Attivare l'accesso basato su certificati con i certificati aziendali

In questa pagina viene descritto come attivare accesso basato su certificati (CBA) con i tuoi certificati aziendali.

Se non disponi di un'infrastruttura a chiave pubblica (PKI), puoi utilizzare i certificati di cui è stato eseguito il provisioning tramite la verifica degli endpoint.

Un requisito importante del modello di accesso Zero Trust è consentire solo l'accesso ai dispositivi autorizzati. L'accesso sensibile al contesto CBA utilizza i certificati e i relativi private archiviate in un archivio chiavi sicuro sul dispositivo per determinare se dispositivo è autorizzato. Per attivare questa funzionalità, completa le seguenti procedure.

Prima di iniziare

Assicurati di aver creato livelli di accesso CBA per il tuo progetto Google Cloud. Se devi creare livelli di accesso, consulta Creare livelli di accesso per l'accesso basato su certificati.

Assicurati di applicare il controllo dei costi aziendali alle tue risorse Google Cloud utilizzando uno dei seguenti metodi:

• (Consigliato) Applica l'accesso basato su certificato con i criteri di accesso sensibile al contesto: configura le regole relative agli utenti.

• Applica l'accesso basato su certificato con Controlli di servizio VPC: configura le regole relative ai dati.

Quando applichi la CBA alle risorse Google Cloud, l'accesso Le risorse Google Cloud richiedono che un utente autorizzato presenti anche un certificato del dispositivo.

Carica i trust anchor

Per consentire l'accesso sensibile al contesto per raccogliere e convalidare il certificato aziendale di un dispositivo, devi caricare i trust anchor utilizzati per emettere il dispositivo certificato. I trust anchor sono il certificato CA radice autofirmato e i certificati intermedi e subordinati pertinenti. Per caricare le ancore di attendibilità: compila i seguenti passaggi:

1. Nella Console di amministrazione Google, vai a Dispositivi > Reti > Certificati e poi seleziona l'unità organizzativa per la quale caricare le ancore di attendibilità. Assicurati che l'unità organizzativa selezionata contenga gli utenti a cui vuoi concedere l'accesso.

2. Seleziona Aggiungi certificato, quindi inserisci un nome per il certificato radice.

3. Fai clic su Carica per caricare il certificato.

4. Seleziona Abilita la verifica degli endpoint e fai clic su Aggiungi.

Il certificato da caricare deve essere il certificato CA, ovvero l'emittente dei certificati client installati sui dispositivi aziendali. Se la tua azienda non ha ancora un certificato CA e i certificati client corrispondenti, puoi crearli tramite il servizio Certificate Authority di Google Cloud. I passaggi per installare i certificati client nei keystore nativi sono diversi per ogni sistema operativo e non rientrano nell'ambito di questo documento.

Configura gli utenti Browser Chrome per utilizzare il certificato aziendale

Per eseguire l'installazione, segui le istruzioni riportate in Configurare la verifica degli endpoint l'estensione Verifica degli endpoint per Chrome per tutti gli utenti dell'organizzazione. Questa estensione viene utilizzata per la sincronizzazione i metadati del certificato al backend di Google Cloud.

Dopo aver configurato l'estensione del browser, configura i AutoSelectCertificateForURLscriteri di Chrome per consentire a Endpoint Verification di cercare il certificato del dispositivo e di raccoglierlo tramite Chrome.

1. Assicurati che l'account utente Il browser Chrome è gestito da Chrome Browser Cloud Management:

   • Configurare Chrome Browser Cloud Management

2. Nella Console di amministrazione, aggiungi il criterio AutoSelectCertificateForUrls:

   1. Vai a Dispositivi > Chrome > Impostazioni > Utente & Impostazioni del browser > Cliente certificati.

   2. Seleziona l'unità organizzativa appropriata.

   3. Aggiungi un criterio.

      L'esempio seguente aggiunge il criterio AutoSelectCertificateForUrls:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      

      Nell'esempio, CERT_ISSUER è il nome comune del certificato CA.

Dopo questa configurazione, gli utenti possono accedere alle risorse Google Cloud protette con il browser Chrome all'indirizzo console-secure.cloud.google.com.

Verifica la configurazione dei criteri (facoltativa)

1. Nel browser Chrome, inserisci chrome://policy.

2. Verifica che AutoSelectCertificateForUrls sia elencato in Criteri di Chrome.

3. Verifica che il valore di Si applica a sia Computer. Il giorno Sistema operativo Chrome, il valore di Si applica a è Utente corrente.

4. Assicurati che lo stato del criterio non sia Conflitto. Se lo stato presenta un conflitto, consulta Comprendere la gestione dei criteri di Chrome per informazioni.

Configura gli strumenti a riga di comando per utilizzare il certificato aziendale

Se gli utenti della tua organizzazione devono accedere alle risorse Google Cloud dalla riga di comando, devono completare le seguenti procedure per abilitare CBA il certificato aziendale negli strumenti a riga di comando.

Sono supportati i seguenti strumenti a riga di comando:

• Google Cloud CLI

• Interfaccia a riga di comando Terraform (l'interfaccia a riga di comando gcloud è comunque necessaria per installare e configurare i componenti di supporto).

Poiché i certificati dei dispositivi sono archiviati in archivi chiavi nativi, Google Cloud CLI è integrato in un componente open source chiamato Enterprise Certificate Proxy (ECP) per interagire con le API di gestione delle chiavi.

Se utilizzi un sistema Windows, devi avere installato la libreria di runtime Visual Studio C++.

Sono supportati i seguenti sistemi operativi e i rispettivi keystore nativi:

• macOS con portachiavi

• Microsoft Windows con CryptoAPI

• Linux con PKCS #11

L'ECP deve essere configurato con le informazioni sui metadati necessarie per individuare il certificato nei keystore.

Installa e configura ECP con Google Cloud CLI

1. Installa Google Cloud CLI e abilita CBA. Installa con l'opzione bundled python attivata.

2. Per macOS e Linux, esegui lo script install.sh dopo averlo scaricato:

   $ ./google-cloud-sdk/install.sh
   

3. Installa il componente di assistenza ECP con Google Cloud CLI:

   gcloud components install enterprise-certificate-proxy
   

4. Inizializza la configurazione del certificato ECP con Google Cloud CLI:

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

$ gcloud auth enterprise-certificate-config create linux
  --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

$ gcloud auth enterprise-certificate-config create macos
  --issuer="Google Endpoint Verification"

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

$ gcloud auth enterprise-certificate-config create windows
  --issuer="Google Endpoint Verification" --provider=current_user --store=MY

La configurazione dell'ECP può essere eseguita anche manualmente. Viene archiviato come file JSON nella seguente posizione sul dispositivo dell'utente:

• Linux e macOS: ~/.config/gcloud/certificate_config.json

• Windows: %APPDATA%\gcloud\certificate_config.json

Consulta le Documentazione dell'ECP su GitHub per ulteriori esempi della configurazione e dello schema.

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Dopo questa configurazione, gli utenti possono accedere alle risorse Google Cloud protette utilizzando gli strumenti a riga di comando attivando il flag CBA.

Per attivare la CBA per Google Cloud CLI, imposta la proprietà context_aware/use_client_certificate su true.

Per attivare la CBA per tutti gli altri strumenti a riga di comando, tra cui Terraform, imposta la variabile di ambiente GOOGLE_API_USE_CLIENT_CERTIFICATE su true.

Passaggi successivi

• Panoramica dell'accesso basato su certificati

• Informazioni su TLS mutuale in Google Cloud