikuti petunjuk di Menerapkan tingkat akses untuk resource yang diamankan oleh IAP.