将 BeyondCorp Enterprise 应用于云资源

准备工作

在将应用和资源设为情境感知之前，您需要执行以下操作：

1. 如果贵组织中还没有 Cloud Identity 用户账号，请创建一些 Cloud Identity 账号。

2. 确定要保护的资源。如果您没有资源，请配置以下一项。

   • 在 Google Cloud 上的 HTTPS 负载均衡器后面运行的网页应用。这包括 App Engine 应用、本地运行的应用以及在其他云中运行的应用。
   • Google Cloud 上的虚拟机。

3. 确定要授予并限制访问的主账号。

如果您对保护 Google Workspace 应用感兴趣，请参阅 Google Workspace BeyondCorp Enterprise 概览。

使用 IAP 保护应用和资源

Identity-Aware Proxy (IAP) 为通过 HTTPS 和 TCP 访问的应用和资源建立一个中央身份感知层。这意味着您可以控制对个别应用和资源的访问，而不是使用网络级防火墙。

选择以下指南之一来保护您的 Google Cloud 应用及其所有资源：

• App Engine 标准柔性环境
• Compute Engine
• Google Kubernetes Engine

您还可以将 IAP 扩展到非 Google Cloud 环境（如本地和其他云端）。如需了解详情，请参阅保护本地应用指南。

如需了解详情，请参阅IAP 文档。

虚拟机资源

通过设置隧道资源权限和创建用于通过 IAP 将 TCP 流量路由到虚拟机实例的隧道，您可以控制对后端上 SSH 和 RDP 等管理服务的访问。

要保护虚拟机，请参阅保护虚拟机指南。

使用 Access Context Manager 创建访问权限级别

使用 IAP 保护应用和资源后，就可以使用访问权限级别设置更丰富的访问权限政策。

Access Context Manager 创建访问权限级别。访问权限级别可以根据以下属性限制访问：

• IP 子网
• 区域
• 访问权限级别依赖项
• 主账号
• 设备政策（注意必须设置端点验证）。

按照创建访问权限级别指南创建访问权限级别。

应用访问权限级别

访问权限级别只有在应用于受 IAP 保护的资源的身份和访问权限管理 (IAM) 政策才会生效。要执行此步骤，请在用于授予对资源的访问权限的 IAP 角色上添加 IAM 条件。

要应用访问权限级别，请参阅应用访问权限级别。

应用访问权限级别后，资源即受到 BeyondCorp Enterprise 的保护。

使用端点验证实现设备信任和安全

为了进一步增强 BeyondCorp Enterprise 保护的资源的安全性，您可以使用访问权限级别应用基于设备的信任和安全访问权限控制属性。端点验证支持此控制。

端点验证是用于 Windows、Mac 和 Chrome 操作系统设备的 Chrome 扩展程序。Access Context Manager 引用端点验证收集的设备属性，以使用访问权限级别进行精细的访问权限控制。

按照端点验证快速入门为贵组织设置端点验证。