本頁面將逐步說明如何透過 Chrome Enterprise 進階版安全閘道,保護 SaaS 應用程式。
Chrome Enterprise 進階版安全閘道可做為轉送 Proxy,強制執行零信任存取架構,並根據情境精細控管 SaaS 應用程式的存取權。
保護軟體即服務 (SaaS) 應用程式存取權的運作方式
以下概略說明安全閘道如何保護 SaaS 應用程式:
- 用戶端瀏覽器設定會將應用程式流量轉送至安全的閘道 Proxy。
- 安全閘道會檢查情境感知存取權政策,授權用戶端 (使用者和裝置) 存取權。
- 如果允許,閘道會使用指派給該閘道和 Google Cloud 區域的專屬來源 IP 位址,將流量轉送至應用程式。如要控管存取權,請將這些專屬來源 IP 位址加入 SaaS 應用程式的許可清單。
事前準備
設定安全閘道前,請確認您具備下列項目:
- Chrome Enterprise Premium 授權
- 使用管理員帳戶存取 Google 管理控制台
- 已指派帳單帳戶的 Google Cloud 專案,並啟用下列 API: BeyondCorp API
管理員設定時必須具備下列身分與存取權管理 (IAM) 角色: 專案層級:Cloud BeyondCorp 管理員 (
beyondcorp.admin)。要保護的 SaaS 應用程式。應用程式必須支援
IP allowlisting,才能透過安全閘道強制執行安全檢查。
限制
Chrome Enterprise 進階版安全閘道有下列限制:安全閘道不支援僅允許 IPv6 連線的 SaaS 應用程式。
設定 Shell 環境
如要簡化設定程序並與安全閘道 API 互動,請在工作殼層中定義下列環境變數。
一般參數
API="beyondcorp.googleapis.com" API_VERSION=v1 PROJECT_ID=
MY_PROJECT_IDAPPLICATION_ID=MY_APPLICATION_IDAPPLICATION_DISPLAY_NAME="MY_APPLICATION_DISPLAY_NAME" HOST_NAME=MY_HOST_NAME更改下列內容:
MY_PROJECT_ID:安全閘道建立所在的專案 ID。MY_APPLICATION_ID:應用程式的 ID,例如github。名稱最多可包含 63 個字元,並能搭配使用小寫英文字母、數字和連字號,第一個字元必須是英文字母,最後一個字元可以是英文字母或數字。MY_APPLICATION_DISPLAY_NAME:要顯示的名稱,方便使用者辨識。MY_HOST_NAME:應用程式的主機名稱。例如:github.com。主機名稱長度上限為 253 個字元,且必須符合下列其中一種格式:- 有效的 IPv4 位址
- 有效的 IPv6 位址
- 有效的 DNS 名稱
- 星號 (*)
- 星號 (*) 後接有效的 DNS 名稱
安全閘道參數
SECURITY_GATEWAY_ID=
MY_SECURITY_GATEWAY_IDSECURITY_GATEWAY_DISPLAY_NAME="MY_SECURITY_GATEWAY_DISPLAY_NAME"更改下列內容:
MY_SECURITY_GATEWAY_ID:安全閘道的 ID。ID 最多可包含 63 個字元,且只能包含小寫英文字母、數字和連字號。開頭須為英文字母,結尾可以是英文字母或數字。MY_SECURITY_GATEWAY_DISPLAY_NAME:安全閘道清楚易懂的名稱。名稱長度上限為 63 個字元,且只能包含可列印的字元。
建立安全閘道
Chrome Enterprise Premium 安全閘道是建立應用程式安全連線的基本建構區塊。並分配專屬專案和網路,提供隔離和安全防護。
如要建立安全閘道資源,請使用下列其中一種方法。
gcloud
執行下列指令。針對 --hubs 標記,請從下列清單中指定一或多個區域。
gcloud beta beyondcorp security-gateways create ${SECURITY_GATEWAY_ID} \
--project=${PROJECT_ID} \
--location=global \
--display-name="MY_SECURITY_GATEWAY_DISPLAY_NAME" \
--hubs=us-central1
REST
在要求主體中提供閘道詳細資料,然後呼叫 Create API 方法。針對 hubs 物件,請從下列清單中指定一或多個區域。
curl \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-X POST \
-d '{ "display_name": "MY_SECURITY_GATEWAY_DISPLAY_NAME", "hubs": { "us-central1": {} } }' \
"https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways?security_gateway_id=${SECURITY_GATEWAY_ID}"
hubs 代表啟用輸出連線至目標應用程式所需的區域資源。每個區域可有一個中樞,每個中樞提供兩個 IP 位址。您可以指定下列區域:
africa-south1asia-east1asia-south1asia-south2asia-southeast1europe-central2europe-north1europe-southwest1europe-west1europe-west2europe-west3europe-west4europe-west8europe-west9northamerica-northeast1northamerica-northeast2northamerica-south1southamerica-east1southamerica-west1us-central1us-east1us-east4us-east5us-west1
設定軟體即服務 (SaaS) 應用程式
建立安全閘道後,您可以設定 SaaS 應用程式,透過安全閘道安全存取。
取得安全閘道為每個中樞分配的 IP 位址。系統會為每個區域分配兩個 IP 位址。
gcloud
gcloud beta beyondcorp security-gateways describe ${SECURITY_GATEWAY_ID} \ --project=${PROJECT_ID} \ --location=global
REST
curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}"
以下是具有
hubs的安全支付閘道GET回應範例。在本範例中,hubs是在us-central1和us-east1區域中建立,且 SaaS 應用程式必須允許回應中傳回的所有 IP 位址。gcloud
createTime: 'CREATE_TIME' displayName: My security gateway hubs: us-central1: internetGateway: assignedIps: - IP_ADDRESS_1 - IP_ADDRESS_2 us-east1: internetGateway: assignedIps: - IP_ADDRESS_1 - IP_ADDRESS_2 name: projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID} state: RUNNING updateTime: 'UPDATE_TIME'
REST
{ "securityGateways": [ { "name": "projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}", "createTime": "CREATE_TIME", "updateTime": "UPDATE_TIME", "displayName": "My security gateway", "state": "RUNNING", "hubs": { "us-central1": { "internetGateway": { "assignedIps": [ "IP_ADDRESS_1", "IP_ADDRESS_2", ] } }, "us-east1": { "internetGateway": { "assignedIps": [ "IP_ADDRESS_1", "IP_ADDRESS_2", ] } } } } ] }
將 IP 位址加入 SaaS 應用程式的 IP 許可清單。舉例來說,如果是 GitHub 應用程式,您可以按照這份指南操作:管理貴機構允許的 IP 位址。
建立應用程式資源
下列資訊將引導您設定及配置安全閘道應用程式資源。
在 Google Cloud中建立安全閘道應用程式資源
Google Cloud 應用程式資源是安全閘道資源的子資源。呼叫 Create API 建立應用程式資源。
gcloud
gcloud beta beyondcorp security-gateways applications create ${APPLICATION_ID} \ --project=${PROJECT_ID} \ --security-gateway=${SECURITY_GATEWAY_ID} \ --location=global \ --display-name="${APPLICATION_DISPLAY_NAME}" \ --endpoint-matchers="hostname=${HOST_NAME}"
REST
curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -X POST \ -d "{ \"display_name\": \"${APPLICATION_DISPLAY_NAME}\", \"endpoint_matchers\": [{hostname: \"${HOST_NAME}\"}] }" \ "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications?application_id=${APPLICATION_ID}"
設定 Google Chrome Proxy 模式
如要透過安全閘道轉送應用程式資源的流量,請在 Google 管理控制台的 Chrome 設定中套用 PAC 檔案,藉此設定 Chrome。
建立或更新 PAC 檔案。
如果您要建立第一個應用程式,請使用下列範例 PAC 檔案建立
pac_config.js檔案。如果您要建立第二個或後續應用程式,請更新現有的
pac_config.js檔案,並將新應用程式的網域新增至網站陣列,如下列 PAC 檔案範例所示。
function FindProxyForURL(url, host) { const PROXY = "HTTPS ingress.cloudproxy.app:443"; const sites = ["MY_HOST_NAME"]; for (const site of sites) { if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) { return PROXY; } } return 'DIRECT'; }
如果您使用現有的 PAC 檔案,但該檔案並非專為安全閘道而設,請將應用程式的網域新增至網站陣列,合併 PAC 檔案。
上傳檔案,讓使用者可以公開下載。舉例來說,您可以將檔案上傳至 Cloud Storage,並在值區中授予所有使用者 Storage Object User 角色,讓檔案可供公開下載。
如要確認上傳的檔案一律為最新版本,可以將
Cache-Control標頭設為no-cache,調整檔案的快取行為。這項設定可防止瀏覽器和中繼伺服器儲存檔案副本,確保 Chrome 一律下載最新版本。如要進一步瞭解
Cache-Control,以及這項指令對瀏覽器快取造成的影響,請參閱「Cache-Control 標頭」。複製上傳檔案的公開網址。
更新 Proxy 模式設定
- 前往 Google 管理控制台。
- 依序點選「裝置」->「Chrome」->「設定」。
- 選取機構單位或群組,然後按一下「Proxy 模式」。
- 在「Proxy 模式」頁面中,選取「一律使用以下指定的 Proxy 自動設定」,然後輸入 Cloud Storage 中 PAC 檔案的網址。
設定存取權政策
您可以在安全閘道層級或應用程式層級套用存取權政策:
- 安全閘道資源:在安全閘道層級套用政策,控管所有相關聯應用程式的存取權。
- 個別應用程式:如要更精細地控管存取權,您可以對個別應用程式套用存取權政策。
建立名為
setIamPolicy.json的 JSON 格式檔案,然後新增下列內容。{ "policy": { object (POLICY) } }
將 POLICY 替換為身分與存取權管理允許政策。政策中的
etag必須與有效政策中的etag相同,您可以呼叫getIamPolicy方法取得有效政策。如要允許特定群組使用安全閘道,請將
roles/beyondcorp.securityGatewayUser角色授予該群組。{ "policy": { "version": 3, "bindings": [ { "role": "roles/beyondcorp.securityGatewayUser", "members": [ "group:
" ] } ], "etag": "AA1jlb" } }如需更多識別碼 (例如
serviceAccount、user、group、principal和principalSet) 的政策繫結,請參閱 IAM 主體。呼叫
setIamPolicyAPI,在 JSON 檔案中指定的安全閘道上強制執行存取權政策。curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -X POST \ -d @setIamPolicy.json \ "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}:setIamPolicy"
如要在應用程式上強制執行存取權政策,請使用下列指令:
curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -X POST \ -d @setIamPolicy.json \ "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications/${APPLICATION_NAME}:setIamPolicy"
您也可以設定存取政策,並以存取層級做為條件,如下列範例所示。
{ "policy": { "version": 3, "bindings": [ { "role": "roles/beyondcorp.securityGatewayUser", "members": [ "group:" ], "condition": { "expression": "'accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels", "title": "Source IP must be in US" } } ], "etag": "A1jlb" } }'
安裝 Chrome Enterprise Premium 擴充功能
Chrome Enterprise 進階版擴充功能是安全閘道不可或缺的一環,有助於進行驗證。為安全閘道的所有使用者安裝擴充功能。如要瞭解如何部署擴充功能,請參閱「查看及設定應用程式和擴充功能」。
- 前往 Google 管理控制台。
- 依序按一下「Chrome 瀏覽器」->「應用程式和擴充功能」。
- 按一下「使用者和瀏覽器」分頁。
- 如要新增 Chrome 擴充功能,請按一下「+」按鈕。
- 搜尋
ekajlcmdfcigmdbphhifahdfjbkciflj,然後強制為機構單位或群組中的所有使用者安裝。 按一下已安裝的擴充功能,然後前往「擴充功能政策」欄位,提供下列 JSON 值:
{ "securityGateway": { "Value": { "authentication": {}, "context": { "resource": "projects/MY_PROJECT_ID/locations/global/securityGateways/MY_SECURITY_GATEWAY_ID" } } } }
使用者體驗
設定完成後,系統會根據套用至應用程式的存取權政策,授予或拒絕存取受保護 SaaS 應用程式的終端使用者存取權。
在 Chrome 中存取應用程式
您必須安裝 Chrome Enterprise 進階版擴充功能,才能將流量導向安全閘道。擴充功能會處理使用者與安全閘道之間的驗證。系統會透過網域政策自動安裝擴充功能。
使用者存取您設定的 SaaS 應用程式時,流量會通過安全閘道,系統會檢查使用者是否符合存取政策。如果使用者通過存取政策檢查,即可獲得應用程式存取權。
如果授權政策拒絕瀏覽器存取應用程式,使用者會收到 Access denied 訊息。