Créer et attribuer des niveaux d'accès personnalisés à l'aide de données Tanium

Ce document explique comment créer des niveaux d'accès personnalisés basés sur les appareils et utilisant les données Tanium, et comment attribuer ces niveaux d'accès à vos ressources organisationnelles.

Avant de commencer

  1. Configurez l'intégration de BeyondCorp Enterprise et Tanium.
  2. Assurez-vous de disposer de l'un des rôles IAM (Identity and Access Management) suivants :
    • Administrateur Access Context Manager (roles/accesscontextmanager.policyAdmin)
    • Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor)
  3. Découvrez les objets et les attributs utilisés pour créer des expressions CEL (Common Expression Language) pour les niveaux d'accès personnalisés. Pour en savoir plus, consultez la section Spécification de niveaux d'accès personnalisés.

Créer des niveaux d'accès personnalisés

Vous pouvez créer des niveaux d'accès avec une ou plusieurs conditions. Si vous souhaitez que les appareils des utilisateurs remplissent plusieurs conditions (opérateur logique ET sur plusieurs conditions), créez un niveau d'accès contenant toutes les conditions requises.

Pour créer un niveau d'accès personnalisé utilisant les données fournies par Tanium, procédez comme suit :

  1. Accédez à la page Access Context Manager dans Cloud Console.

    Accéder à Access Context Manager
  2. Si vous y êtes invité, sélectionnez votre organisation.
  3. Sur la page Access Context Manager, cliquez sur Nouveau.
  4. Dans le volet Nouveau niveau d'accès, saisissez les informations suivantes :
    1. Dans le champ Titre du niveau d'accès, saisissez un titre de niveau d'accès. Ce titre doit contenir au maximum 50 caractères, commencer par une lettre et ne peut contenir que des chiffres, des lettres, des traits de soulignement et des espaces.
    2. Dans la section Créer des conditions en, sélectionnez Mode avancé.
    3. Dans la section Conditions, saisissez les expressions pour votre niveau d'accès personnalisé. La condition doit correspondre à une valeur booléenne unique.

      Pour trouver les champs Tanium disponibles pour votre expression CEL, vous pouvez consulter les données Tanium collectées pour vos appareils.

      L'expression CEL suivante crée une règle qui autorise l'accès uniquement depuis des appareils gérés par Tanium et ne présentant aucune faille sévère détectée lors des analyses Comply les plus récentes :

      device.vendors["Tanium"].is_managed_device == true && device.vendors["Tanium"].data["vulnerabilities.countHigh"] == 0.0
      Pour obtenir des exemples et des informations supplémentaires sur la compatibilité avec le langage CEL (Common Expression Language) et les niveaux d'accès personnalisés, consultez la section Spécification de niveaux d'accès personnalisés.
    4. Cliquez sur Enregistrer.

Attribuer des niveaux d'accès personnalisés

Vous pouvez attribuer des niveaux d'accès personnalisés afin de contrôler l'accès aux applications. Ces applications incluent les applications Google Workspace et celles protégées par Identity-Aware Proxy sur Google Cloud (également appelées "ressources sécurisées par IAP"). Vous pouvez attribuer un ou plusieurs niveaux d'accès aux applications. Si vous sélectionnez plusieurs niveaux d'accès, les appareils des utilisateurs doivent seulement remplir les conditions de l'un des niveaux d'accès pour pouvoir accéder à l'application.

Attribuer des niveaux d'accès personnalisés aux applications Google Workspace

Attribuez des niveaux d'accès personnalisés aux applications Google Workspace à partir de la console d'administration Google Workspace :

  1. Sur la page d'accueil de la console d'administration, accédez à Sécurité > Accès contextuel.

    Accéder à la page "Accès contextuel"
  2. Cliquez sur Attribuer des niveaux d'accès.

    Une liste d'applications s'affiche.

  3. Dans la section Unités organisationnelles, sélectionnez votre unité organisationnelle ou votre groupe.
  4. Sélectionnez l'application à laquelle vous souhaitez attribuer un niveau d'accès, puis cliquez sur Attribuer.

    attribution de niveau d'accès

    La liste de tous les niveaux d'accès s'affiche. Les niveaux d'accès sont une ressource partagée entre Google Workspace, Cloud Identity et Google Cloud. Vous pouvez donc voir dans la liste des niveaux d'accès que vous n'avez pas créés.

  5. Sélectionnez un ou plusieurs niveaux d'accès pour l'application.
  6. Pour appliquer les niveaux d'accès aux utilisateurs sur des applications de bureau et mobiles (et dans le navigateur), sélectionnez Appliquer aux applications de bureau et mobiles Google. Cette case à cocher ne s'applique qu'aux applications intégrées.
  7. Cliquez sur Enregistrer, puis sur Attribuer. Le nom du niveau d'accès s'affiche dans la liste des niveaux d'accès attribués à côté de l'application.

Attribuer des niveaux d'accès personnalisés aux ressources sécurisées par IAP

Pour attribuer des niveaux d'accès personnalisés aux ressources sécurisées par IAP depuis Google Cloud Console, suivez les instructions de la section Appliquer un niveau d'accès aux ressources sécurisées par IAP.