Menerapkan BeyondCorp Enterprise ke resource cloud

Halaman ini membahas langkah-langkah tingkat tinggi untuk menerapkan BeyondCorp Enterprise ke resource lokal dan Google Cloud Anda.

Untuk mengetahui informasi tentang cara BeyondCorp Enterprise memanfaatkan penawaran Google Cloud lainnya, lihat Ringkasan perlindungan akses BeyondCorp Enterprise.

Sebelum memulai

Sebelum membuat aplikasi dan resource menjadi kontekstual, Anda harus:

  1. Jika Anda belum memiliki akun pengguna Cloud Identity di organisasi, buat beberapa akun Cloud Identity.

  2. Tentukan resource yang ingin dilindungi. Konfigurasikan salah satu opsi berikut jika Anda tidak memiliki resource.

    • Aplikasi web yang berjalan di belakang load balancer HTTPS di Google Cloud. Hal ini mencakup aplikasi web seperti aplikasi App Engine, aplikasi yang berjalan di infrastruktur lokal, dan aplikasi yang berjalan di cloud lain.
    • Virtual machine di Google Cloud.
  3. Tentukan akun utama yang ingin Anda berikan dan batasi aksesnya.

Jika Anda tertarik untuk mengamankan aplikasi Google Workspace, baca Ringkasan Google Workspace BeyondCorp Enterprise.

Mengamankan aplikasi dan resource Anda dengan IAP

Identity-Aware Proxy (IAP) menetapkan lapisan kesadaran identitas terpusat untuk aplikasi dan resource yang diakses oleh HTTPS dan TCP. Artinya, Anda dapat mengontrol akses pada setiap aplikasi dan resource individual, bukan menggunakan firewall tingkat jaringan.

Amankan aplikasi Google Cloud Anda dan semua resource-nya dengan memilih salah satu panduan berikut:

Anda juga dapat memperluas IAP ke lingkungan non-Google Cloud seperti lingkungan lokal serta cloud lainnya. Untuk mempelajari lebih lanjut, lihat panduan Mengamankan aplikasi lokal.

Untuk informasi selengkapnya, lihat dokumentasi IAP.

Resource virtual machine

Anda dapat mengontrol akses ke layanan administratif seperti SSH dan RDP di backend dengan menetapkan izin resource tunnel dan membuat tunnel yang mengarahkan traffic TCP melalui IAP ke instance virtual machine.

Untuk mengamankan virtual machine, lihat panduan Mengamankan virtual machine.

Membuat tingkat akses dengan Access Context Manager

Setelah mengamankan aplikasi dan resource Anda dengan IAP, kini saatnya menetapkan kebijakan akses yang lebih kaya dengan tingkat akses.

Access Context Manager membuat tingkat akses. Tingkat akses dapat membatasi akses berdasarkan atribut berikut:

Buat tingkat akses dengan mengikuti panduan Membuat tingkat akses.

Menerapkan tingkat akses

Tingkat akses tidak berlaku hingga Anda menerapkannya pada kebijakan Identity and Access Management (IAM) resource yang diamankan dengan IAP. Langkah ini dilakukan dengan menambahkan Kondisi IAM pada peran IAP yang digunakan untuk memberikan akses ke resource Anda.

Untuk menerapkan tingkat akses, lihat menerapkan tingkat akses.

Setelah Anda menerapkan tingkat akses, resource Anda kini diamankan dengan BeyondCorp Enterprise.

Mengaktifkan kepercayaan dan keamanan perangkat dengan Verifikasi Endpoint

Untuk lebih memperkuat keamanan resource yang diamankan BeyondCorp Enterprise, Anda dapat menerapkan atribut kontrol akses keamanan dan kepercayaan berbasis perangkat dengan tingkat akses. Verifikasi Endpoint mengaktifkan kontrol ini.

Verifikasi Endpoint adalah ekstensi Chrome untuk perangkat Windows, Mac, dan Chrome OS. Access Context Manager mereferensikan atribut perangkat yang dikumpulkan oleh Verifikasi Endpoint untuk menerapkan kontrol akses yang terperinci dengan tingkat akses.

Ikuti panduan memulai Verifikasi Endpoint untuk menyiapkan Verifikasi Endpoint bagi organisasi Anda.

Pembersihan

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.

Langkah selanjutnya