Ressourcen mit zertifikatbasierten Zugriff sichern

Der zertifikatbasierte Zugriff schützt Ihre Daten auf viele Google-Ressourcen, indem Geräte anhand ihrer X.509-Zertifikate identifiziert werden. Dieses Feature baut auf den vorhandenen kontextsensitiven Zugriffsfunktionen von BeyondCorp Enterprise auf (Endpunktprüfung, Access Context Manager, VPC Service Controls und TCP-Weiterleitung von Identity-Aware Proxy) und garantiert, dass nur diese Nutzer eines vertrauenswürdigen Geräts mit einem von Google generierten Zertifikat können Administratorzugriff über die IAP-TCP-Weiterleitung oder auf die Google Cloud APIs mithilfe der Google Cloud Console oder der Google Cloud-Clientbibliothek für Go haben. auf.

Dadurch erhalten Sie ein stärkeres Signal der Geräteidentität und können vor Identitätsdiebstahl oder versehentlichem Verlust geschützt werden, da Sie nur Zugriff gewähren, wenn die Anmeldedaten und das ursprüngliche Gerätezertifikat ausgestellt werden.

Die Funktion kann mit folgenden Schritten eingerichtet werden:

  1. Endpunktprüfung auf Geräten in Ihrer Organisation bereitstellen.
  2. Erstellen Sie in Access Context Manager eine Zugriffsebene, die übereinstimmende Gerätezertifikate für den Zugriff erfordert.
  3. Zugriffsbeschränkungen durch Anwenden der Zugriffsebene über die IAP-TCP-Weiterleitung oder einen VPC Service Controls-Dienstperimeter erzwingen
  4. Ihre Nutzer aktivieren den Zugriff auf VM-Instanzen oder die Google Cloud APIs, die jetzt durch zertifikatbasierten Zugriff geschützt sind.

Endpunktprüfung bereitstellen

Mit der Endpunktprüfung können Sie ein Inventar der Geräte erstellen, die auf die Daten Ihrer Organisation zugreifen. Als Teil einer BeyondCorp Enterprise-Lösung bedingt dies auch ein gesteigertes Gerätevertrauen und eine sicherheitsbasierte Zugriffssteuerung. Weiter befördert dies die Durchsetzung einer detaillierte Zugriffssteuerung für Ihre Google Cloud-Ressourcen. Bei einem zertifikatbasierten Zugriff ist die Endpunktprüfung zusätzlich für das Generieren, Registrieren und Präsentieren eines von Google bestätigten X.509-Zertifikats für jedes vertrauenswürdige Gerät erforderlich.

Die Endpunktprüfung wird für Nutzer von Mac, Windows und Linux als Chrome-Erweiterung auf Computern und Laptops ausgeführt. Ein Administrator kann sie bereitstellen zu den unternehmenseigenen Geräten der Organisation über die Admin-Konsole von Google Arbeitsbereich oder Mitglieder der Organisationselbst installieren auf.

Nutzer, die zum ersten Mal installieren, sollten die neueste Version haben. Für den zertifikatbasierten Zugriff sind jedoch die folgenden Versionen der Endpunktprüfung erforderlich:

  • Chrome-Erweiterung "Endpoint Verification": 1.0.38 oder höher
  • Native Hilfe: 0.4.40.0 oder höher für Mac, 0.4.36.0 oder neuer für Windows und 20191007 oder höher für Linux

Zugriffsebene erstellen

Sie müssen eine Zugriffsebene definieren, die Zertifikate erfordert, wenn Sie den Zugriff auf Ressourcen mit dem Erstellen einer benutzerdefinierten Zugriffsebene in Access Context Manager ermitteln.

Die Werte, die Sie für den Namen der Zugriffsebene, die Beschreibung, den nutzerfreundlichen Titel usw. verwenden, können für Sie sinnvoll sein. Der Ausdruck für die benutzerdefinierte Zugriffsebene muss jedoch so aussehen:

certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE

Wenn Sie beispielsweise das gcloud-Tool zum Erstellen Ihrer benutzerdefinierten Zugriffsebene verwenden würden, könnten Sie den folgenden Befehl verwenden:

gcloud access-context-manager levels create LEVEL_NAME \
  --title=TITLE \
  --custom-level-spec=FILE \
  --description=DESCRIPTION \
  --policy=POLICY_NAME

Der Inhalt der .yaml-Datei, auf die in FILE verwiesen wird, ist einfach der benutzerdefinierte Ausdruck:

expression: "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE"

Zugriffsebene anwenden

Nachdem eine Zugriffsebene erstellt wurde, besteht der letzte Verwaltungsschritt darin, ihre Einschränkungen durch Anwenden zu erzwingen.

Einschränkungen für den Administratorzugriff auf VMs erzwingen

Sie können die Zugriffsebene für den Administratorzugriff auf VM-Instanzen (über SSH und RDP) mit der IAP-TCP-Weiterleitung anwenden:

  • Bearbeiten Sie für Nutzer oder Gruppen mit der Rolle Nutzer IAP-gesicherter Tunnel die Berechtigungen, um eine Bedingung hinzuzufügen.
  • Verwenden Sie den Namen der Zugriffsebene, die Sie zuvor definiert haben. Das ist der Wert fürTITLE in dengcloud ) verwenden, um den Zugriff nach Zugriffsebene einzuschränken.

Zugriffsbeschränkungen für Google Cloud APIs erzwingen

Sie können einen zertifikatbasierten Zugriff erzwingen, wenn Nutzer versuchen, auf bestimmte Verwaltungs-APIs zuzugreifen, indem Sie einen VPC Service Controls-Dienstperimeter erstellen. Beim Erstellen (oder Ändern) eines Dienstperimeters wird die Option zum Angeben einer Zugriffsebene für Anfragen von außerhalb des Perimeters für den zertifikatbasierten Zugriff benötigt.

Verwenden Sie den Namen der zuvor erstellten benutzerdefinierten Zugriffsebene (der Wert für TITLE im Beispiel des gcloud-Tools), um sie in den Dienstperimeter einzufügen.

Nutzerzugriff auf geschützte Ressourcen aktivieren

Sobald zertifikatbasierte Zugriffsbeschränkungen gelten, müssen Ihre Nutzer ihren eigenen Zugriff auf geschützte Ressourcen aktivieren.

  • Bitten Sie Ihre Nutzer, das gcloud-Tool zu installieren oder zu aktualisieren, um sicherzustellen, dass sie eine Version haben, die mit einem zertifikatbasierten Zugriff arbeitet.

    Nutzer, die das gcloud-Tool bereits installiert haben, können mit Version 264.0.0 oder höher mit dem Befehl gcloud --version überprüfen, ob sie die Version installiert haben. Bei Bedarf kann sie ihre Version mit dem folgenden Befehl aktualisieren:

    gcloud components update
    
  • Nutzer müssen den folgenden Befehl ausführen, um den zertifikatbasierten Zugriff zu verwenden:

    gcloud config set context_aware/use_client_certificate true
    
  • Sie können sich dann wie gewohnt im gcloud-Tool anmelden:

    gcloud auth login
    

Sobald diese Schritte abgeschlossen sind, können Ihre Nutzer wieder das gcloud-Tool für den Administratorzugriff auf VM-Instanzen und den Zugriff auf die Google Cloud APIs verwenden.