Habilita el acceso basado en certificados con tus certificados empresariales

En esta página, se describe cómo habilitar el acceso basado en certificados (CBA) con tus certificados empresariales.

Un requisito importante del modelo de acceso de confianza cero es permitir el acceso solo a los dispositivos autorizados. El CBA de BeyondCorp Enterprise usa certificados y sus claves privadas almacenados en un almacén de claves seguro en el dispositivo para determinar si este está autorizado. Para habilitar esta función, completa los siguientes procedimientos.

Antes de comenzar

Asegúrate de haber creado niveles de acceso a la CBA para tu proyecto de Google Cloud. Si necesitas crear niveles de acceso, consulta Crea niveles de acceso para el acceso basado en certificados.

Asegúrate de aplicar la CBA en tus recursos de Google Cloud mediante uno de los siguientes métodos:

Aplica el acceso basado en certificados con los Controles del servicio de VPC: Configura reglas relacionadas con los datos.
Aplica el acceso basado en certificados con grupos de usuarios: Configura reglas alrededor de los usuarios.

Cuando aplicas la CBA a tus recursos de Google Cloud, el acceso a tus recursos de Google Cloud requiere que un usuario autorizado también presente un certificado de dispositivo válido.

Sube los anclajes de confianza

A fin de permitir que BeyondCorp Enterprise recopile y valide el certificado empresarial de un dispositivo, debes subir los anclajes de confianza que se usan para emitir el certificado del dispositivo. Los anclajes de confianza son el certificado de CA raíz autofirmado y los certificados intermedios y subordinados relevantes. Para subir los anclajes de confianza, completa los siguientes pasos:

En la Consola del administrador de Google, ve a Dispositivos > Redes > Certificados y, luego, selecciona la unidad organizativa para la que se subirán los anclajes de confianza. Asegúrate de que la unidad organizativa que selecciones contenga los usuarios a los que deseas otorgar acceso.
Selecciona Agregar certificado y, luego, ingresa un nombre para tu certificado raíz.
Haga clic en Subir para subir el certificado.
Seleccione Habilitar la verificación de extremo y, luego, haga clic en Agregar.

El certificado que se subirá debe ser el de CA, que es la entidad emisora de los certificados de cliente instalados en tus dispositivos corporativos. Si tu empresa aún no tiene un certificado de CA y los certificados de cliente correspondientes, puedes crearlos a través de Certificate Authority de Google Cloud. Los pasos para instalar certificados de cliente en almacenes de claves nativos son diferentes en cada sistema operativo y están fuera del alcance de este documento.

Configura el navegador Chrome de los usuarios para usar tu certificado empresarial

Sigue las instrucciones de Cómo configurar la verificación de extremos a fin de instalar la extensión correspondiente para todos los usuarios de la organización. Esta extensión se usa para sincronizar metadatos de certificados con el backend de Google Cloud.

Después de configurar la extensión del navegador, configura la política AutoSelectCertificateForURLs de Chrome para permitir que la Verificación de extremos busque el certificado del dispositivo y lo recopile mediante Chrome.

Asegúrate de que la Administración en la nube para el navegador Chrome administre los navegadores de los usuarios:
- Configure la Administración en la nube para el navegador Chrome
En la Consola del administrador, agrega la política AutoSelectCertificateForUrls:
1. Ve a Dispositivos > Chrome > Configuración > Configuración del usuario y del navegador > Certificados de cliente.
2. Selecciona la unidad organizativa adecuada.
3. Agrega una política.
  
  En el siguiente ejemplo, se agrega la política AutoSelectCertificateForUrls:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
{"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
```
  En el ejemplo, CERT_ISSUER es el nombre común de tu certificado de CA.

Después de esta configuración, los usuarios pueden acceder a los recursos protegidos de Google Cloud con el navegador Chrome en console-secure.cloud.google.com.

Verifica la configuración de la política (opcional)

En el navegador Chrome, ingresa chrome://policy.
Verifica que AutoSelectCertificateForUrls aparezca en la lista de Políticas de Chrome.
Verifique que el valor de Apply to sea Machine. En el sistema operativo Chrome, el valor de Se aplica a es Current user.
Asegúrate de que el Estado de la política no tenga un Conflicto. Si el estado tiene un conflicto, consulte Información sobre la administración de políticas de Chrome para obtener más información.

Configura herramientas de línea de comandos para usar tu certificado empresarial

Si los usuarios de tu organización necesitan acceder a los recursos de Google Cloud desde la línea de comandos, deben completar los siguientes procedimientos para habilitar la CBA con el certificado empresarial en sus herramientas de línea de comandos.

Se admiten las siguientes herramientas de línea de comandos:

Google Cloud CLI
Terraform CLI (gcloud CLI aún es necesaria para instalar y configurar componentes auxiliares)

Debido a que los certificados del dispositivo se almacenan en almacenes de claves nativos, Google Cloud CLI incluye un componente de código abierto denominado proxy de certificado de empresa (ECP) para interactuar con las API de administración de claves.

Se admiten los siguientes sistemas operativos y sus respectivos almacenes de claves nativos:

macOS con Keychain
Microsoft Windows con CryptoAPI
Linux con PKCS #11

ECP debe configurarse con la información de metadatos necesaria para ubicar el certificado en los almacenes de claves.

Instala y configura el ECP con Google Cloud CLI

Instala Google Cloud CLI y habilita la CBA. Instala con la opción bundled python habilitada.
Para macOS y Linux, ejecuta la secuencia de comandos install.sh después de descargarla:
```
$ ./google-cloud-sdk/install.sh
```
Instala el componente auxiliar de ECP con Google Cloud CLI:
```
gcloud components install enterprise-certificate-proxy
```
Inicializa la configuración del certificado de ECP con Google Cloud CLI:

Linux

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

Ejemplo: $ gcloud auth enterprise-certificate-config create linux --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

macOS

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

Ejemplo: $ gcloud auth enterprise-certificate-config create macos --issuer="Google Endpoint Verification"

Windows

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

Ejemplo: $ gcloud auth enterprise-certificate-config create windows --issuer="Google Endpoint Verification" --provider=current_user --store=MY

La configuración del ECP también se puede establecer de forma manual. Se almacena como un archivo JSON en la siguiente ubicación del dispositivo del usuario:

Linux y macOS: ~/.config/gcloud/certificate_config.json
Windows: %APPDATA%\gcloud\certificate_config.json

Consulta la documentación de ECP en GitHub para obtener ejemplos adicionales de la configuración y el esquema.

Linux

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

macOS

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

Windows

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Después de esta configuración, los usuarios pueden habilitar la marca CBA para acceder a los recursos protegidos de Google Cloud mediante herramientas de línea de comandos.

Si quieres habilitar la CBA para Google Cloud CLI, establece la propiedad context_aware/use_client_certificate en true.

Si deseas habilitar la CBA para todas las demás herramientas de línea de comandos, incluido Terraform, establece la variable de entorno GOOGLE_API_USE_CLIENT_CERTIFICATE en true.

Habilita el acceso basado en certificados con tus certificados empresariales

Antes de comenzar

Sube los anclajes de confianza

Configura el navegador Chrome de los usuarios para usar tu certificado empresarial

Verifica la configuración de la política (opcional)

Configura herramientas de línea de comandos para usar tu certificado empresarial

Instala y configura el ECP con Google Cloud CLI

Linux

macOS

Windows

Linux

macOS

Windows

¿Qué sigue?