Membuat dan menetapkan tingkat akses kustom menggunakan data Falcon ZTA

Dokumen ini menunjukkan cara membuat tingkat akses kustom berbasis perangkat menggunakan data Falcon ZTA dan menetapkan tingkat akses tersebut ke resource organisasi Anda.

Sebelum memulai

Membuat tingkat akses kustom

Anda dapat membuat tingkat akses dengan satu atau beberapa kondisi. Jika Anda ingin perangkat pengguna memenuhi beberapa kondisi (logika DAN kondisi), buat tingkat akses yang berisi semua kondisi yang diperlukan.

Untuk membuat tingkat akses kustom baru menggunakan data yang disediakan oleh Falcon ZTA, lakukan hal berikut:

  1. Buka halaman Access Context Manager di konsol Google Cloud.

    Buka Access Context Manager
  2. Jika diminta, pilih organisasi Anda.
  3. Di halaman Access Context Manager, klik New.
  4. Di panel New Access Level, masukkan informasi berikut:
    1. Di kolom Judul tingkat akses, masukkan judul untuk tingkat akses. Judul harus maksimal 50 karakter, diawali dengan huruf, dan hanya dapat berisi angka, huruf, garis bawah, dan spasi.
    2. Di bagian Create Conditions in, pilih Advanced Mode.
    3. Di bagian Kondisi, masukkan ekspresi untuk tingkat akses kustom Anda. Kondisi harus me-resolve ke satu nilai boolean.

      Untuk menemukan kolom CrowdStrike yang tersedia untuk ekspresi CEL, Anda dapat meninjau data Falcon ZTA yang dikumpulkan untuk perangkat Anda.

      Contoh

      Ekspresi CEL berikut membuat aturan yang hanya mengizinkan akses dari perangkat yang dikelola Falcon ZTA dengan skor penilaian OS lebih tinggi dari 50:

      device.vendors["CrowdStrike"].is_managed_device == true && device.vendors["CrowdStrike"].data["assessment.os"] > 50.0

      Ekspresi CEL berikut membuat aturan yang mengizinkan akses hanya dari perangkat yang dinilai Falcon ZTA dalam dua hari terakhir. Kolom iat (issued at) diberikan sebagai bagian dari penilaian zero trust Falcon ZTA.

      request.time - timestamp(device.vendors["CrowdStrike"].data["iat"]) < duration("48h")
            

      Ekspresi CEL berikut membuat aturan yang hanya mengizinkan akses dari perangkat yang penilaian Falcon ZTA-nya belum habis masa berlakunya. Kolom exp (masa berlaku) diberikan sebagai bagian dari penilaian zero trust Falcon ZTA.

      timestamp(device.vendors["CrowdStrike"].data["exp"]) - request.time > duration("0m")
             

      Untuk contoh dan informasi selengkapnya tentang dukungan Common Expression Language (CEL) dan tingkat akses kustom, lihat Spesifikasi tingkat akses kustom.

    4. Klik Simpan.

Menetapkan tingkat akses kustom

Anda dapat menetapkan tingkat akses kustom untuk mengontrol akses ke aplikasi. Aplikasi ini mencakup aplikasi Google Workspace dan aplikasi yang dilindungi oleh Identity-Aware Proxy di Google Cloud (juga dikenal sebagai resource yang diamankan IAP). Anda dapat menetapkan satu atau beberapa tingkat akses untuk aplikasi. Jika Anda memilih beberapa tingkat akses, perangkat pengguna hanya perlu memenuhi kondisi di salah satu tingkat akses agar diberi akses ke aplikasi.

Menetapkan tingkat akses kustom untuk aplikasi Google Workspace

Tetapkan tingkat akses untuk aplikasi Google Workspace dari konsol Admin Google Workspace:

  1. Dari Halaman beranda konsol Admin, buka Keamanan > Akses Kontekstual.

    Buka Akses Kontekstual
  2. Klik Tetapkan tingkat akses.

    Anda akan melihat daftar aplikasi.

  3. Di bagian Unit organisasi, pilih unit organisasi atau grup Anda.
  4. Pilih aplikasi yang ingin Anda tetapkan tingkat aksesnya, lalu klik Tetapkan.

    penetapan tingkat akses

    Anda akan melihat daftar semua tingkat akses. Tingkat akses adalah resource bersama antara Google Workspace, Cloud Identity, dan Google Cloud, sehingga Anda mungkin melihat tingkat akses yang tidak Anda buat dalam daftar.

  5. Pilih satu atau beberapa tingkat akses untuk aplikasi.
  6. Untuk menerapkan tingkat akses ke pengguna di aplikasi desktop dan seluler (dan di browser), pilih Terapkan untuk aplikasi seluler dan desktop Google. Kotak centang ini hanya berlaku untuk aplikasi bawaan.
  7. Klik Simpan. Nama tingkat akses ditampilkan dalam daftar tingkat akses yang ditetapkan di samping aplikasi.

Menetapkan tingkat akses kustom untuk resource yang diamankan dengan IAP

Untuk menetapkan tingkat akses untuk resource yang diamankan IAP dari konsol Google Cloud, ikuti petunjuk di Menerapkan tingkat akses untuk resource yang diamankan IAP.