Descripción general del acceso adaptado al contexto

En esta página, se describen los conceptos básicos del acceso adaptado al contexto.

Basado en el modelo de seguridad BeyondCorp, el Acceso adaptado al contexto es un enfoque que usa una variedad de ofertas de Google Cloud para aplicar un control de acceso detallado según la identidad y el contexto de la solicitud de un usuario.

Por ejemplo, según la configuración de la política, tu aplicación o recurso sensible puede realizar las siguientes acciones:

  • Otorgar acceso a todos los empleados si usan un dispositivo corporativo de confianza de tu red corporativa
  • Otorgar acceso a los empleados que estén en el grupo Acceso remoto si utilizan un dispositivo empresarial de confianza con una contraseña segura y un parche actualizado desde cualquier red
  • Otorgar acceso solo a los empleados del grupo de Acceso privilegiado si la ruta de URL comienza con /admin

Cuándo usar el acceso adaptado al contexto

Usa el acceso adaptado al contexto cuando quieras establecer un control de acceso detallado basado en una amplia variedad de atributos y condiciones, incluidos los dispositivos que se usan y desde qué dirección IP. Hacer que tus recursos corporativos sean contextuales mejora tu posición de seguridad.

También puedes aplicar el acceso adaptado al contexto a las apps de Google Workspace. Consulta la descripción general de Google Workspace para obtener más información sobre la implementación del acceso adaptado al contexto con Google Workspace.

Cómo funciona el acceso adaptado al contexto

La implementación del acceso adaptado al contexto impone un modelo de confianza cero. Nadie puede acceder a tus recursos, a menos que cumplan con todas las reglas y condiciones. En lugar de proteger tus recursos a nivel de la red, los controles de acceso se colocan en dispositivos y usuarios individuales.

IAP es la base del acceso adaptado al contexto, lo que te permite otorgarles acceso a los miembros a tus aplicaciones y recursos HTTPS. Una vez que proteges tus apps y recursos detrás de IAP, tu organización puede extender gradualmente el acceso adaptado al contexto a medida que se necesitan reglas más completas. Los recursos de acceso adaptado al contexto extendido pueden limitar el acceso en función de propiedades, como los atributos del dispositivo del usuario, la hora del día y la ruta de solicitud.

El acceso adaptado al contexto aprovecha cuatro ofertas de Google Cloud:

Flujo del acceso adaptado al contexto

Recopila información de los dispositivos

La verificación de extremos recopila información del dispositivo del empleado, incluido el estado de encriptación, el SO y los detalles del usuario. Una vez habilitado a través de la Consola del administrador Google Workspace, puedes implementar la extensión de Chrome para la verificación de extremos en dispositivos corporativos. Los empleados también pueden instalarlo en sus dispositivos personales administrados. Esta extensión recopila y reporta la información del dispositivo, y se sincroniza constantemente con Google Workspace. El resultado final es un inventario de todos los dispositivos corporativos y personales que acceden a tus recursos corporativos.

Limita el acceso

A través de Access Context Manager, se crean niveles de acceso para definir reglas de acceso. Los niveles de acceso que se aplican a tus recursos con las condiciones de IAM aplican un control de acceso detallado según una variedad de atributos.

Los niveles de acceso restringen el acceso según los siguientes atributos:

Cuando creas un nivel de acceso basado en el dispositivo, Access Context Manager hace referencia al inventario de dispositivos creados por la Verificación de extremos. Por ejemplo, un nivel de acceso puede restringir el acceso solo a los empleados que usan dispositivos encriptados. Junto con las condiciones de IAM, puedes hacer que este nivel de acceso sea más detallado mediante la restricción del acceso a la hora entre las 9 a.m. y las 5 p.m.

Protege recursos con IAP

IAP une todo, lo que te permite aplicar condiciones de IAM en los recursos de Google Cloud. IAP te permite establecer una capa de autorización central para los recursos de Google Cloud a los que se accede mediante tráfico HTTPS y SSH/TCP. Con IAP, puedes establecer un modelo de control de acceso a nivel de recursos en lugar de usar firewalls a nivel de red. Una vez protegidos, tus recursos están disponibles para cualquier empleado, desde cualquier dispositivo y con cualquier red que cumpla con las reglas de acceso y las condiciones.

Aplica condiciones de IAM

Las condiciones de IAM te permiten definir y aplicar el control de acceso condicional basado en atributos para los recursos de Google Cloud.

Con las condiciones de IAM, puedes optar por otorgar permisos a los miembros solo si se cumplen las condiciones configuradas. Las condiciones de IAM pueden limitar el acceso con una variedad de atributos, incluidos los niveles de acceso.

Las condiciones se especifican en las vinculaciones de funciones de IAP de la política de IAM de un recurso. Cuando existe una condición, la función solo se otorga si la expresión de condición se evalúa como true. Cada expresión de condición se define como un conjunto de declaraciones lógicas que te permiten especificar uno o varios atributos para verificar.

¿Qué sigue?