Como controlar o acesso a sites e aplicativos

Para proteger seus recursos da Web de maneira simples, fácil de gerenciar, escalonável e granular, o Google Cloud oferece acesso baseado no contexto por meio do Identity-Aware Proxy (IAP). O IAP foi projetado para aplicar o modelo de segurança BeyondCorp, que estabelece um perímetro de confiança zero na Internet pública para trabalho remoto seguro sem a necessidade de uma VPN tradicional.

Permita o acesso seguro aos seus sites ou apps da Web para usuários localizados em qualquer lugar ou em qualquer dispositivo, usando o IAP para controlar restrições granulares. O controle de acesso pode ser configurado com base na identidade do usuário e no contexto da solicitação, sem fazer outras alterações no site. Também é possível definir e aplicar políticas de acesso de maneira centralizada em vários aplicativos e sites, incluindo políticas de IAM com vinculação condicional. O IAP funciona com outras ofertas do Google Cloud, incluindo o ambiente padrão do App Engine, o Compute Engine e o Google Kubernetes Engine.

Como configurar os níveis de acesso

Ao acessar os recursos da Web que o IAP sabe, os usuários precisam fazer login com as credenciais do serviço de identidade do Google (como o Gmail ou o endereço de e-mail do Google) ou um LDAP registrado com um serviço de diretório LDAP sincronizado com o serviço de identidade do Google. Se o usuário estiver autorizado, o IAP encaminhará a solicitação ao servidor da Web junto com os dados do cabeçalho que inclui a identidade do usuário.

A imagem mostra as solicitações de roteamento do IAP de usuários autenticados para um servidor da Web.

Figura 1. Como controlar o acesso dos usuários aos recursos da Web por trás do IAP.

No console do Cloud, é possível configurar o IAP para simplesmente impedir que usuários não autorizados acessem um determinado recurso.

Para fazer isso em um recurso no App Engine:

  1. Abra a página Identity-Aware Proxy no projeto ativo.
  2. Selecione o recurso que você quer modificar.
  3. Clique em Adicionar principal e adicione os endereços de e-mail de grupos ou indivíduos a quem você quer conceder o papel usuário do app da Web protegido pelo IAP no projeto.

    A tabela abaixo lista alguns cenários de acesso comuns e o principal para conceder acesso a cada um deles.

    Nível de acesso Exemplo de recurso da Web Exemplo de principal
    Acesso público e aberto Site público da empresa. allUsers
    Acesso autenticado pelo usuário Site para enviar tíquetes de suporte. allAuthenticatedUsers
    Acesso restrito aos funcionários Aplicativo em execução na intranet da empresa. bigcorpltd.com, contractors@bigcorpltd.com
    Acesso altamente confidencial, restrito ao dispositivo e ao funcionário App com acesso a informações particulares de clientes. customer.support@bigcorpltd.com

    Observação: esse nível de acesso requer a adição de informações de restrição por meio do Access Context Manager, como atributos de política de dispositivo ou sub-redes IP permitidas. Os usuários também precisam ter perfis de trabalho no dispositivo móvel ou uma extensão do Chrome configurada no navegador.

  4. Clique em Adicionar para salvar as mudanças.

Próximas etapas