Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Erste Schritte mit BeyondCorp Enterprise

Auf dieser Seite werden die wichtigsten Schritte zur Anwendung von BeyondCorp Enterprise auf Ihre Google Cloud-Ressourcen und Ihre lokalen Ressourcen beschrieben.

Informationen darüber, wie BeyondCorp Enterprise andere Google Cloud-Angebote nutzt, finden Sie in der Übersicht über den BeyondCorp Enterprise-Zugriffsschutz.

Hinweis

Um Anwendungen und Ressourcen kontextsensitiv zu gestalten benötigen Sie:

  1. Wenn Sie noch keine Cloud Identity-Nutzerkonten in Ihrer Organisation haben, erstellen Sie ein paar Cloud Identity-Konten.

  2. Bestimmen Sie eine zu schützende Ressource. Konfigurieren Sie eines der folgenden Elemente, falls Sie keine Ressource haben.

    • Eine Webanwendung, die hinter einem HTTPS-Load-Balancer in Google Cloud ausgeführt wird Dazu gehören Webanwendungen wie App Engine-Anwendungen, lokal ausgeführte Anwendungen und Anwendungen, die in einer anderen Cloud ausgeführt werden.
    • Eine virtuelle Maschine in Google Cloud.
  3. Legen Sie die Mitglieder fest, für die Sie Zugriff gewähren und beschränken möchten.

Informationen zum Sichern von Google Workspace-Anwendungen finden Sie unter Google Workspace BeyondCorp Enterprise – Übersicht.

Anwendungen und Ressourcen mit IAP schützen.

IAP richtet eine zentrale IAP-Ebene für Anwendungen und Ressourcen ein, auf die über HTTPS und TCP zugegriffen wird. Das bedeutet, dass Sie den Zugriff für jede einzelne Anwendung und Ressource steuern können, anstatt Firewalls auf Netzwerkebene zu verwenden.

Schützen Sie Ihre Google Cloud-Anwendung und alle zugehörigen Ressourcen auf eine der folgenden Arten:

Sie können IAP auch auf Nicht-Google Cloud-Umgebungen wie lokale Umgebungen oder andere Clouds ausweiten. Weitere Informationen finden Sie unter Lokale Anwendungen sichern.

Weitere Informationen finden Sie in der Dokumentation zu IAP.

VM-Ressourcen

Sie können den Zugriff auf administrative Dienste wie SSH und RDP auf Ihren Back-Ends steuern. Dazu legen Sie Berechtigungen für Tunnelressourcen fest und erstellen Tunnel, die den TCP-Traffic über IAP an VM-Instanzen weiterleiten.

Informationen zum Sichern virtueller Maschinen finden Sie unter Virtuelle Maschinen sichern.

Zugriffsebene mit Access Context Manager erstellen

Sobald Sie Ihre Anwendungen und Ressourcen mit IAP gesichert haben, sollten Sie detailliertere Zugriffsrichtlinien mit Zugriffsebenen festlegen.

Der Access Context Manager erstellt Zugriffsebenen. Der Zugriff kann nach folgenden Attributen eingeschränkt werden:

Erstellen Sie eine Zugriffsebene gemäß der Anleitung in Zugriffsebenen erstellen.

Zugriffsebenen anwenden

Zugriffsebenen werden erst wirksam, nachdem sie auf die IAM-Richtlinie (Identitäts- und Zugriffsverwaltung) einer IAP-Ressource angewendet wurden. Dazu fügen Sie der IAP-Rolle, über die der Zugriff auf Ihre Ressource gewährt wird, eine IAM-Bedingung hinzu.

Informationen zum Anwenden der Zugriffsebene finden Sie unter Zugriffsebenen anwenden.

Sobald Sie die Zugriffsebene angewendet haben, sind Ihre Ressourcen jetzt mit BeyondCorp Enterprise gesichert.

Mit Endpunktprüfung Gerätevertrauen und -sicherheit ermöglichen

Um die Sicherheit von durch BeyondCorp Enterprise gesicherten Ressourcen zu erhöhen, bieten sich über Zugriffsebenen zugeordnete, gerätebasierte Attribute für Vertrauensstellungen und Zugriffssteuerung an. Dies wird durch die Endpunktprüfung ermöglicht.

Die Endpunktprüfung ist eine Chrome-Erweiterung für Windows-, Mac- und Chrome OS-Geräte. Access Context Manager verweist auf die von der Endpunktprüfung erfassten Geräteattribute, um eine differenzierte Zugriffssteuerung mit Zugriffsebenen zu erzwingen.

Folgen Sie der Kurzanleitung für die Endpunktprüfung, um die Endpunktprüfung für Ihre Organisation einzurichten.

Nächste Schritte