Ressourcen mit zertifikatsbasiertem Zugriff sichern

Der zertifikatbasierte Zugriff schützt den Zugriff auf viele Google-Ressourcen, indem Geräte über ihre X.509-Zertifikate identifiziert werden. Der zertifikatsbasierte Zugriff stellt sicher, dass nur Nutzer auf einem vertrauenswürdigen Gerät mit einem von Google generierten Zertifikat über die TCP-Weiterleitung von Identity-Aware Proxy Administratorzugriff haben. Außerdem ist der Zugriff auf die Google Cloud APIs über einen Dienstperimeter von VPC Service Controls möglich.

Dies sorgt für ein stärkeres Signal der Geräteidentität und vor allem dafür, Nutzer vor Anmeldedatendiebstahl oder versehentlichem Verlust zu schützen, indem nur dann Zugriff gewährt wird, wenn sowohl die Anmeldedaten als auch das ursprüngliche Gerätezertifikat präsentiert werden.

Eine Liste der VPC Service Controls-Dienste, -Tools und -Clientbibliotheken, die vom zertifikatsbasierten Zugriff unterstützt werden, finden Sie unter Zertifikatbasierte Zugriffsdienste, Tools und Clientbibliotheken.

Die Funktion kann mit folgenden Schritten eingerichtet werden:

  1. Stellen Sie Endpoint Verification auf Geräten in Ihrer Organisation bereit.
  2. Erstellen Sie in Access Context Manager eine Zugriffsebene, die für den Zugriff übereinstimmende Gerätezertifikate erfordert.
  3. Erzwingen Sie Zugriffsbeschränkungen, indem Sie die Zugriffsebene über die IAP-TCP-Weiterleitung oder einen VPC Service Controls-Dienstperimeter anwenden.
  4. Ihre Nutzer ermöglichen den Zugriff auf VM-Instanzen oder die Google Cloud APIs, die jetzt durch zertifikatbasierten Zugriff geschützt sind.

Endpunktprüfung bereitstellen

Mit der Endpunktprüfung können Sie ein Inventar der Geräte erstellen, die auf die Daten Ihrer Organisation zugreifen. Als Teil einer BeyondCorp Enterprise-Lösung bedingt dies auch ein gesteigertes Gerätevertrauen und eine sicherheitsbasierte Zugriffssteuerung. Weiter befördert dies die Durchsetzung einer detaillierte Zugriffssteuerung für Ihre Google Cloud-Ressourcen. Für den zertifikatsbasierten Zugriff ist die Endpunktprüfung außerdem für die Generierung, Registrierung und Präsentation eines von Google bestätigten X.509-Zertifikats für jedes vertrauenswürdige Gerät verantwortlich.

Endpoint Verification wird als Chrome-Erweiterung auf Desktops und Laptops für Nutzer von Mac, Windows und Linux ausgeführt. Ein Administrator kann es auf den unternehmenseigenen Geräten der Organisation über die Google Workspace-Admin-Konsole bereitstellen oder Mitglieder der Organisation können es selbst installieren.

Nutzer, die zum ersten Mal installieren, sollten die neueste Version haben. Die folgenden Versionen der Endpunktprüfung sind jedoch erforderlich, um den zertifikatsbasierten Zugriff zu ermöglichen:

  • Chrome-Erweiterung „Endpoint Verification“: 1.0.38 oder höher
  • Native Hilfsanwendung: 0.4.40.0 oder höher für Mac, 0.4.36.0 oder höher für Windows und 20191007 oder höher für Linux

Zugriffsebene erstellen

Sie müssen eine Zugriffsebene definieren, die Zertifikate benötigt, um den Zugriff auf Ressourcen zu bestimmen. Dazu erstellen Sie eine benutzerdefinierte Zugriffsebene in Access Context Manager.

Die Werte, die Sie für den Namen der Zugriffsebene, die Beschreibung, den nutzerfreundlichen Titel usw. verwenden, können beliebig sein. Der Ausdruck für die benutzerdefinierte Zugriffsebene muss jedoch so lauten:

certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE

Wenn Sie beispielsweise die gcloud-Befehlszeile zum Erstellen Ihrer benutzerdefinierten Zugriffsebene verwendet haben, können Sie den folgenden Befehl verwenden:

gcloud access-context-manager levels create LEVEL_NAME \
  --title=TITLE \
  --custom-level-spec=FILE \
  --description=DESCRIPTION \
  --policy=POLICY_NAME

Der Inhalt der .yaml-Datei, auf die FILE verweist, ist einfach der benutzerdefinierte Ausdruck:

expression: "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE"

Zugriffsebene anwenden

Nachdem nun eine Zugriffsebene erstellt wurde, besteht der letzte administrative Schritt darin, ihre Einschränkungen durch Anwenden zu erzwingen.

Einschränkungen des Administratorzugriffs auf VMs durchsetzen

Sie können die Zugriffsebene für den Administratorzugriff auf VM-Instanzen (über SSH und RDP) mit IAP-TCP-Weiterleitung anwenden:

  • Bearbeiten Sie für Nutzer oder Gruppen, denen die Rolle Nutzer IAP-gesicherter Tunnel zugewiesen ist, die Berechtigungen zum Hinzufügen einer Bedingung.
  • Verwenden Sie den Namen der zuvor definierten Zugriffsebene (die im Wert von TITLE für die gcloud-Befehlszeile stehen würde), um den Zugriff nach Zugriffsebene einzuschränken.

Zugriffsbeschränkungen für die Google Cloud APIs durchsetzen

Sie können den zertifikatbasierten Zugriff erzwingen, wenn Nutzer versuchen, auf bestimmte Verwaltungs-APIs zuzugreifen, indem Sie einen VPC Service Controls-Dienstperimeter erstellen. Wenn Sie einen Dienstperimeter erstellen oder ändern, ist die Option zum Angeben einer Zugriffsebene für Anfragen außerhalb des Perimeters für den zertifikatsbasierten Zugriff erforderlich.

Verwenden Sie den Namen der zuvor erstellten benutzerdefinierten Zugriffsebene (der Wert für TITLE in der gcloud-Befehlszeile), um ihn in Ihren Dienstperimeter aufzunehmen.

Nutzerzugriff auf geschützte Ressourcen aktivieren

Wenn zertifikatsbasierte Zugriffsbeschränkungen gelten, müssen die Nutzer ihren eigenen Zugriff auf geschützte Ressourcen aktivieren.

Console

Bitten Sie Ihre Nutzer, in der sicheren Cloud Console auf Dienste zuzugreifen, die durch einen zertifikatsbasierten Zugriff auf VPC Service Controls geschützt sind.

Zur sicheren Cloud Console

Wenn ein Nutzer versucht, in der Cloud Console auf einen Dienst zuzugreifen, der durch zertifikatsbasierten Zugriff geschützt ist und nicht in der Richtlinie enthalten ist, wird die folgende Fehlermeldung angezeigt:

VPC Service Controls: Request is prohibited by organization's policy. vpcServiceControlsUniqueIdentifier

gcloud

  1. Bitten Sie die Nutzer, die gcloud-Befehlszeile zu installieren oder zu aktualisieren, damit ihre Version mit dem zertifikatsbasierten Zugriff ab Version 264.0.0 funktioniert.

    Nutzer, die bereits die gcloud-Befehlszeile installiert haben, können mit dem Befehl gcloud --version prüfen, ob sie die Version 264.0.0 oder höher haben. Bei Bedarf können sie ihre Version mit dem folgenden Befehl aktualisieren:

    gcloud components update
    
  2. Nutzer müssen den folgenden Befehl ausführen, um den zertifikatsbasierten Zugriff zu verwenden:

    gcloud config set context_aware/use_client_certificate true
    
  3. Nutzer können sich dann wie gewohnt in der gcloud-Befehlszeile anmelden:

    gcloud auth login
    

    Wenn die vorherigen Schritte abgeschlossen sind, können Ihre Nutzer zur gcloud-Befehlszeile für den Administratorzugriff auf VM-Instanzen und für den Zugriff auf die Google Cloud APIs zurückkehren.