Um Ihre Webressourcen auf einfach zu verwaltende, skalierbare und detaillierte Weise zu sichern, bietet Google Cloud kontextsensitiven Zugriff über Identity-Aware Proxy (IAP). IAP wurde entwickelt, um das Sicherheitsmodell von BeyondCorp durchzusetzen, das im öffentlichen Internet einen Zero-Trust-Perimeter für sicheres Remote-Arbeiten ohne herkömmliches VPN einrichtet.
Sie können den sicheren Zugriff auf Ihre Websites oder Webanwendungen für Nutzer an beliebigen Orten oder auf jedem Gerät ermöglichen. Verwenden Sie dazu IAP, um detaillierte Beschränkungen zu steuern. Die Zugriffssteuerung kann nach der Nutzeridentität und dem Kontext ihrer Anfrage konfiguriert werden, ohne zusätzliche Änderungen an der Website vorzunehmen. Sie können auch Zugriffsrichtlinien für mehrere Anwendungen und Websites zentral definieren und erzwingen, einschließlich IAM-Richtlinien mit bedingter Bindung. IAP funktioniert auch mit anderen Google Cloud-Angeboten, einschließlich der App Engine-Standardumgebung, Compute Engine und Google Kubernetes Engine.
Zugriffsebenen konfigurieren
Beim Zugriff auf Webressourcen, die IAP kennt, müssen sich Nutzer mit ihren Anmeldeinformationen für den Google Identity-Dienst (z. B. ihrer Google Mail- oder Google Workspace-E-Mail-Adresse) oder einem LDAP anmelden, der bei einem LDAP-Verzeichnisdienst registriert ist, der mit dem Google-Identitätsdienst synchronisiert ist. Wenn der Nutzer autorisiert wurde, leitet IAP seine Anfrage zusammen mit den Headerdaten, die die Identität des Nutzers enthalten, an den Webserver weiter.
Abbildung 1. Nutzerzugriff auf Webressourcen hinter IAP steuern.
In der Cloud Console können Sie IAP so konfigurieren, dass nicht autorisierte Nutzer einfach nicht auf eine bestimmte Ressource zugreifen können.
Gehen Sie dazu für eine Ressource in App Engine folgendermaßen vor:
- Rufen Sie in Ihrem aktiven Projekt die Seite „Identity-Aware Proxy“ auf.
- Wählen Sie die Ressource aus, die Sie ändern möchten.
Klicken Sie auf Hauptkonto hinzufügen und fügen Sie die E-Mail-Adressen von Gruppen oder Einzelpersonen hinzu, denen Sie für das Projekt die Rolle Nutzer von IAP-gesicherten Web-Apps zuweisen möchten.
In der folgenden Tabelle sind einige häufige Zugriffsszenarien und das Hauptkonto aufgeführt, auf das jedes Szenario Zugriff gewähren soll.
Zugriffsebene Beispiel-Webressource Beispielhauptkonto Offen, öffentlich zugänglich Öffentliche Website des Unternehmens allUsers
Nutzerauthentifizierung Website zum Einreichen von Support-Tickets. allAuthenticatedUsers
Zugriff durch Mitarbeiter eingeschränkt Anwendung, die im Intranet des Unternehmens ausgeführt wird. bigcorpltd.com
,contractors@bigcorpltd.com
Hochsensibler Zugriff auf Geräte und Mitarbeiter Anwendung mit Zugriff auf private Kundendaten. customer.support@bigcorpltd.com
Hinweis: Für diese Zugriffsebene müssen Sie über den Access Context Manager Beschränkungensinformationen wie Geräterichtlinienattribute oder zulässige IP-Subnetzwerke hinzufügen. Außerdem müssen Nutzer Arbeitsprofile auf ihrem Mobilgerät oder eine Chrome-Erweiterung in ihrem Browser eingerichtet haben.
- Klicken Sie auf Hinzufügen, um Ihre Änderungen zu speichern.
Weitere Informationen
- Machen Sie sich zuerst mit IAP-Konzepten und den Kurzanleitungen vertraut.
- Weitere Informationen erhalten Sie in diesen Einführungsvideos:
- In dieser Anleitung erfahren Sie, wie Sie IAP mit der App Engine-Standardumgebung, Compute Engine, Google Kubernetes Engine und lokalen Anwendungen verwenden.