En este documento, se muestra cómo crear niveles de acceso personalizados basados en dispositivos con los datos de Tanium y asignarlos a tus recursos organizativos.
Antes de comenzar
- Configura la integración de BeyondCorp Enterprise y Tanium.
- Actualiza a BeyondCorp Enterprise Premium, que es la suscripción pagada de BeyondCorp Enterprise. Para actualizar, comunícate con nuestro equipo de ventas.
- Asegúrate de tener una de los siguientes roles de administración de identidades y accesos:
-
Administrador de Access Context Manager (
roles/accesscontextmanager.policyAdmin) - Editor de Access Context Manager (
roles/accesscontextmanager.policyEditor)
-
Administrador de Access Context Manager (
- Comprende los objetos y atributos que se usan a fin de compilar las expresiones de Common Expression Language (CEL) para los niveles de acceso personalizados. Para obtener detalles, consulta Especificación de nivel de acceso personalizado.
Crear niveles de acceso personalizados
Puede crear niveles de acceso con una o más condiciones. Si deseas que los dispositivos de los usuarios cumplan con varias condiciones (un operador lógico AND de las condiciones), crea un nivel de acceso que contenga todas las condiciones necesarias.
Para crear un nuevo nivel de acceso personalizado con los datos que proporciona Tanium, haz lo siguiente:
Ve a la página Access Context Manager en Google Cloud Console.
Ir a Access Context Manager- Si se te solicita, selecciona tu organización.
- En la página Access Context Manager, haz clic en Nuevo.
- En el panel Nuevo nivel de acceso, ingresa lo siguiente:
- En el campo Título del nivel de acceso, ingresa un título para el nivel de acceso. El título debe tener 50 caracteres como máximo, comenzar con una letra y solo puede contener números, letras, guiones bajos y espacios.
- En la sección Crear condiciones en, selecciona Modo avanzado.
- En la sección Condiciones, ingresa las expresiones para tu nivel de acceso personalizado. La condición debe resolverse en un solo valor booleano.
Si deseas encontrar los campos de Tanium disponibles para tu expresión CEL, puedes revisar los datos de Tanium recopilados para tus dispositivos.
La siguiente expresión CEL crea una regla que permite el acceso solo desde dispositivos administrados con Tanium sin vulnerabilidades de gravedad alta en los análisis más recientes de Comply:
device.vendors["Tanium"].is_managed_device == true && device.vendors["Tanium"].data["vulnerabilities.countHigh"] == 0.0
Para obtener ejemplos y más información sobre la compatibilidad con Common Expression Language (CEL) y los niveles de acceso personalizados, consulta la especificación del nivel de acceso personalizado.
- Haz clic en Guardar.
Asignar niveles de acceso personalizados
Puedes asignar niveles de acceso personalizados para controlar el acceso a las aplicaciones. Estas aplicaciones incluyen apps de Google Workspace y las que están protegidas con Identity-Aware Proxy en Google Cloud (también conocido como recurso protegido con IAP). Puedes asignar uno o más niveles de acceso para las apps. Si seleccionas varios niveles de acceso, los dispositivos de los usuarios solo deberán cumplir las condiciones de uno de los niveles de acceso para que se les otorgue acceso a la app.
Asigna niveles de acceso personalizados para aplicaciones de Google Workspace.
Asigna niveles de acceso para las aplicaciones de Google Workspace desde la Consola del administrador de Google Workspace:
En la página principal de la Consola del administrador, ve a Seguridad > Acceso adaptado al contexto.
Ir a Acceso adaptado al contextoHaga clic en Asignar niveles de acceso.
Verás una lista de aplicaciones.
- En la sección Unidades organizativas, selecciona tu grupo o unidad organizativa.
Selecciona la aplicación a la que deseas asignar un nivel de acceso y haz clic en Asignar.
Verá una lista de todos los niveles de acceso. Los niveles de acceso son un recurso compartido entre Google Workspace, Cloud Identity y Google Cloud, por lo que es posible que veas niveles de acceso que no creaste en la lista.
- Selecciona uno o más niveles de acceso para la app.
- Para aplicar los niveles de acceso a los usuarios en apps de escritorio y para dispositivos móviles (y en el navegador), selecciona Apply to Google desktop and mobile apps. Esta casilla de verificación solo se aplica a las apps integradas.
- Haz clic en Guardar. El nombre del nivel de acceso se muestra en la lista de niveles de acceso asignados junto a la app.
Asigna niveles de acceso personalizados para recursos protegidos con IAP
A fin de asignar niveles de acceso para los recursos protegidos con IAP desde Google Cloud Console, sigue las instrucciones en Aplica un nivel de acceso para los recursos protegidos con IAP.