Acceso seguro a aplicaciones web privadas

En este documento, se describe cómo configurar una puerta de enlace segura de Chrome Enterprise Premium para proteger el acceso a tus aplicaciones web privadas.

Una puerta de enlace segura de Chrome Enterprise Premium funciona como un proxy de reenvío, aplica un marco de trabajo de acceso de confianza cero y ofrece un control detallado y adaptado al contexto sobre quién accede a tus aplicaciones web privadas.

Cómo funciona la protección del acceso a aplicaciones web privadas

Al establecer un túnel seguro y aplicar políticas de acceso basadas en el contexto, la puerta de enlace segura mantiene la privacidad de las aplicaciones privadas y las protege de la exposición a Internet pública. Una configuración del navegador del cliente dirige el tráfico de estas aplicaciones a través del extremo del proxy de puerta de enlace segura. Luego, la puerta de enlace segura aplica la política de acceso pertinente y, si se permite, enruta la solicitud a la aplicación de destino.

La puerta de enlace segura puede proteger las aplicaciones web privadas alojadas en los siguientes entornos:

• Google Cloud project: La puerta de enlace segura puede acceder directamente a las aplicaciones que se ejecutan en tu red de Google Cloud VPC.

• NoGoogle Cloud (centros de datos locales o otras nubes): Primero debes establecer una conexión entre tu red de VPC privada en Google Cloud y la red que no es deGoogle Cloud . Esto se suele hacer con Cloud VPN o Cloud Interconnect. Luego, la puerta de enlace segura usa la conexión para enviar el tráfico a tu red de VPC privada, que, a su vez, lo enruta al entorno que no es deGoogle Cloud .

Antes de comenzar

Antes de configurar la puerta de enlace segura, verifica que tengas lo siguiente:

• Una licencia de Chrome Enterprise Premium
• Acceso a la Consola del administrador de Google con una cuenta de administrador
• Un proyecto Google Cloud con una cuenta de facturación asignada y la siguiente API habilitada: API de BeyondCorp

• El siguiente rol de Identity and Access Management (IAM) se otorga al administrador que configura las opciones: Nivel del proyecto: Administrador de Cloud BeyondCorp (beyondcorp.admin).

• Para las aplicaciones privadas en un entorno que no es deGoogle Cloud , una conexión de Cloud VPN o Cloud Interconnect entre tu entorno deGoogle Cloud y el entorno que no es deGoogle Cloud en el que reside tu aplicación. Para obtener más información sobre cómo configurar conexiones de red, consulta los siguientes recursos:

  • Documentación de Cloud VPN
  • Documentación de Cloud Interconnect

Configura tu entorno de shell

Para optimizar el proceso de configuración y, luego, interactuar con las APIs de la puerta de enlace segura, define las siguientes variables de entorno en tu shell de trabajo.

• Parámetros generales

  API="beyondcorp.googleapis.com"
  API_VERSION=v1
  PROJECT_ID=MY_PROJECT_ID
  

  Reemplaza lo siguiente:

  • MY_PROJECT_ID: Es el ID del proyecto en el que se crea la puerta de enlace segura.

• Parámetros de puerta de enlace seguros

  SECURITY_GATEWAY_ID=MY_SECURITY_GATEWAY_ID
  SECURITY_GATEWAY_DISPLAY_NAME="MY_SECURITY_GATEWAY_DISPLAY_NAME"
  

  Reemplaza lo siguiente:

  • MY_SECURITY_GATEWAY_ID: Es el ID de la puerta de enlace segura que deseas crear. El ID puede tener un máximo de 63 caracteres y puede contener letras minúsculas, números y guiones. El primer carácter debe ser una letra y el último puede ser una letra o un número.
  • MY_SECURITY_GATEWAY_DISPLAY_NAME: Es el nombre legible de la puerta de enlace segura. El nombre puede tener hasta 63 caracteres y puede incluir caracteres imprimibles.

Crea una puerta de enlace segura

Una puerta de enlace segura de Chrome Enterprise Premium es un componente básico fundamental para establecer conexiones seguras con tus aplicaciones. Asigna un proyecto y una red dedicados, lo que proporciona aislamiento y seguridad.

Para crear una puerta de enlace segura, completa los siguientes pasos.

1. Crea un archivo llamado securityGateway.json con el siguiente ejemplo.

   {
      "display_name": "MY_SECURITY_GATEWAY_DISPLAY_NAME",
   }
   

2. Llama a la API de Create para crear un recurso de puerta de enlace seguro.

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @securityGateway.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways?security_gateway_id=${SECURITY_GATEWAY_ID}"
   

Configura una aplicación web privada

Antes de definir recursos de aplicaciones específicos en la puerta de enlace segura, debes configurar los permisos y la configuración de red necesarios para habilitar la conectividad y el enrutamiento adecuado.

Otorga permisos a la cuenta de servicio.

Para que la puerta de enlace segura envíe tráfico a tu red de VPC correctamente, necesita ciertos permisos de IAM otorgados a su cuenta de servicio delegada. Esto permite que la puerta de enlace segura llegue a tus aplicaciones privadas, ya sea que estén alojadas dentro de una Google Cloud VPC o en un entorno que no sea deGoogle Cloud y que esté conectado a través de Cloud VPN o Cloud Interconnect.

1. Identifica el correo electrónico de la cuenta de servicio delegada. Este correo electrónico se encuentra en el campo delegatingServiceAccount de tu recurso de puerta de enlace de seguridad.

   {
      "name": "projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}",
      "createTime": "2024-10-28T20:46:50.949740776Z",
      "updateTime": "2024-10-29T18:41:18.520661431Z",
      "state": "RUNNING",
      "delegatingServiceAccount": "security-gateway@my-gateway-service-account.iam.gserviceaccount.com"
   }
   

2. Configura variables de entorno para la cuenta de servicio y tu proyecto de VPC de destino.

   DELEGATING_SERVICE_ACCOUNT="security-gateway@my-gateway-service-account.iam.gserviceaccount.com" # Replace with actual value
   

3. Otorga el rol de IAM roles/beyondcorp.upstreamAccess a la cuenta de servicio de delegación en tu proyecto de VPC privada.

   gcloud projects add-iam-policy-binding PRIVATE_VPC_PROJECT_ID \
       --role=roles/beyondcorp.upstreamAccess \
       --member=serviceAccount:${DELEGATING_SERVICE_ACCOUNT}
   

   Reemplaza PRIVATE_VPC_PROJECT_ID por el ID del proyecto de la red de VPC en la que se implementa la app web privada o en la que se configura Cloud VPN o Interconnect.

Espera aproximadamente dos minutos para que la política de Identity and Access Management surta efecto después de que otorgues el rol.

Configura el enrutamiento de red y las reglas de firewall

Para permitir que el tráfico de la puerta de enlace segura llegue a tus aplicaciones web privadas, configura las reglas de firewall, el enrutamiento de red y la configuración de DNS.

Reglas de firewall para aplicaciones en Google Cloud

Si tu aplicación web privada está alojada dentro de tu red de Google Cloud VPC, por ejemplo, en una VM de Compute Engine, un servicio de Google Kubernetes Engine con una IP interna o detrás de un balanceador de cargas TCP/UDP interno, configuraGoogle Cloud reglas de firewall de VPC. Esto permite el tráfico TCP de entrada desde los rangos de IP de la puerta de enlace segura: 34.158.8.0/21 y 136.124.16.0/20.

Reglas de firewall para aplicaciones en entornos que no son deGoogle Cloud

Si tu aplicación web privada reside en un centro de datos local o en la red de otro proveedor de servicios en la nube, y está conectada a tu VPC de Google Cloudcon Cloud VPN o Cloud Interconnect, configura reglas de firewall en tu firewall local o en los controles de seguridad de red equivalentes, como grupos de seguridad y ACL de red, en el otro entorno de nube. Esto permite el tráfico de entrada de TCP desde los rangos de IP de la puerta de enlace segura.

Configura el enrutamiento desde entornos que no son deGoogle Cloud a una puerta de enlace segura

Para la comunicación bidireccional cuando se protegen aplicaciones privadas alojadas en entornos que no son deGoogle Cloud , como locales o en otras nubes, tu red externa debe crear una ruta de retorno a las siguientes direcciones IP de la puerta de enlace segura: 34.158.8.0/21 y 136.124.16.0/20.

Verifica que tu red privada pueda acceder a los rangos de IP de la puerta de enlace segura a través de Cloud VPN o Cloud Interconnect:

• Enrutamiento dinámico: Si usas enrutamiento dinámico, como el Protocolo de Puerta de Enlace Fronteriza (BGP) con Cloud Router, verifica que tu Cloud Router enGoogle Cloud anuncie de forma explícita los rangos de IP de la puerta de enlace segura a tu dispositivo BGP local. Si bien el BGP intercambia dinámicamente muchas rutas, los rangos de IP de la puerta de enlace segura requieren un anuncio explícito.

• Enrutamiento estático: Si usas rutas estáticas, debes agregar manualmente rutas para cada uno de los rangos de IP de la puerta de enlace segura en el equipo de tu red local, como el router o el firewall. Estas rutas estáticas deben especificar que el tráfico destinado a los rangos de IP de la puerta de enlace segura se debe enviar a través de la conexión de Cloud VPN o Cloud Interconnect.

  Cuando se usa el enrutamiento estático, Cloud VPN debe estar en una de las siguientes regiones admitidas:

  • africa-south1
  • asia-east1
  • asia-south1
  • asia-south2
  • asia-southeast1
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west2
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • northamerica-northeast1
  • northamerica-northeast2
  • northamerica-south1
  • southamerica-east1
  • southamerica-west1
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-west1

Configuración de DNS para la resolución segura de nombres de host privados de la puerta de enlace

Para que la puerta de enlace segura resuelva los nombres de host de tu aplicación privada, tu red de VPCGoogle Cloud debe poder resolver los nombres de host con Cloud DNS. La configuración específica de Cloud DNS depende de dónde se alojen de forma autorizada tus registros DNS privados:

• Aplicaciones dentro de Google Cloud con zonas privadas de Cloud DNS: Si tus aplicaciones privadas están alojadas en Google Cloud y sus registros DNS se administran dentro de las zonas privadas de Cloud DNS asociadas a tu red de VPC, verifica que las zonas estén configuradas y sean accesibles correctamente. La puerta de enlace segura usa las capacidades de resolución de Cloud DNS existentes de tu VPC.

• Aplicaciones en entornos que no son deGoogle Cloud o que usan servidores DNS externos: Si tus aplicaciones privadas se encuentran en entornos que no son deGoogle Cloud(locales o en otras nubes) o si sus registros DNS se administran con servidores DNS externos a las zonas privadas de Cloud DNS de tu VPC, debes configurar Cloud DNS para que reenvíe las consultas de estos dominios privados. Por lo general, esto implica crear zonas de reenvío de Cloud DNS dentro de tu VPC. Estas zonas dirigirán las consultas de DNS para tus dominios privados especificados a tus servidores DNS privados autorizados, como los locales o los de otras nubes.

Para obtener instrucciones detalladas sobre la configuración de DNS, consulta Crea una zona de reenvío.

Crea un recurso de aplicación

Para proporcionar acceso a una aplicación web privada, debes establecerla dentro del marco de trabajo de la puerta de enlace segura creando un recurso de aplicación. Este recurso define cómo la puerta de enlace segura identifica el tráfico de tu aplicación (según el nombre de host) y a dónde enruta ese tráfico.

1. Ejecuta el siguiente comando para establecer las variables de entorno requeridas:

   APPLICATION_ID=MY_APPLICATION_ID
   APP_DISPLAY_NAME="MY_APP_DISPLAY_NAME"
   

   Reemplaza lo siguiente:

   • MY_APPLICATION_ID: Es un ID único para el recurso de la aplicación.
   • MY_APP_DISPLAY_NAME: Es el nombre legible que se mostrará.

2. Crea un archivo JSON llamado application.json con el siguiente ejemplo.

   {
   "display_name": "MY_APP_DISPLAY_NAME",
   "endpoint_matchers": [
     {"hostname": "MY_HOST_NAME"}
   ],
   "upstreams": [{
    "network": {
       "name": "MY_PRIVATE_NETWORK_RESOURCE_NAME"
    }
   }]
   }
   

   Reemplaza MY_HOST_NAME por el nombre de host principal al que acceden los usuarios. Por ejemplo, private.local El nombre de host puede tener hasta 253 caracteres y debe cumplir con uno de los siguientes formatos:

   • Una dirección IPv4 válida
   • Una dirección IPv6 válida
   • Un nombre de DNS válido
   • Un asterisco (*)
   • Un asterisco (*) seguido de un nombre de DNS válido

   Reemplaza MY_PRIVATE_NETWORK_RESOURCE_NAME por el nombre completo del recurso de la red de VPC en la que se aloja tu aplicación o a la que se conecta tu entorno que no es deGoogle Cloud . El nombre de la red debe tener el formato projects/{project}/global/networks/{network}.

3. Opcional: Especifica una región de salida.

   En algunas configuraciones de red, es posible que debas controlar la regiónGoogle Cloud por la que el tráfico de la puerta de enlace segura sale a tu aplicación privada. Por ejemplo, esto se aplica si usas rutas estáticas a través de tu Cloud VPN o Cloud Interconnect. Para estas configuraciones, puedes agregar una política de salida a la configuración upstream de tu aplicación. Esta política de salida dirige la puerta de enlace segura para enrutar el tráfico de la aplicación desde la región de Google Cloudespecificada a tu red privada.

   A continuación, se muestra un ejemplo de un archivo JSON que incluye un egress_policy.

   {
   "display_name": "MY_APP_DISPLAY_NAME",
   "endpoint_matchers": [
    {"hostname": "MY_HOST_NAME"}
   ],
   "upstreams": [{
    "network": {
       "name": "MY_PRIVATE_NETWORK_RESOURCE_NAME"
    },
    "egress_policy": {
        "regions": [
           "us-central1"
        ]
     }
   }]
   }
   

   Reemplaza us-central1 por la Google Cloud región (como europe-west1 o asia-northeast1) que se alinea con tu configuración de enrutamiento estático regional. Si no tienes requisitos específicos de enrutamiento estático regional, puedes omitir la política de salida de tu configuración.

4. Crea el recurso de la aplicación llamando a la API de Create.

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @application.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications?application_id=${APPLICATION_ID}"
   

Cómo configurar el modo de proxy de Google Chrome

Para enrutar el tráfico del recurso de la aplicación a través de la puerta de enlace segura, configura Chrome aplicando un archivo PAC en la configuración de Chrome en la Consola del administrador de Google.

1. Crea o actualiza un archivo PAC.

   • Si es la primera vez que creas una aplicación, crea un archivo pac_config.js con el siguiente archivo PAC de ejemplo.

   • Si creas una segunda aplicación o una posterior, actualiza tu archivo pac_config.js existente y agrega los dominios de tu nueva aplicación al array de sitios, como se muestra en el siguiente ejemplo de archivo PAC.

   function FindProxyForURL(url, host) {
    const PROXY = "HTTPS ingress.cloudproxy.app:443";
    const sites = ["MY_HOST_NAME"];
   
    for (const site of sites) {
      if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) {
        return PROXY;
      }
    }
   return 'DIRECT';
   }
   

   Si usas un archivo PAC existente que no es específico para una puerta de enlace segura, combina los archivos PAC agregando los dominios de tu aplicación al array de sitios.

2. Sube el archivo para que se pueda descargar públicamente. Por ejemplo, puedes subir el archivo a Cloud Storage y hacer que todos los usuarios puedan descargarlo de forma pública otorgándoles el rol de Usuario de objetos de Storage en el bucket.

3. Para verificar que el archivo subido sea siempre la versión más reciente, puedes ajustar su comportamiento de almacenamiento en caché configurando el encabezado Cache-Control en no-cache. Este parámetro de configuración impide que los navegadores y los servidores intermedios almacenen una copia del archivo, de modo que Chrome siempre descargue la versión más reciente.

   Para obtener más información sobre Cache-Control y cómo afecta al almacenamiento en caché del navegador, consulta Encabezado Cache-Control.

4. Copia la URL pública del archivo cargado.

Actualiza la configuración del modo de proxy

1. Ve a la Consola del administrador de Google.
2. Haz clic en Devices -> Chrome -> Settings.
3. Selecciona una unidad organizativa o un grupo y, luego, haz clic en Modo de proxy.
4. En la página Modo de proxy, selecciona Usar siempre la configuración automática de proxy que se especifica a continuación y, luego, ingresa la URL del archivo PAC de Cloud Storage.

Configura una política de acceso

Puedes aplicar una política de acceso a nivel de la puerta de enlace segura o de la aplicación:

• Recurso de puerta de enlace segura: Aplica una política a nivel de la puerta de enlace segura para controlar el acceso a todas las aplicaciones asociadas.
• Aplicación individual: Para obtener un control más detallado, puedes aplicar una política de acceso a una aplicación individual.

1. Crea un archivo en formato JSON llamado setIamPolicy.json y agrega lo siguiente.

   {
    "policy": {
      object (POLICY)
    }
   }
   

   Reemplaza POLICY por una política de permisos de IAM. El etag de la política debe ser el mismo que el etag de la política activa, que puedes obtener llamando al método getIamPolicy.

2. Para permitir que un grupo específico use la puerta de enlace segura, otórgale el rol roles/beyondcorp.securityGatewayUser.

   {
    "policy": {
      "version": 3,
      "bindings": [
        {
          "role": "roles/beyondcorp.securityGatewayUser",
          "members": [
                  "group:"
          ]
        }
      ],
      "etag": "AA1jlb"
    }
   }
   

   Para obtener más identificadores, como serviceAccount, user, group, principal y principalSet, en las vinculaciones de políticas, consulta Principal de IAM.

3. Aplica la política de acceso en la puerta de enlace segura especificada en el archivo JSON llamando a la API de setIamPolicy.

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @setIamPolicy.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}:setIamPolicy"
   

   Para aplicar la política de acceso en una aplicación, usa el siguiente comando:

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @setIamPolicy.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications/${APPLICATION_ID}:setIamPolicy"
   

También puedes establecer políticas de acceso con niveles de acceso como condición, como se muestra en el siguiente ejemplo.

{
  "policy": {
    "version": 3,
    "bindings": [
      {
        "role": "roles/beyondcorp.securityGatewayUser",
        "members": [
                "group:"
        ],
        "condition": {
                "expression": "'accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels",
                "title": "Source IP must be in US"
        }
      }
    ],
    "etag": "A1jlb"
  }
}'

Instala la extensión de Chrome Enterprise Premium

La extensión de Chrome Enterprise Premium es una parte integral de una puerta de enlace segura y ayuda con la autenticación. Instala la extensión para todos los usuarios de la puerta de enlace segura. Para obtener información sobre la implementación de la extensión, consulta Cómo ver y configurar apps y extensiones.

1. Ve a la Consola del administrador de Google.
2. Haz clic en Navegador Chrome -> Apps y extensiones.
3. Haz clic en la pestaña Usuarios y navegadores.
4. Para agregar una extensión de Chrome, haz clic en el botón +.
5. Busca ekajlcmdfcigmdbphhifahdfjbkciflj y, luego, fuerza la instalación para todos los usuarios de la unidad organizativa o el grupo.

6. Haz clic en la extensión instalada y, luego, ve al campo Política de extensiones y proporciona el siguiente valor JSON:

   {
    "securityGateway": {
      "Value": {
        "authentication": {},
        "context": { "resource": "projects/MY_PROJECT_ID/locations/global/securityGateways/MY_SECURITY_GATEWAY_ID" }
      }
    }
   }
   

Experiencia del usuario final

Cuando se completa la configuración, se otorga o deniega el acceso a los usuarios finales que acceden a la aplicación SaaS protegida según la política de acceso aplicada a la aplicación.

Cómo acceder a la aplicación en Chrome

Se requiere la extensión de Chrome Enterprise Premium para dirigir el tráfico a través de la puerta de enlace segura. La extensión controla la autenticación entre el usuario y la puerta de enlace segura. La extensión se instala automáticamente a través de la política del dominio.

Cuando los usuarios acceden a la aplicación de SaaS que configuraste, su tráfico pasa por la puerta de enlace segura, que verifica si cumplen con la política de acceso. Si los usuarios pasan las verificaciones de la política de acceso, se les otorga acceso a la aplicación.

Cuando la política de autorización rechaza el acceso del navegador a la aplicación, los usuarios reciben un mensaje de Access denied.

¿Qué sigue?

• Cómo solucionar problemas de la puerta de enlace segura
• Administra una puerta de enlace segura