BeyondCorp Enterprise auf Cloud-Ressourcen anwenden

Hinweise

Um Anwendungen und Ressourcen kontextsensitiv zu gestalten benötigen Sie:

1. Wenn Sie noch keine Cloud Identity-Nutzerkonten in Ihrer Organisation haben, erstellen Sie ein paar Cloud Identity-Konten.

2. Bestimmen Sie eine zu schützende Ressource. Konfigurieren Sie eines der folgenden Elemente, falls Sie keine Ressource haben.

   • Eine Webanwendung, die hinter einem HTTPS-Load-Balancer in Google Cloud ausgeführt wird. Dazu gehören Webanwendungen wie App Engine-Anwendungen, lokal ausgeführte Anwendungen und Anwendungen, die in einer anderen Cloud ausgeführt werden.
   • Eine virtuelle Maschine in Google Cloud.

3. Legen Sie die Hauptkonten fest, für die Sie Zugriff gewähren und beschränken möchten.

Informationen zum Sichern von Google Workspace-Anwendungen finden Sie unter Google Workspace BeyondCorp Enterprise – Übersicht.

Anwendungen und Ressourcen mit IAP schützen.

Identity-Aware Proxy (IAP) richtet eine zentrale Ebene für die Identitätserkennung für Anwendungen und Ressourcen ein, auf die über HTTPS und TCP zugegriffen wird. Das bedeutet, dass Sie den Zugriff für jede einzelne Anwendung und Ressource steuern können, anstatt Firewalls auf Netzwerkebene zu verwenden.

Schützen Sie Ihre Google Cloud-Anwendung und alle zugehörigen Ressourcen auf eine der folgenden Arten:

• App Engine-Standardumgebung und flexible Umgebung
• Compute Engine
• Google Kubernetes Engine

Sie können IAP auch auf Nicht-Google Cloud-Umgebungen wie lokale Umgebungen oder andere Clouds ausweiten. Weitere Informationen finden Sie unter Lokale Anwendungen sichern.

Weitere Informationen finden Sie in der IAP-Dokumentation.

VM-Ressourcen

Sie können den Zugriff auf administrative Dienste wie SSH und RDP auf Ihren Back-Ends steuern. Dazu legen Sie Berechtigungen für Tunnelressourcen fest und erstellen Tunnel, die den TCP-Traffic über IAP an VM-Instanzen weiterleiten.

Informationen zum Sichern virtueller Maschinen finden Sie unter Virtuelle Maschinen sichern.

Zugriffsebene mit Access Context Manager erstellen

Sobald Sie Ihre Anwendungen und Ressourcen mit IAP gesichert haben, sollten Sie detailliertere Zugriffsrichtlinien mit Zugriffsebenen festlegen.

Der Access Context Manager erstellt Zugriffsebenen. Der Zugriff kann nach folgenden Attributen eingeschränkt werden:

• IP-Subnetzwerke
• Regionen
• Abhängigkeit von Zugriffsebenen
• Hauptkonten
• Geräterichtlinie: Beachten Sie, dass die Endpunktprüfung eingerichtet sein muss.

Erstellen Sie eine Zugriffsebene gemäß der Anleitung in Zugriffsebenen erstellen.

Zugriffsebenen anwenden

Zugriffsebenen werden erst wirksam, nachdem sie auf die IAM-Richtlinie (Identitäts- und Zugriffsverwaltung) einer IAP-Ressource angewendet wurden. Dazu fügen Sie der IAP-Rolle, über die der Zugriff auf Ihre Ressource gewährt wird, eine IAM-Bedingung hinzu.

Informationen zum Anwenden Ihrer Zugriffsebene finden Sie unter Zugriffsebenen anwenden.

Nach dem Anwenden der Zugriffsebene sind Ihre Ressourcen durch BeyondCorp Enterprise gesichert.

Mit Endpunktprüfung Gerätevertrauen und -sicherheit ermöglichen

Um die Sicherheit von durch BeyondCorp Enterprise gesicherten Ressourcen zu erhöhen, bieten sich über Zugriffsebenen zugeordnete, gerätebasierte Attribute für Vertrauensstellungen und Zugriffssteuerung an. Dies wird durch die Endpunktprüfung ermöglicht.

Endpoint Verification ist eine Chrome-Erweiterung für Windows-, Mac- und Chrome OS-Geräte. Access Context Manager verweist auf die von Endpoint Verification erfassten Geräteattribute, um eine detaillierte Zugriffssteuerung mit Zugriffsebenen zu erzwingen.

Folgen Sie der Kurzanleitung für die Endpunktprüfung, um die Endpunktprüfung für Ihre Organisation einzurichten.