安全存取私人網頁應用程式

本文說明如何設定 Chrome Enterprise Premium 安全閘道，確保私人網頁應用程式的存取安全。

Chrome Enterprise Premium 安全閘道可做為轉送 Proxy，強制執行零信任存取架構，並根據情境精細控管私人網頁應用程式的存取權。

如何確保私人網頁應用程式的存取安全

安全閘道會建立安全通道並強制執行情境感知存取權政策，確保私人應用程式的隱私權，避免暴露在公用網路上。用戶端瀏覽器設定會將這些應用程式的流量導向安全閘道 Proxy 端點。安全閘道接著會套用相關存取權政策，並在允許的情況下，將要求轉送至目的地應用程式。

安全閘道可保護下列環境中託管的私有網頁應用程式：

• Google Cloud 專案：安全閘道可直接存取在 Google Cloud 虛擬私有雲網路中執行的應用程式。

• 非Google Cloud (內部部署資料中心或其他雲端)：您必須先在Google Cloud 上建立私人虛擬私有雲網路與非Google Cloud 網路之間的連線。這通常是透過 Cloud VPN 或 Cloud Interconnect 完成。安全閘道接著會使用連線將流量傳送至私有虛擬私有雲網路，該網路隨後會將流量傳送至非Google Cloud 環境。

事前準備

設定安全閘道前，請確認您具備下列項目：

• Chrome Enterprise Premium 授權
• 使用管理員帳戶存取 Google 管理控制台
• 已指派帳單帳戶的 Google Cloud 專案，並啟用下列 API： BeyondCorp API

• 管理員設定時必須具備下列身分與存取權管理 (IAM) 角色： 專案層級：Cloud BeyondCorp 管理員 (beyondcorp.admin)。

• 如果私人應用程式位於非Google Cloud 環境，則需要建立Google Cloud 環境與應用程式所在非Google Cloud 環境之間的 Cloud VPN 或 Cloud Interconnect 連線。如要進一步瞭解如何設定網路連線，請參閱下列資源：

  • Cloud VPN 說明文件
  • Cloud Interconnect 說明文件

設定 Shell 環境

如要簡化設定程序並與安全閘道 API 互動，請在工作殼層中定義下列環境變數。

• 一般參數

  API="beyondcorp.googleapis.com"
  API_VERSION=v1
  PROJECT_ID=MY_PROJECT_ID

  更改下列內容：

  • MY_PROJECT_ID：安全閘道建立所在的專案 ID。

• 安全閘道參數

  SECURITY_GATEWAY_ID=MY_SECURITY_GATEWAY_ID
  SECURITY_GATEWAY_DISPLAY_NAME="MY_SECURITY_GATEWAY_DISPLAY_NAME"

  更改下列內容：

  • MY_SECURITY_GATEWAY_ID：要建立的安全閘道 ID。ID 最多可包含 63 個字元，且只能包含小寫英文字母、數字和連字號。第一個字元必須是英文字母，最後一個字元可以是英文字母或數字。
  • MY_SECURITY_GATEWAY_DISPLAY_NAME：安全閘道清楚易懂的名稱。名稱長度上限為 63 個字元，可包含可列印的字元。

建立安全閘道

Chrome Enterprise Premium 安全閘道是建立應用程式安全連線的基本建構區塊。並分配專屬專案和網路，提供隔離和安全防護。

gcloud beta beyondcorp security-gateways create ${SECURITY_GATEWAY_ID} \
  --project=${PROJECT_ID} \
  --location=global \
  --display-name="${SECURITY_GATEWAY_DISPLAY_NAME}"
      

curl \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-X POST \
-d '{ "display_name": "MY_SECURITY_GATEWAY_DISPLAY_NAME" }' \
"https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways?security_gateway_id=${SECURITY_GATEWAY_ID}"
      

設定私人網頁應用程式

您必須先設定必要的權限和網路設定，才能在安全閘道中定義特定應用程式資源，確保連線和正確的路由。

將權限授予服務帳戶

如要順利將流量傳送至虛擬私有雲網路，安全閘道必須具備授予其委派服務帳戶的特定 IAM 權限。這樣一來，無論私人應用程式是託管在 Google Cloud VPC 中，還是透過 Cloud VPN 或 Cloud Interconnect 連線至非Google Cloud 環境，安全閘道都能存取這些應用程式。

1. 取得安全閘道的詳細資料，找出委派服務帳戶的電子郵件地址。電子郵件地址會出現在回覆的 delegatingServiceAccount 欄位中。

   gcloud

   gcloud beta beyondcorp security-gateways describe ${SECURITY_GATEWAY_ID} \
      --project=${PROJECT_ID} \
      --location=global
                  

   REST

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}"
                  

2. 為服務帳戶和目標 VPC 專案設定環境變數。

   DELEGATING_SERVICE_ACCOUNT="security-gateway@my-gateway-service-account.iam.gserviceaccount.com" # Replace with actual value
         

3. 在私人 VPC 專案中，將 roles/beyondcorp.upstreamAccess IAM 角色授予委派服務帳戶。

   gcloud projects add-iam-policy-binding PRIVATE_VPC_PROJECT_ID \
      --role=roles/beyondcorp.upstreamAccess \
      --member=serviceAccount:${DELEGATING_SERVICE_ACCOUNT}
       

   將 PRIVATE_VPC_PROJECT_ID 替換為部署私人網頁應用程式或設定 Cloud VPN/Interconnect 的 VPC 網路專案 ID。

授予角色後，Identity and Access Management 政策約需兩分鐘才會生效。

設定網路路由和防火牆規則

如要允許安全閘道傳出的流量連上私人網路應用程式，請設定防火牆規則、網路路由和 DNS 設定。

應用程式的防火牆規則 Google Cloud

如果您的私人網路應用程式是託管在 Google Cloud 虛擬私有雲端 (VPC) 網路中，例如 Compute Engine VM、具有內部 IP 的 Google Kubernetes Engine 服務，或內部 TCP/UDP 負載平衡器後方，請設定Google Cloud VPC 防火牆規則。這樣一來，來自安全閘道 IP 範圍 (34.158.8.0/21 和 136.124.16.0/20) 的輸入 TCP 流量就能通過。

非Google Cloud 環境中應用程式的防火牆規則

如果您的私人網路應用程式位於內部部署資料中心或另一個雲端服務供應商的網路，並使用 Cloud VPN 或 Cloud Interconnect 連線至虛擬私有雲，請在內部部署防火牆或另一個雲端環境中，設定等效的網路安全控管措施 (例如安全群組和網路 ACL)。 Google Cloud這樣一來，就能允許來自安全閘道 IP 範圍的輸入 TCP 流量。

設定從非Google Cloud 環境到安全閘道的路徑

如要為非Google Cloud 環境 (例如內部部署或其他雲端) 中代管的私人應用程式建立雙向通訊，外部網路必須為下列安全閘道 IP 範圍建立回程路徑：34.158.8.0/21 和 136.124.16.0/20。

確認私人網路可透過 Cloud VPN 或 Cloud Interconnect 存取安全閘道 IP 範圍：

• 動態轉送：如果您使用動態轉送，例如透過 Cloud Router 使用邊界閘道通訊協定 (BGP)，請確認 Cloud Router Google Cloud 明確將安全閘道 IP 範圍通告至內部部署 BGP 裝置。雖然 BGP 會動態交換許多路徑，但安全閘道 IP 範圍需要明確通告。

• 靜態路徑：如果您使用靜態路徑，則必須在內部部署網路設備 (例如路由器或防火牆) 上，手動為每個安全閘道 IP 範圍新增路徑。這些靜態路徑必須指定傳送至安全閘道 IP 範圍的流量，必須透過 Cloud VPN 或 Cloud Interconnect 連線傳送。

  使用靜態路徑時，Cloud VPN 必須位於下列其中一個支援的區域：

  • africa-south1
  • asia-east1
  • asia-south1
  • asia-south2
  • asia-southeast1
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west2
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • northamerica-northeast1
  • northamerica-northeast2
  • northamerica-south1
  • southamerica-east1
  • southamerica-west1
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-west1

安全閘道私人主機名稱解析的 DNS 設定

如要讓安全閘道解析私人應用程式主機名稱，您的Google Cloud VPC 網路必須能夠使用 Cloud DNS 解析主機名稱。具體 Cloud DNS 設定取決於私人 DNS 記錄的授權代管位置：

• 使用 Cloud DNS 私人區域的應用程式 Google Cloud ：如果您的私人應用程式託管在 Google Cloud 中，且 DNS 記錄是在與 VPC 網路建立關聯的 Cloud DNS 私人區域中管理，請確認區域已正確設定且可存取。安全閘道會使用 VPC 現有的 Cloud DNS 解析功能。

• 非Google Cloud 環境中的應用程式或使用外部 DNS 伺服器的應用程式：如果您的私人應用程式位於非Google Cloud環境 (內部部署或其他雲端)，或其 DNS 記錄是由虛擬私有雲的 Cloud DNS 私人區域外部的 DNS 伺服器管理，您必須設定 Cloud DNS，轉送這些私人網域的查詢。這通常需要在 VPC 中建立 Cloud DNS 轉送區域。這些區域會將指定私有網域的 DNS 查詢，導向您的權威私有 DNS 伺服器，例如內部部署或其他雲端。

如需 DNS 設定的詳細操作說明，請參閱「建立轉送區域」。

建立應用程式資源

如要提供私人網路應用程式的存取權，您必須在安全閘道架構中建立應用程式資源，這個資源會定義安全閘道如何識別應用程式的流量 (根據主機名稱)，以及如何轉送該流量。

1. 執行下列指令，設定必要的環境變數：

      APPLICATION_ID=MY_APPLICATION_ID
      APP_DISPLAY_NAME="MY_APP_DISPLAY_NAME"
      HOST_NAME=MY_HOST_NAME
      PRIVATE_NETWORK_RESOURCE_NAME=MY_PRIVATE_NETWORK_RESOURCE_NAME
      

   取代下列項目：
   • MY_APPLICATION_ID：應用程式資源的專屬 ID。
   • MY_APP_DISPLAY_NAME：要顯示的名稱，方便使用者辨識。
   • MY_HOST_NAME：使用者存取的主要主機名稱 (例如 private.local)。
   • MY_PRIVATE_NETWORK_RESOURCE_NAME：虛擬私有雲網路的完整資源名稱 (例如 projects/my-project/global/networks/my-network)。
2. 建立應用程式資源。

   gcloud

   執行下列指令來建立應用程式資源。

   gcloud beta beyondcorp security-gateways applications create ${APPLICATION_ID} \
     --project=${PROJECT_ID} \
     --security-gateway=${SECURITY_GATEWAY_ID} \
     --location=global \
     --display-name="${APP_DISPLAY_NAME}" \
     --endpoint-matchers="hostname=${HOST_NAME}" \
     --upstreams=network=name="${PRIVATE_NETWORK_RESOURCE_NAME}"
           

   如要指定輸出區域 (例如使用靜態路徑時)，請新增 --egress-regions 旗標：

   gcloud beta beyondcorp security-gateways applications create ${APPLICATION_ID} \
     --project=${PROJECT_ID} \
     --security-gateway=${SECURITY_GATEWAY_ID} \
     --location=global \
     --display-name="${APP_DISPLAY_NAME}" \
     --endpoint-matchers="hostname=${HOST_NAME}" \
     --upstreams=network=name="${PRIVATE_NETWORK_RESOURCE_NAME}",egressPolicy=regions=us-central1
           

   將 us-central1 替換為與區域靜態路由設定一致的 Google Cloud 區域 (例如 europe-west1 或 asia-northeast1)。如果沒有特定的區域靜態路由需求，可以從設定中省略輸出政策。

   REST

   如要使用 API 建立應用程式資源，請完成下列步驟：

   1. 建立名為 application.json 的檔案。

      {
      "display_name": "MY_APP_DISPLAY_NAME",
      "endpoint_matchers": [
         {"hostname": "MY_HOST_NAME"}
      ],
      "upstreams": [{
         "network": {
            "name": "MY_PRIVATE_NETWORK_RESOURCE_NAME"
         }
      }]
      }
               

      如要指定輸出區域 (例如使用靜態路徑時)，請在上游設定中新增 egress_policy：

      {
      "display_name": "MY_APP_DISPLAY_NAME",
      "endpoint_matchers": [
         {"hostname": "MY_HOST_NAME"}
      ],
      "upstreams": [{
         "network": {
            "name": "MY_PRIVATE_NETWORK_RESOURCE_NAME"
         },
         "egress_policy": {
            "regions": [
            "us-central1"
            ]
         }
      }]
      }
                

      將 us-central1 替換為與區域靜態路由設定一致的 Google Cloud 區域 (例如 europe-west1 或 asia-northeast1)。如果沒有特定的區域靜態路由需求，可以從設定中省略輸出政策。

   2. 呼叫 Create API 方法。

      curl \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      -H "Content-Type: application/json" \
      -X POST \
      -d @application.json \
      "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications?application_id=${APPLICATION_ID}"
                

設定 Google Chrome Proxy 模式

如要透過安全閘道轉送應用程式資源的流量，請在 Google 管理控制台的 Chrome 設定中套用 PAC 檔案，藉此設定 Chrome。

1. 建立或更新 PAC 檔案。

   • 如果您要建立第一個應用程式，請使用下列範例 PAC 檔案建立 pac_config.js 檔案。

   • 如果您要建立第二個或後續應用程式，請更新現有的 pac_config.js 檔案，並將新應用程式的網域新增至網站陣列，如下列 PAC 檔案範例所示。

   function FindProxyForURL(url, host) {
    const PROXY = "HTTPS ingress.cloudproxy.app:443";
    const sites = ["MY_HOST_NAME"];
   
    for (const site of sites) {
      if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) {
        return PROXY;
      }
    }
   return 'DIRECT';
   }

   如果您使用現有的 PAC 檔案，但該檔案並非專為安全閘道而設，請將應用程式的網域新增至網站陣列，合併 PAC 檔案。

2. 上傳檔案，讓使用者可以公開下載。舉例來說，您可以將檔案上傳至 Cloud Storage，並在值區中授予所有使用者 Storage Object User 角色，讓檔案可供公開下載。

3. 如要確認上傳的檔案一律為最新版本，可以將 Cache-Control 標頭設為 no-cache，調整檔案的快取行為。這項設定可防止瀏覽器和中繼伺服器儲存檔案副本，確保 Chrome 一律下載最新版本。

   如要進一步瞭解 Cache-Control，以及這項指令對瀏覽器快取造成的影響，請參閱「Cache-Control 標頭」。

4. 複製上傳檔案的公開網址。

更新 Proxy 模式設定

1. 前往 Google 管理控制台。
2. 依序點選「裝置」->「Chrome」->「設定」。
3. 選取機構單位或群組，然後按一下「Proxy 模式」。
4. 在「Proxy 模式」頁面中，選取「一律使用以下指定的 Proxy 自動設定」，然後輸入 Cloud Storage 中 PAC 檔案的網址。

設定存取權政策

您可以在安全閘道層級或應用程式層級套用存取權政策：

• 安全閘道資源：在安全閘道層級套用政策，控管所有相關聯應用程式的存取權。
• 個別應用程式：如要更精細地控管存取權，您可以對個別應用程式套用存取權政策。

1. 建立名為 setIamPolicy.json 的 JSON 格式檔案，然後新增下列內容。

   {
    "policy": {
      object (POLICY)
    }
   }

   將 POLICY 替換為身分與存取權管理允許政策。政策中的 etag 必須與有效政策中的 etag 相同，您可以呼叫 getIamPolicy 方法取得有效政策。

2. 如要允許特定群組使用安全閘道，請將 roles/beyondcorp.securityGatewayUser 角色授予該群組。

   {
    "policy": {
      "version": 3,
      "bindings": [
        {
          "role": "roles/beyondcorp.securityGatewayUser",
          "members": [
                  "group:"
          ]
        }
      ],
      "etag": "AA1jlb"
    }
   }

   如需更多識別碼 (例如 serviceAccount、user、group、principal 和 principalSet) 的政策繫結，請參閱 IAM 主體。

3. 呼叫 setIamPolicy API，在 JSON 檔案中指定的安全閘道上強制執行存取權政策。

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @setIamPolicy.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}:setIamPolicy"

   如要在應用程式上強制執行存取權政策，請使用下列指令：

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -X POST \
   -d @setIamPolicy.json \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications/${APPLICATION_NAME}:setIamPolicy"

您也可以設定存取政策，並以存取層級做為條件，如下列範例所示。

{
  "policy": {
    "version": 3,
    "bindings": [
      {
        "role": "roles/beyondcorp.securityGatewayUser",
        "members": [
                "group:"
        ],
        "condition": {
                "expression": "'accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels",
                "title": "Source IP must be in US"
        }
      }
    ],
    "etag": "A1jlb"
  }
}'

安裝 Chrome Enterprise Premium 擴充功能

Chrome Enterprise 進階版擴充功能是安全閘道不可或缺的一環，有助於進行驗證。為安全閘道的所有使用者安裝擴充功能。如要瞭解如何部署擴充功能，請參閱「查看及設定應用程式和擴充功能」。

1. 前往 Google 管理控制台。
2. 依序按一下「Chrome 瀏覽器」->「應用程式和擴充功能」。
3. 按一下「使用者和瀏覽器」分頁。
4. 如要新增 Chrome 擴充功能，請按一下「+」按鈕。
5. 搜尋 ekajlcmdfcigmdbphhifahdfjbkciflj，然後強制為機構單位或群組中的所有使用者安裝。

6. 按一下已安裝的擴充功能，然後前往「擴充功能政策」欄位，提供下列 JSON 值：

   {
    "securityGateway": {
      "Value": {
        "authentication": {},
        "context": { "resource": "projects/MY_PROJECT_ID/locations/global/securityGateways/MY_SECURITY_GATEWAY_ID" }
      }
    }
   }

使用者體驗

設定完成後，系統會根據套用至應用程式的存取權政策，授予或拒絕存取受保護 SaaS 應用程式的終端使用者存取權。

在 Chrome 中存取應用程式

您必須安裝 Chrome Enterprise 進階版擴充功能，才能將流量導向安全閘道。擴充功能會處理使用者與安全閘道之間的驗證。系統會透過網域政策自動安裝擴充功能。

使用者存取您設定的 SaaS 應用程式時，流量會通過安全閘道，系統會檢查使用者是否符合存取政策。如果使用者通過存取政策檢查，即可獲得應用程式存取權。

如果授權政策拒絕瀏覽器存取應用程式，使用者會收到 Access denied 訊息。

後續步驟

• 排解安全閘道問題
• 管理安全閘道