Per proteggere le risorse web in modo semplice da gestire, scalabile e granulare, Google Cloud offre un accesso sensibile al contesto tramite Identity-Aware Proxy (IAP). IAP è progettato per applicare il modello di sicurezza BeyondCorp, che stabilisce un perimetro Zero Trust sulla rete internet pubblica per consentire il lavoro sicuro e da remoto senza la necessità di utilizzare una VPN tradizionale.
Puoi consentire l'accesso sicuro ai tuoi siti web o alle tue app web per gli utenti che si trovano ovunque o su qualsiasi dispositivo utilizzando IAP per controllare le restrizioni granulari. Il controllo dell'accesso può essere configurato in base all'identità dell'utente e al contesto della richiesta senza apportare ulteriori modifiche al sito. Puoi inoltre definire e applicare a livello centrale i criteri di accesso in più app e siti, inclusi i criteri IAM con associazione condizionale. IAP funziona con altre offerte di Google Cloud, tra cui l'ambiente standard di App Engine, Compute Engine e Google Kubernetes Engine.
Configurazione dei livelli di accesso
Quando accedono alle risorse web di cui IAP è a conoscenza, gli utenti devono eseguire l'accesso con le proprie credenziali del servizio di identità Google (ad esempio l'indirizzo email Gmail o Google Workspace) oppure con un indirizzo LDAP registrato in un servizio di directory LDAP che sia sincronizzato con il servizio di identità Google. Se l'utente è autorizzato, IAP inoltra la sua richiesta al server web insieme ai dati dell'intestazione che includono l'identità dell'utente.
Figura 1. Controllo dell'accesso degli utenti alle risorse web dietro IAP.
Nella console Cloud, puoi configurare IAP in modo da impedire semplicemente agli utenti non autorizzati di accedere a una determinata risorsa.
Per eseguire questa operazione per una risorsa su App Engine:
- Apri la pagina Identity-Aware Proxy nel progetto attivo.
- Seleziona la risorsa che vuoi modificare.
Fai clic su Aggiungi entità e aggiungi gli indirizzi email dei gruppi o degli individui a cui vuoi concedere il ruolo Utente applicazione web con protezione IAP per il progetto.
La tabella seguente elenca alcuni scenari di accesso comuni e l'entità a cui concedere l'accesso per ogni scenario.
Livello di accesso Risorsa web di esempio Entità di esempio Accesso pubblico e aperto Sito web pubblico dell'azienda. allUsersAccesso autenticato dall'utente Sito per l'invio di ticket di assistenza. allAuthenticatedUsersAccesso limitato per i dipendenti App in esecuzione sull'intranet aziendale. bigcorpltd.com,contractors@bigcorpltd.comAccesso altamente sensibile, limitato a dispositivi e dipendenti App con accesso alle informazioni private del cliente. customer.support@bigcorpltd.comNota: questo livello di accesso richiede l'aggiunta di informazioni sulle restrizioni tramite Gestore contesto accesso, ad esempio gli attributi dei criteri dei dispositivi o le subnet IP consentite. Gli utenti devono inoltre avere un profilo di lavoro sul proprio dispositivo mobile o avere configurato un'estensione di Chrome nel browser.
- Fai clic su Aggiungi per salvare le modifiche.
Passaggi successivi
- Per iniziare, acquisisci familiarità con i concetti di IAP e segui le guide rapide.
- Scopri di più guardando questi video introduttivi:
- Consulta questi tutorial per l'utilizzo di IAP con l'ambiente standard di App Engine, Compute Engine, Google Kubernetes Engine e le app on-premise.