Applica BeyondCorp Enterprise alle risorse cloud

Prima di iniziare

Prima di rendere sensibili al contesto le app e le risorse, devi:

1. Se non disponi già di account utente Cloud Identity nella tua organizzazione, crea alcuni account Cloud Identity.

2. Stabilisci una risorsa che vuoi proteggere. Configura una delle opzioni seguenti se non hai una risorsa.

   • Un'app web in esecuzione su un bilanciatore del carico HTTPS su Google Cloud. tra cui app web come App Engine, app in esecuzione on-premise e app in esecuzione su un altro cloud.
   • Una macchina virtuale su Google Cloud.

3. Stabilisci le entità che vuoi concedere e a cui limitare l'accesso.

Se vuoi proteggere le app di Google Workspace, consulta la panoramica di BeyondCorp Enterprise per Google Workspace.

Protezione di app e risorse con IAP

Identity-Aware Proxy (IAP) stabilisce un livello centrale di consapevolezza dell'identità per le app e le risorse a cui si accede tramite HTTPS e TCP. Questo significa che puoi controllare l'accesso a ogni singola app e risorsa invece di utilizzare firewall a livello di rete.

Proteggi la tua app Google Cloud e tutte le relative risorse selezionando una delle seguenti guide:

• Ambiente flessibile e standard di App Engine
• Compute Engine
• Google Kubernetes Engine

Puoi anche estendere IAP ad ambienti non Google Cloud, come on-premise e altri cloud. Per saperne di più, consulta la guida Protezione delle app on-premise.

Per saperne di più, consulta la documentazione di IAP.

Risorse per macchine virtuali

Puoi controllare l'accesso ai servizi amministrativi come SSH e RDP sui backend impostando le autorizzazioni per le risorse dei tunnel e creando tunnel che instradano il traffico TCP tramite IAP alle istanze di macchine virtuali.

Per proteggere una macchina virtuale, consulta la guida Protezione delle macchine virtuali.

Creazione di un livello di accesso con Gestore contesto accesso

Dopo aver protetto le app e le risorse con IAP, puoi impostare criteri di accesso più avanzati con i livelli di accesso.

Gestore contesto accesso crea livelli di accesso. I livelli di accesso possono limitare l'accesso in base ai seguenti attributi:

• Subnet IP
• Regioni
• Dipendenza livello di accesso
• Presidi
• Criteri relativi ai dispositivi (tieni presente che è necessario configurare la verifica degli endpoint).

Crea un livello di accesso seguendo la guida Creazione di un livello di accesso.

Applicazione dei livelli di accesso

Un livello di accesso non ha effetto finché non lo applichi a un criterio di Identity and Access Management (IAM) delle risorse protette con IAP. Questo passaggio viene eseguito aggiungendo una condizione IAM nel ruolo IAP utilizzato per concedere l'accesso alla risorsa.

Per applicare il livello di accesso, consulta la pagina relativa all'applicazione dei livelli di accesso.

Una volta applicato il livello di accesso, le risorse sono protette con BeyondCorp Enterprise.

Abilitazione dell'attendibilità e della sicurezza dei dispositivi con la verifica degli endpoint

Per rafforzare ulteriormente la sicurezza delle tue risorse protette da BeyondCorp Enterprise, puoi applicare attributi di attendibilità e controllo dell'accesso di sicurezza basati sul dispositivo con i livelli di accesso. La verifica degli endpoint abilita questo controllo.

Verifica endpoint è un'estensione di Chrome per i dispositivi Windows, Mac e ChromeOS. Gestore contesto accesso fa riferimento agli attributi dei dispositivi raccolti da Verifica endpoint per applicare controllo dell'accesso granulare con i livelli di accesso.

Segui la guida rapida sulla verifica degli endpoint per configurare la verifica degli endpoint per la tua organizzazione.