Accesso sicuro alle applicazioni web private

Questo documento descrive come configurare un gateway sicuro Chrome Enterprise Premium per proteggere l'accesso alle tue applicazioni web private.

Un gateway sicuro Chrome Enterprise Premium funge da proxy di inoltro, applicando un framework di accesso Zero Trust e fornendo un controllo granulare e sensibile al contesto su chi accede alle tue applicazioni web private.

Come funziona la protezione dell'accesso alle applicazioni web private

Creando un tunnel sicuro e applicando criteri di accesso sensibile al contesto, il secure gateway mantiene private le applicazioni private e le protegge dall'esposizione a internet pubblico. Una configurazione del browser lato client indirizza il traffico per queste applicazioni tramite l'endpoint proxy Secure Gateway. Il gateway sicuro applica quindi la policy di accesso pertinente e, se consentito, indirizza la richiesta all'applicazione di destinazione.

Il gateway sicuro può proteggere le applicazioni web private ospitate nei seguenti ambienti:

• Google Cloud project: The secure gateway can direct access to applications that are running in your Google Cloud VPC network.

• NonGoogle Cloud (data center on-premise o altri cloud): devi prima stabilire una connessione tra la tua rete VPC privata suGoogle Cloud e la rete nonGoogle Cloud . Questa operazione viene in genere eseguita utilizzando Cloud VPN o Cloud Interconnect. Il gateway sicuro utilizza quindi la connessione per inviare il traffico alla tua rete VPC privata, che a sua volta lo indirizza all'ambiente nonGoogle Cloud .

Prima di iniziare

Prima di configurare il gateway sicuro, verifica di disporre di quanto segue:

• Una licenza Chrome Enterprise Premium
• Accesso alla Console di amministrazione Google con un account amministratore
• Un progetto Google Cloud con un account di fatturazione assegnato e le seguenti API abilitate: API BeyondCorp

• Il seguente ruolo Identity and Access Management (IAM) concesso all'amministratore che esegue la configurazione: A livello di progetto: amministratore di Cloud BeyondCorp (beyondcorp.admin).

• Per le applicazioni private in un ambiente nonGoogle Cloud , una connessione Cloud VPN o Cloud Interconnect tra l'ambienteGoogle Cloud e l'ambiente nonGoogle Cloud in cui si trova l'applicazione. Per saperne di più sulla configurazione delle connessioni di rete, consulta le seguenti risorse:

  • Documentazione di Cloud VPN
  • Documentazione di Cloud Interconnect

Configura l'ambiente shell

Per semplificare la procedura di configurazione e interagire con le API del gateway sicuro, definisci le seguenti variabili di ambiente nella shell di lavoro.

• Parametri generali

  API="beyondcorp.googleapis.com"
  API_VERSION=v1
  PROJECT_ID=MY_PROJECT_ID

  Sostituisci quanto segue:

  • MY_PROJECT_ID: l'ID del progetto in cui viene creato il gateway sicuro.

• Parametri del gateway sicuro

  SECURITY_GATEWAY_ID=MY_SECURITY_GATEWAY_ID
  SECURITY_GATEWAY_DISPLAY_NAME="MY_SECURITY_GATEWAY_DISPLAY_NAME"

  Sostituisci quanto segue:

  • MY_SECURITY_GATEWAY_ID: l'ID del gateway sicuro che vuoi creare. L'ID può contenere fino a 63 caratteri e può includere lettere minuscole, numeri e trattini. Il primo carattere deve essere una lettera e l'ultimo carattere può essere una lettera o un numero.
  • MY_SECURITY_GATEWAY_DISPLAY_NAME: il nome leggibile del gateway sicuro. Il nome può contenere fino a 63 caratteri stampabili.

Crea un gateway sicuro

Un gateway sicuro di Chrome Enterprise Premium è un elemento costitutivo fondamentale per stabilire connessioni sicure alle tue applicazioni. Assegna un progetto e una rete dedicati, fornendo isolamento e sicurezza.

gcloud beta beyondcorp security-gateways create ${SECURITY_GATEWAY_ID} \
  --project=${PROJECT_ID} \
  --location=global \
  --display-name="${SECURITY_GATEWAY_DISPLAY_NAME}"
      

curl \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-X POST \
-d '{ "display_name": "MY_SECURITY_GATEWAY_DISPLAY_NAME" }' \
"https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways?security_gateway_id=${SECURITY_GATEWAY_ID}"
      

Configura un'applicazione web privata

Prima di poter definire risorse applicative specifiche nel gateway sicuro, devi configurare le autorizzazioni e le impostazioni di rete necessarie per abilitare la connettività e il routing corretto.

Concedi le autorizzazioni al service account

Per inviare correttamente il traffico alla tua rete VPC, al gateway di sicurezza devono essere concesse determinate autorizzazioni IAM al suo service account di delega. In questo modo, il gateway sicuro può raggiungere le tue applicazioni private, indipendentemente dal fatto che siano ospitate all'interno di un VPC o in un ambiente non VPC connesso tramite Cloud VPN o Cloud Interconnect. Google Cloud Google Cloud

1. Ottieni i dettagli del gateway sicuro per identificare l'email del service account di delega. L'email si trova nel campo delegatingServiceAccount della risposta.

   gcloud

   gcloud beta beyondcorp security-gateways describe ${SECURITY_GATEWAY_ID} \
      --project=${PROJECT_ID} \
      --location=global
                  

   REST

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}"
                  

2. Imposta le variabili di ambiente per l'account di servizio e il progetto VPC di destinazione.

   DELEGATING_SERVICE_ACCOUNT="security-gateway@my-gateway-service-account.iam.gserviceaccount.com" # Replace with actual value
         

3. Concedi il ruolo IAM roles/beyondcorp.upstreamAccess all'account di servizio di delega nel tuo progetto VPC privato.

   gcloud projects add-iam-policy-binding PRIVATE_VPC_PROJECT_ID \
      --role=roles/beyondcorp.upstreamAccess \
      --member=serviceAccount:${DELEGATING_SERVICE_ACCOUNT}
       

   Sostituisci PRIVATE_VPC_PROJECT_ID con l'ID progetto della rete VPC in cui è distribuita l'app web privata o in cui è configurata Cloud VPN/Interconnect.

Attendi circa due minuti affinché la policy Identity and Access Management venga applicata dopo aver concesso il ruolo.

Configura il routing di rete e le regole firewall

Per consentire al traffico dal gateway sicuro di raggiungere le tue applicazioni web private, configura le regole firewall, il routing di rete e le impostazioni DNS.

Regole firewall per le applicazioni in Google Cloud

Se la tua applicazione web privata è ospitata all'interno della tua rete VPC Google Cloud , ad esempio su una VM Compute Engine, un servizio Google Kubernetes Engine con un IP interno o dietro un bilanciatore del carico TCP/UDP interno, configura le regole firewall VPCGoogle Cloud . Ciò consente il traffico TCP in entrata dagli intervalli IP del gateway sicuro: 34.158.8.0/21 e 136.124.16.0/20.

Regole firewall per le applicazioni in ambienti nonGoogle Cloud

Se la tua applicazione web privata si trova in un data center on-premise o nella rete di un altro cloud provider ed è connessa al tuo Google CloudVPC utilizzando Cloud VPN o Cloud Interconnect, configura le regole firewall sul firewall on-premise o i controlli di sicurezza di rete equivalenti, come gruppi di sicurezza e ACL di rete, nell'altro ambiente cloud. Ciò consente il traffico TCP in entrata dagli intervalli IP del gateway sicuro.

Configurare il routing dagli ambienti nonGoogle Cloud a un gateway sicuro

Per facilitare la comunicazione bidirezionale per le applicazioni private ospitate in ambienti nonGoogle Cloud , come on-premise o altri cloud, la tua rete esterna deve creare un percorso di ritorno agli intervalli IP del seguente gateway sicuro: 34.158.8.0/21 e 136.124.16.0/20.

Verifica che la tua rete privata possa raggiungere gli intervalli IP del gateway sicuro tramite Cloud VPN o Cloud Interconnect:

• Routing dinamico: se utilizzi il routing dinamico, ad esempio Border Gateway Protocol (BGP) con router Cloud, verifica che router Cloud in Google Cloud pubblicizzi esplicitamente gli intervalli IP del gateway sicuro al tuo dispositivo BGP on-premise. Sebbene BGP scambi dinamicamente molte route, gli intervalli IP del gateway sicuro richiedono una pubblicità esplicita.

• Routing statico: se utilizzi route statici, devi aggiungere manualmente route per ciascuno degli intervalli IP del gateway sicuro sulle apparecchiature di rete on-premise, come il router o il firewall. Queste route statiche devono specificare che il traffico destinato agli intervalli IP del gateway sicuro deve essere inviato tramite la connessione Cloud VPN o Cloud Interconnect.

  Quando utilizzi il routing statico, Cloud VPN deve trovarsi in una delle seguenti regioni supportate:

  • africa-south1
  • asia-east1
  • asia-south1
  • asia-south2
  • asia-southeast1
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west2
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • northamerica-northeast1
  • northamerica-northeast2
  • northamerica-south1
  • southamerica-east1
  • southamerica-west1
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-west1

Configurazione DNS per la risoluzione del nome host privato del gateway sicuro

Affinché il gateway sicuro risolva i nomi host delle applicazioni private, la tua rete VPCGoogle Cloud deve essere in grado di risolvere i nomi host utilizzando Cloud DNS. La configurazione specifica di Cloud DNS dipende da dove sono ospitati in modo autorevole i tuoi record DNS privati:

• Applicazioni all'interno di Google Cloud che utilizzano zone private di Cloud DNS: Se le tue applicazioni private sono ospitate in Google Cloud e i relativi record DNS sono gestiti all'interno di zone private di Cloud DNS associate alla tua rete VPC, verifica che le zone siano configurate e accessibili correttamente. Il gateway sicuro utilizza le funzionalità di risoluzione Cloud DNS esistenti del tuo VPC.

• Applicazioni in ambienti nonGoogle Cloud o che utilizzano server DNS esterni: se le tue applicazioni private si trovano in ambienti nonGoogle Cloud(on-premise o altri cloud) o se i loro record DNS sono gestiti da server DNS esterni alle zone private di Cloud DNS del tuo VPC, devi configurare Cloud DNS per inoltrare le query per questi domini privati. In genere, ciò comporta la creazione di zone di inoltro Cloud DNS all'interno del VPC. Queste zone indirizzeranno le query DNS per i domini privati specificati ai server DNS privati autorevoli, ad esempio on-premise o altri cloud.

Per istruzioni dettagliate sulla configurazione DNS, vedi Creare una zona di inoltro.

Crea una risorsa dell'applicazione

Per fornire l'accesso a un'applicazione web privata, devi stabilire l'applicazione all'interno del framework del gateway sicuro creando una risorsa applicazione. Questa risorsa definisce il modo in cui il gateway sicuro identifica il traffico per la tua applicazione (in base al nome host) e dove indirizzarlo.

1. Imposta le variabili di ambiente richieste eseguendo questo comando:

      APPLICATION_ID=MY_APPLICATION_ID
      APP_DISPLAY_NAME="MY_APP_DISPLAY_NAME"
      HOST_NAME=MY_HOST_NAME
      PRIVATE_NETWORK_RESOURCE_NAME=MY_PRIVATE_NETWORK_RESOURCE_NAME
      

   Sostituisci quanto segue:
   • MY_APPLICATION_ID: un ID univoco per la risorsa applicazione.
   • MY_APP_DISPLAY_NAME: Il nome leggibile da una persona da visualizzare.
   • MY_HOST_NAME: il nome host principale a cui accedono gli utenti (ad esempio private.local).
   • MY_PRIVATE_NETWORK_RESOURCE_NAME: Il nome completo della risorsa della rete VPC (ad esempio, projects/my-project/global/networks/my-network).
2. Crea la risorsa dell'applicazione.

   gcloud

   Esegui questo comando per creare la risorsa dell'applicazione.

   gcloud beta beyondcorp security-gateways applications create ${APPLICATION_ID} \
     --project=${PROJECT_ID} \
     --security-gateway=${SECURITY_GATEWAY_ID} \
     --location=global \
     --display-name="${APP_DISPLAY_NAME}" \
     --endpoint-matchers="hostname=${HOST_NAME}" \
     --upstreams=network=name="${PRIVATE_NETWORK_RESOURCE_NAME}"
           

   Per specificare una regione di uscita (ad esempio, quando utilizzi route statiche), aggiungi il flag --egress-regions:

   gcloud beta beyondcorp security-gateways applications create ${APPLICATION_ID} \
     --project=${PROJECT_ID} \
     --security-gateway=${SECURITY_GATEWAY_ID} \
     --location=global \
     --display-name="${APP_DISPLAY_NAME}" \
     --endpoint-matchers="hostname=${HOST_NAME}" \
     --upstreams=network=name="${PRIVATE_NETWORK_RESOURCE_NAME}",egressPolicy=regions=us-central1
           

   Sostituisci us-central1 con la Google Cloud regione (ad esempio europe-west1 o asia-northeast1) che corrisponde alla configurazione del routing statico regionale. Se non hai requisiti di routing statico regionali specifici, puoi omettere il criterio di uscita dalla configurazione.

   REST

   Per creare una risorsa applicazione con l'API, completa i seguenti passaggi:

   1. Crea un file denominato application.json.

      {
      "display_name": "MY_APP_DISPLAY_NAME",
      "endpoint_matchers": [
         {"hostname": "MY_HOST_NAME"}
      ],
      "upstreams": [{
         "network": {
            "name": "MY_PRIVATE_NETWORK_RESOURCE_NAME"
         }
      }]
      }
               

      Per specificare una regione di uscita (ad esempio, quando utilizzi route statiche), aggiungi un egress_policy alla configurazione upstream:

      {
      "display_name": "MY_APP_DISPLAY_NAME",
      "endpoint_matchers": [
         {"hostname": "MY_HOST_NAME"}
      ],
      "upstreams": [{
         "network": {
            "name": "MY_PRIVATE_NETWORK_RESOURCE_NAME"
         },
         "egress_policy": {
            "regions": [
            "us-central1"
            ]
         }
      }]
      }
                

      Sostituisci us-central1 con la Google Cloud regione (ad esempio europe-west1 o asia-northeast1) che corrisponde alla configurazione del routing statico regionale. Se non hai requisiti di routing statico regionali specifici, puoi omettere il criterio di uscita dalla configurazione.

   2. Chiama il metodo API Create.

      curl \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      -H "Content-Type: application/json" \
      -X POST \
      -d @application.json \
      "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications?application_id=${APPLICATION_ID}"
                

Configurare la modalità proxy di Google Chrome

Per instradare il traffico per la risorsa dell'applicazione tramite Secure Gateway, configura Chrome applicando un file PAC nelle impostazioni di Chrome nella Console di amministrazione Google.

1. Crea o aggiorna un file PAC.

   • Se stai creando la tua prima applicazione, crea un file pac_config.js utilizzando il seguente file PAC di esempio.

   • Se stai creando una seconda o una successiva applicazione, aggiorna il file pac_config.js esistente e aggiungi i domini della nuova applicazione all'array dei siti, come mostrato nel seguente file PAC di esempio.

   function FindProxyForURL(url, host) {
    const PROXY = "HTTPS ingress.cloudproxy.app:443";
    const sites = ["MY_HOST_NAME"];
   
    for (const site of sites) {
      if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) {
        return PROXY;
      }
    }
   return 'DIRECT';
   }

   Se utilizzi un file PAC esistente non specifico per un gateway sicuro, unisci i file PAC aggiungendo i domini della tua applicazione all'array dei siti.

2. Carica il file in modo che sia scaricabile pubblicamente. Ad esempio, puoi caricare il file su Cloud Storage e renderlo scaricabile pubblicamente concedendo a tutti gli utenti il ruolo Utente oggetto Storage nel bucket.

3. Per verificare che il file caricato sia sempre l'ultima versione, puoi modificare il suo comportamento di memorizzazione nella cache impostando l'intestazione Cache-Control su no-cache. Questa impostazione impedisce ai browser e ai server intermedi di archiviare una copia del file, in modo che Chrome scarichi sempre la versione più recente.

   Per saperne di più su Cache-Control e sul suo impatto sulla memorizzazione nella cache del browser, consulta Intestazione Cache-Control.

4. Copia l'URL pubblico del file caricato.

Aggiornare le impostazioni della modalità proxy

1. Vai alla Console di amministrazione Google.
2. Fai clic su Dispositivi -> Chrome -> Impostazioni.
3. Seleziona un'unità organizzativa o un gruppo, quindi fai clic su Modalità proxy.
4. Nella pagina Modalità proxy, seleziona Utilizza sempre la configurazione automatica proxy specificata di seguito e inserisci l'URL del file PAC da Cloud Storage.

Configura un criterio di accesso

Puoi applicare una policy di accesso per controllare l'accesso a livello di gateway sicuro, il che influisce su tutte le applicazioni associate, o a livello di singola applicazione per un controllo più granulare.

Aggiornare in sicurezza una policy di accesso

Il comando setIamPolicy sostituisce l'intera policy esistente con quella che fornisci. Per evitare di rimuovere accidentalmente le autorizzazioni esistenti, ti consigliamo di seguire un pattern "read-modify-write". In questo modo, aggiungi solo al criterio esistente, senza sovrascriverlo.

1. Lettura: innanzitutto, recupera il criterio di accesso corrente.

2. Modifica: modifica il file di criteri localmente per aggiungere o modificare le autorizzazioni.

3. Scrittura: applica il file delle norme aggiornato.

Ottieni la norma corrente

Recupera le norme attuali prima di apportare modifiche.

Il campo etag nelle norme funge da identificatore di versione. Impedisce aggiornamenti in conflitto se più amministratori apportano modifiche contemporaneamente.

Il seguente comando recupera la policy e la salva in un file denominato policy.json.

• Recupera il criterio per un gateway sicuro:

  curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}:getIamPolicy" > policy.json

• Recupera il criterio per una singola applicazione:

  curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications/${APPLICATION_ID}:getIamPolicy" > policy.json

Dopo aver eseguito il comando, viene creato un file policy.json che contiene il criterio attuale.

Modificare il file di criteri

Apri il file policy.json in un editor di testo. Per concedere a un gruppo l'accesso per utilizzare il gateway sicuro, aggiungi il gruppo all'elenco members per il ruolo roles/beyondcorp.securityGatewayUser.

Il tuo policy.json dovrebbe essere simile al seguente esempio:

{
  "policy": {
    "version": 3,
    "bindings": [
      {
        "role": "roles/beyondcorp.securityGatewayUser",
        "members": [
          "group:existing-group@example.com"
        ]
      }
    ],
    "etag": "BwXN8_d-bOM="
  }
}

Per aggiungere un nuovo gruppo, aggiungi una nuova voce all'array members. Includi una virgola dopo la voce precedente.

L'esempio seguente aggiunge new-group@example.com:

{
  "policy": {
    "version": 3,
    "bindings": [
      {
        "role": "roles/beyondcorp.securityGatewayUser",
        "members": [
          "group:existing-group@example.com",
          "group:new-group@example.com"
        ]
      }
    ],
    "etag": "BwXN8_d-bOM="
  }
}

Puoi anche aggiungere altri tipi di membri, come serviceAccount, user, group, principal e principalSet, nei binding dei criteri. Per saperne di più, consulta la sezione Entità IAM.

Applica le norme aggiornate

Dopo aver modificato e salvato il file policy.json, applicalo alla risorsa utilizzando il comando setIamPolicy. Questo comando utilizza etag dal file per assicurarti di aggiornare la versione corretta.

• Applica il criterio a un gateway sicuro:

  jq '{policy: .}' policy.json | curl -X POST \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      -H "Content-Type: application/json" \
      -d @- \
      "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}:setIamPolicy"

• Applica il criterio a una singola applicazione:

  jq '{policy: .}' policy.json | curl -X POST \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      -H "Content-Type: application/json" \
      -d @- \
      "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications/${APPLICATION_ID}:setIamPolicy"

Aggiungere una policy di accesso condizionale

Puoi anche impostare criteri di accesso con condizioni. Le condizioni specificano i requisiti, ad esempio l'indirizzo IP di un utente proveniente da una posizione specifica.

L'esempio seguente mostra un criterio che concede l'accesso solo se l'indirizzo IP di origine si trova all'interno di un livello di accesso specificato:

{
  "policy": {
    "version": 3,
    "bindings": [
      {
        "role": "roles/beyondcorp.securityGatewayUser",
        "members": [
          "group:group@example.com"
        ],
        "condition": {
          "expression": "request.auth.access_levels.contains('accessPolicies/1234567890/accessLevels/in_us')",
          "title": "Source IP must be in US"
        }
      }
    ],
    "etag": "BwXN8_d-bOM="
  }
}

Per applicare queste norme, segui i passaggi descritti in precedenza.

Installa l'estensione Chrome Enterprise Premium

L'estensione Chrome Enterprise Premium è parte integrante di un gateway sicuro e aiuta con l'autenticazione. Installa l'estensione per tutti gli utenti del gateway sicuro. Per informazioni sul deployment dell'estensione, vedi Visualizzare e configurare app ed estensioni.

1. Vai alla Console di amministrazione Google.
2. Fai clic su Browser Chrome -> App ed estensioni.
3. Fai clic sulla scheda Utenti e browser.
4. Per aggiungere un'estensione di Chrome, fai clic sul pulsante +.
5. Cerca ekajlcmdfcigmdbphhifahdfjbkciflj, quindi forzane l'installazione per tutti gli utenti dell'unità organizzativa o del gruppo.

6. Fai clic sull'estensione installata, quindi vai al campo Criteri per le estensioni e fornisci il seguente valore JSON:

   {
    "securityGateway": {
      "Value": {
        "authentication": {},
        "context": { "resource": "projects/MY_PROJECT_ID/locations/global/securityGateways/MY_SECURITY_GATEWAY_ID" }
      }
    }
   }

Esperienza utente finale

Al termine della configurazione, agli utenti finali che accedono all'applicazione SaaS protetta viene concesso o negato l'accesso in base al criterio di accesso applicato all'applicazione.

Accedere all'applicazione in Chrome

L'estensione Chrome Enterprise Premium è necessaria per indirizzare il traffico attraverso il gateway sicuro. L'estensione gestisce l'autenticazione tra l'utente e il gateway sicuro. L'estensione viene installata automaticamente tramite il criterio del dominio.

Quando gli utenti accedono all'applicazione SaaS che hai configurato, il loro traffico passa attraverso il gateway sicuro, che verifica se soddisfano i criteri di accesso. Se gli utenti superano i controlli dei criteri di accesso, viene concesso loro l'accesso all'applicazione.

Quando l'accesso del browser all'applicazione viene rifiutato dal criterio di autorizzazione, gli utenti ricevono un messaggio Access denied.

Passaggi successivi

• Risolvere i problemi relativi al gateway sicuro
• Gestire un gateway sicuro