Controlar o acesso a Websites e apps

Para proteger os seus recursos Web de uma forma simples de gerir, escalável e detalhada, Google Cloud oferece acesso sensível ao contexto através do Identity-Aware Proxy (IAP). O IAP foi concebido para aplicar o modelo de segurança BeyondCorp, que estabelece um perímetro de confiança zero na Internet pública para um trabalho remoto seguro sem necessidade de uma VPN tradicional.

Pode permitir o acesso seguro aos seus Websites ou apps Web para utilizadores localizados em qualquer lugar ou em qualquer dispositivo através do IAP para controlar restrições detalhadas. O controlo de acesso pode ser configurado com base na identidade do utilizador e no contexto do respetivo pedido sem fazer alterações adicionais ao site. Também pode definir e aplicar centralmente políticas de acesso em várias apps e sites, incluindo políticas de IAM com associação condicional. O IAP funciona com outras Google Cloud ofertas, incluindo o ambiente padrão do App Engine, o Compute Engine e o Google Kubernetes Engine.

Configurar os seus níveis de acesso

Ao aceder a recursos Web que o IAP conhece, os utilizadores têm de iniciar sessão com as respetivas credenciais do Serviço de identidade Google (por exemplo, o respetivo endereço de email do Gmail ou do Google Workspace) ou um LDAP registado num serviço de diretório LDAP sincronizado com o Serviço de identidade Google. Se o utilizador estiver autorizado, o IAP encaminha o respetivo pedido para o servidor Web juntamente com os dados do cabeçalho que incluem a identidade do utilizador.

Figura 1. Controlar o acesso dos utilizadores a recursos Web atrás do IAP.

Na Cloud Console, pode configurar o IAP para bloquear simplesmente o acesso de utilizadores não autorizados a um determinado recurso.

Para o fazer para um recurso na App Engine:

1. Abra a página Identity-Aware Proxy no seu projeto ativo.
2. Selecione o recurso que quer modificar.

3. Clique em Adicionar principal e adicione os endereços de email dos grupos ou dos indivíduos aos quais quer conceder a função Utilizador da app Web protegida pelo IAP para o projeto.

   A tabela abaixo apresenta alguns cenários de acesso comuns e o principal ao qual conceder acesso para cada cenário.

   Nível de acesso	Exemplo de recurso Web	Exemplo principal
   Acesso público e aberto	Website público da empresa.	allUsers
   Acesso autenticado pelo utilizador	Site para enviar pedidos de apoio técnico.	allAuthenticatedUsers
   Acesso restrito a funcionários	A app é executada na intranet da empresa.	bigcorpltd.com, contractors@bigcorpltd.com
   Acesso altamente sensível, restrito a dispositivos e funcionários	App com acesso a informações privadas do cliente.	customer.support@bigcorpltd.com Nota: este nível de acesso requer a adição de informações de restrição através do Gestor de contexto de acesso, como atributos da política de dispositivos ou sub-redes IP permitidas. Os utilizadores também têm de ter perfis profissionais no respetivo dispositivo móvel ou uma extensão do Chrome configurada no respetivo navegador.

4. Clique em Adicionar para guardar as alterações.

Passos seguintes

• Comece por familiarizar-se com os conceitos de IAP e siga os inícios rápidos.
• Saiba mais vendo estes vídeos introdutórios:
  • BeyondCorp in a bottle
  • Centralize o acesso aos Websites da sua organização com o Identity-Aware Proxy
• Consulte estes tutoriais para usar o IAP com o ambiente padrão do App Engine, o Compute Engine, o Google Kubernetes Engine e as apps no local.