BeyondCorp Enterprise をクラウド リソースに適用する

始める前に

アプリとリソースをコンテキストアウェアにする前に、以下を行う必要があります。

1. 組織に Cloud Identity ユーザー アカウントがない場合は、Cloud Identity アカウントをいくつか作成します。

2. 保護するリソースを決定します。リソースがない場合は、次のいずれかを構成します。

   • Google Cloud 上の HTTPS ロードバランサの背後で実行しているウェブアプリ。これには、App Engine アプリ、オンプレミスで実行しているアプリ、別のクラウドで実行しているアプリが含まれます。
   • Google Cloud 上の仮想マシン

3. アクセス権を付与、制限するメンバーを決めます。

Google Workspace アプリの保護に関心をお持ちの場合は、Google Workspace BeyondCorp Enterprise の概要をご覧ください。

IAP によるアプリとリソースの保護

Identity-Aware Proxy（IAP）は、HTTPS と TCP によりアクセスされるアプリとリソースの一元的な ID 認識レイヤを確立します。つまり、ネットワーク レベルのファイアウォールを使用することなく、個々のアプリとリソースへのアクセスを制御できます。

次のいずれかのガイドを選択して、Google Cloud アプリとそのすべてのリソースを保護してください。

• App Engine のスタンダード環境とフレキシブル環境
• Compute Engine
• Google Kubernetes Engine

IAP は、オンプレミスや他のクラウドなど、Google Cloud 以外の環境にも拡張できます。詳細については、オンプレミス アプリの保護ガイドをご覧ください。

詳細については、IAP のドキュメントをご覧ください。

仮想マシンのリソース

バックエンドの SSH や RDP などの管理サービスへのアクセスを制御するには、トンネル リソースの権限を設定し、IAP を経由して TCP トラフィックを仮想マシン インスタンスにルーティングするトンネルを作成します。

仮想マシンを保護するには、仮想マシンの保護ガイドをご覧ください。

Access Context Manager を使用したアクセスレベルの作成

IAP を使用してアプリとリソースを保護したら、アクセスレベルを使用して高度なアクセス ポリシーを設定します。

Access Context Manager でアクセスレベルを作成します。アクセスレベルは、次の属性に基づいてアクセスを制限できます。

• IP サブネットワーク
• 地域
• アクセスレベルの依存関係
• プリンシパル
• デバイス ポリシー - エンドポイントの確認を設定する必要があります。

アクセスレベルの作成のガイドに沿ってアクセスレベルを作成します。

アクセスレベルの適用

アクセスレベルは、IAP で保護されたリソースの Identity and Access Management（IAM）ポリシーに適用されるまで有効になりません。このステップを行うには、リソースへのアクセスを許可するために使用する IAP 役割に IAM 条件 を追加します。

アクセスレベルを適用するには、アクセスレベルの適用をご覧ください。

アクセスレベルを適用すると、リソースが BeyondCorp Enterprise で保護されるようになります。

エンドポイントの確認でデバイスの信頼性とセキュリティを有効にする

BeyondCorp Enterprise で保護されたリソースのセキュリティをさらに強化するため、アクセスレベルを使用してデバイスベースで信頼とセキュリティのアクセス制御属性を適用できます。エンドポイントの確認でこの制御を有効にします。

エンドポイントの確認は、Windows、Mac、Chrome OS デバイス用の Chrome 拡張機能です。 Access Context Manager は、エンドポイントの確認によって収集されたデバイス属性を参照し、アクセスレベルによってきめ細かいアクセス制御を実施します。

Endpoint Verificationのクイックスタートに従って、組織のEndpoint Verificationを設定します。