BeyondCorp Enterprise を使ってみる

このページでは、Google Cloud とオンプレミス リソースに BeyondCorp Enterprise を適用する大まかな手順を説明します。

BeyondCorp Enterprise を他の Google Cloud プロダクトに活用する方法については、BeyondCorp Enterprise アクセス保護の概要をご覧ください。

始める前に

アプリとリソースをコンテキストアウェアにする前に、以下を行う必要があります。

  1. 組織に Cloud Identity ユーザー アカウントがない場合は、Cloud Identity アカウントをいくつか作成します。

  2. 保護するリソースを決定します。リソースがない場合は、次のいずれかを構成します。

    • Google Cloud 上の HTTPS ロードバランサの背後で実行しているウェブアプリ。これには、App Engine アプリ、オンプレミスで実行しているアプリ、別のクラウドで実行しているアプリが含まれます。
    • Google Cloud 上の仮想マシン
  3. アクセス権を付与、制限するメンバーを決めす。

Google ワークスペース アプリの保護に関心をお持ちの場合は、Google Workspace BeyondCorp Enterprise の概要をご覧ください。

IAP によるアプリとリソースの保護

IAP は、HTTPS と TCP でアクセスされるアプリとリソースの一元的な ID 認識レイヤを確立します。つまり、ネットワーク レベルのファイアウォールを使用することなく、個々のアプリとリソースへのアクセスを制御できます。

次のいずれかのガイドを選択して、Google Cloud アプリとそのすべてのリソースを保護してください。

IAP は、オンプレミスや他のクラウドなど、Google Cloud 以外の環境にも拡張できます。詳細については、オンプレミス アプリの保護ガイドをご覧ください。

詳細については、IAP のドキュメントをご覧ください。

仮想マシンのリソース

バックエンドの SSH や RDP などの管理サービスへのアクセスを制御するには、トンネル リソースの権限を設定し、IAP を経由して TCP トラフィックを仮想マシン インスタンスにルーティングするトンネルを作成します。

仮想マシンを保護するには、仮想マシンの保護ガイドをご覧ください。

Access Context Manager を使用したアクセスレベルの作成

IAP を使用してアプリとリソースを保護したら、アクセスレベルを使用して高度なアクセス ポリシーを設定します。

Access Context Manager でアクセスレベルを作成します。アクセスレベルは、次の属性に基づいてアクセスを制限できます。

アクセスレベルの作成のガイドに沿ってアクセスレベルを作成します。

アクセスレベルの適用

アクセスレベルは、IAP で保護されたリソースの Identity and Access Management(IAM)ポリシーに適用されるまで有効になりません。このステップを行うには、リソースへのアクセスを許可するために使用する IAP 役割に IAM 条件 を追加します。

アクセスレベルを適用するには、アクセスレベルの適用をご覧ください。

アクセスレベルを適用すると、BeyondCorp Enterprise でリソースが保護されます。

エンドポイントの確認でデバイスの信頼性とセキュリティを有効にする

BeyondCorp Enterprise で保護されたリソースのセキュリティを強化するため、アクセスレベルに基づいてデバイスベースの信頼とセキュリティ アクセス制御属性を適用することができます。エンドポイントの確認でこの制御を有効にします。

エンドポイントの確認は、Windows、Mac、Chrome OS デバイス用の Chrome 拡張機能です。 Access Context Manager は、エンドポイントの確認によって収集されたデバイス属性を参照し、アクセスレベルによってきめ細かいアクセス制御を実施します。

Endpoint Verificationのクイックスタートに従って、組織のEndpoint Verificationを設定します。

次のステップ