Présentation de l'accès contextuel

Cette page décrit les concepts de base de l'accès contextuel.

Basé sur le modèle de sécurité BeyondCorp, l'accès contextuel est une approche qui utilise diverses offres Google Cloud pour appliquer un contrôle d'accès précis en fonction de l'identité d'un utilisateur et du contexte de la requête.

Par exemple, selon la configuration des stratégies, votre application ou ressource sensible peut :

  • accorder l'accès à tous les employés qui utilisent un appareil d'entreprise approuvé sur le réseau d'entreprise ;
  • accorder l'accès aux employés du groupe Accès à distance qui utilisent un appareil d'entreprise approuvé avec un mot de passe sécurisé et un niveau de correctif à jour, sur n'importe quel réseau ;
  • accorder l'accès seulement aux employés du groupe Accès privilégié si le chemin de l'URL commence par /admin.

Quand utiliser l'accès contextuel

Utilisez l'accès contextuel lorsque vous souhaitez établir un contrôle d'accès précis basé sur un large éventail d'attributs et de conditions, y compris l'appareil utilisé et l'adresse IP. La définition de l'accès contextuel aux ressources de l'entreprise améliore votre stratégie de sécurité.

Vous pouvez également appliquer l'accès contextuel aux applications Google Workspace. Pour en savoir plus sur la mise en œuvre de l'accès contextuel avec Google Workspace, consultez la présentation de Google Workspace.

Fonctionnement de l'accès contextuel

La mise en œuvre de l'accès contextuel génère un modèle zéro confiance. Personne ne peut accéder à vos ressources, à moins de respecter l'ensemble des règles et conditions. Au lieu de sécuriser vos ressources au niveau du réseau, il est préférable de placer les contrôles d'accès sur les appareils et les utilisateurs.

IAP est la base de l'accès contextuel. Vous pouvez ainsi accorder aux membres l'accès à vos applications et à vos ressources HTTPS. Une fois que vous avez sécurisé vos applications et vos ressources derrière IAP, votre organisation peut étendre progressivement l'accès contextuel à mesure que des règles plus riches sont nécessaires. Les ressources avec accès contextuel étendu peuvent limiter l'accès en fonction de propriétés telles que les attributs de l'appareil de l'utilisateur, l'heure de la journée et le chemin de la requête.

L'accès contextuel fonctionne grâce à quatre offres Google Cloud :

Flux de l'accès contextuel

Collecter des informations sur les appareils

La validation des points de terminaison collecte des informations sur les appareils des employés, telles que l'état de chiffrement, l'OS et des détails sur les utilisateurs. Une fois activée via la console d'administration Google Workspace, vous pouvez déployer l'extension Chrome "Validation des points de terminaison" sur les appareils de l'entreprise. Les employés peuvent également l'installer sur leurs appareils personnels gérés. Cette extension collecte et signale les informations sur les appareils, en synchronisation permanente avec Google Workspace. Le résultat final est un inventaire de tous les appareils professionnels et personnels qui accèdent aux ressources de votre entreprise.

Limiter l'accès

Dans Access Context Manager, des niveaux d'accès sont créés pour définir des règles d'accès. Les niveaux d'accès appliqués à vos ressources avec les conditions IAM appliquent un contrôle d'accès précis basé sur divers attributs.

Les niveaux d'accès limitent l'accès en fonction des attributs suivants :

Lorsque vous créez un niveau d'accès basé sur les appareils, Access Context Manager référence l'inventaire des appareils créés par la validation des points de terminaison. Par exemple, un niveau d'accès peut limiter l'accès aux employés qui utilisent des appareils chiffrés. Conjointement avec les conditions IAM, vous pouvez définir ce niveau d'accès avec davantage de précision en limitant l'accès à la période comprise entre 9h et 17h.

Sécuriser les ressources avec IAP

IAP lie le tout en vous permettant d'appliquer des conditions IAM sur les ressources Google Cloud. IAP vous permet d'établir une couche d'autorisation centrale pour vos ressources Google Cloud accessibles par le trafic HTTPS et SSH/TCP. Avec IAP, vous pouvez établir un modèle de contrôle des accès au niveau des ressources au lieu d'utiliser des pare-feu au niveau du réseau. Une fois sécurisées, vos ressources sont accessibles à tout employé, depuis n'importe quel appareil, sur n'importe quel réseau, qui respecte les règles et les conditions d'accès.

Appliquer des conditions IAM

Les conditions IAM vous permettent de définir et d'appliquer un contrôle d'accès conditionnel et basé sur des attributs aux ressources Google Cloud.

Avec les conditions IAM, vous pouvez choisir de n'accorder des autorisations aux membres que si les conditions configurées sont remplies. Les conditions IAM peuvent limiter l'accès à l'aide de divers attributs, y compris des niveaux d'accès.

Les conditions sont spécifiées dans les liaisons de rôle IAP de la stratégie IAM d'une ressource. Lorsqu'une condition existe, le rôle n'est attribué que si l'expression de condition prend la valeur true. Chaque expression de condition est définie comme un ensemble d'instructions logiques vous permettant de spécifier un ou plusieurs attributs à vérifier.

Étape suivante