Cloud Workstations API mit Chrome Enterprise Premium schützen

Übersicht

Chrome Enterprise Premium ist die Zero-Trust-Lösung vonGoogle Cloud, mit der Mitarbeiter einer Organisation von überall aus sicher auf Webanwendungen zugreifen können, ohne VPN, und die dazu beiträgt, Malware, Phishing und Datenverlust zu verhindern.

Mit Google Chrome können Nutzer mit Chrome Enterprise Premium von jedem Gerät aus auf Anwendungen zugreifen. Die Funktionen von Chrome Enterprise Premium werden erweitert, um einige wichtige Sicherheitsherausforderungen in der Entwicklerumgebung zu bewältigen. Durch die Verwendung der kontextsensitiven Zugriffssteuerung für die Google Cloud Console und APIs bietet Chrome Enterprise Premium zusätzliche Sicherheit für die Cloud Workstations API.

In der folgenden Tabelle ist aufgeführt, ob Chrome Enterprise Premium die kontextbezogene Zugriffssteuerung für die angegebene Cloud Workstations-Zugriffsmethode unterstützt.

  • Das Häkchen  weist darauf hin, dass diese Cloud Workstations-Zugriffsmethode durch Chrome Enterprise Premium eingeschränkt wird.
  • Das Symbol „Nicht unterstützt“ weist darauf hin, dass diese Cloud Workstations-Zugriffsmethode durch Chrome Enterprise Premium nicht eingeschränkt wird.

Ziele

In diesem Dokument wird beschrieben, wie ein Administrator die Zugriffssteuerung für Chrome Enterprise Premium für die Cloud Workstations API einrichtet und zusätzliche Mechanismen bereitstellt, die dazu beitragen, das Exfiltrieren von Quellcode aus browserbasierten Cloud Workstations-IDEs zu verhindern.

Kosten

Im Rahmen dieser Anleitung müssen Sie möglicherweise andere Teams (für die Abrechnung oder IAM) einbeziehen und die Zugriffssteuerung testen, um zu demonstrieren, dass die Chrome Enterprise Premium-Schutzmaßnahmen vorhanden sind.

In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen.

Neuen Google Cloud Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Nach Abschluss der in diesem Dokument beschriebenen Aufgaben können Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen löschen. Weitere Informationen finden Sie unter Bereinigen.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriffsrechte erteilen.

    4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.

    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie weitere Rollen zuweisen möchten.
    7. Klicken Sie auf Speichern.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriffsrechte erteilen.

    4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.

    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie weitere Rollen zuweisen möchten.
    7. Klicken Sie auf Speichern.

  10. Achten Sie darauf, dass Sie jedem Ihrer Nutzer eine Chrome Enterprise Premium Standard-Lizenz zugewiesen haben. Nur für Nutzer mit einer Lizenz werden Zugriffsberechtigungen erzwungen. Weitere Informationen finden Sie unter Lizenzen zuweisen, entfernen und neu zuweisen.

    11. Teil 1: Chrome Enterprise Premium für Cloud Workstations einrichten

    In diesem Abschnitt werden die Schritte beschrieben, mit denen Sie den kontextsensitiven Zugriff auf die Cloud Workstations API schützen können:

    1. Cloud Workstations einrichten
    2. Demouser und ‑gruppe erstellen
    3. Zugriffsebene in Access Context Manager erstellen
    4. Aktivieren Sie den kontextsensitiven Zugriff für Chrome Enterprise Premium.
    5. Fügen Sie die erforderlichen Google-Gruppen mit Zugriffsebenen hinzu.
    6. Entwicklerzugriff auf Cloud Workstations testen

    Cloud Workstations einrichten

    Für die Integration mit Chrome Enterprise Premium muss in Ihrem Cloud Workstations-Cluster Identity-Aware Proxy (IAP) verwendet werden. Überspringen Sie diesen Abschnitt, wenn Sie diese Ressourcen bereits konfiguriert haben.

    So richten Sie Cloud Workstations ein:

    1. Workstation-Cluster mit einer benutzerdefinierten Domain erstellen
    2. IAP aktivieren
    3. Workstationkonfiguration im Cluster erstellen

    Wenn Sie Cloud Workstations noch nicht kennen, lesen Sie die Übersicht und die Architektur.

    Demo-Nutzer und Demo-Gruppe erstellen

    Erstellen Sie in der Google Workspace-Admin-Konsole einen Demonutzer und eine neue Nutzergruppe. Wenn der kontextsensitiven Zugriff (Context-Aware Access, CAA) für dieGoogle Cloud -Konsole aktiviert ist, gilt er für alle Nutzer und Google-Gruppen, da es sich um eine globale Einstellung handelt.

    1. Melden Sie sich mit Ihrem Administratorkonto in der Google Workspace Admin-Konsole an: Menü > Verzeichnis > Nutzer > Neuen Nutzer hinzufügen.

    2. Erstellen Sie einen Demonutzer: demo-user@<domain>.

    3. Melden Sie sich in der Google Cloud Console an und rufen Sie das Menü > IAM & Verwaltung > Gruppen auf.

    4. Erstellen Sie eine IAM-Gruppe für den Cloud Workstations-Zugriff, nennen Sie sie Cloud Workstations Users und weisen Sie ihr den zuvor erstellten Demouser demo-user@<domain> zu.

    5. Klicken Sie auf Speichern.

    6. Erstellen Sie außerdem eine IAM-Administratorgruppe mit dem Namen Cloud Admin Users. Weisen Sie dieser Gruppe Ihre Projekt- und Organisationsadministratoren zu.

    7. Fügen Sie den Demonutzer demo-user@<domain> der von Ihnen erstellten Cloud Workstations-Nutzergruppe hinzu:

      1. Rufen Sie in der Google Cloud Console Cloud Workstations > Workstations auf.
      2. Wählen Sie die Arbeitsstation aus und klicken Sie dann auf das Dreipunkt-Menü  more_vertWeitere Optionen > Nutzer hinzufügen.
      3. Wählen Sie den Demonutzer demo-user@<domain> und dann Cloud Workstations User als Rolle aus.
      4. Wenn Sie dem Demouser Zugriff auf die Workstation gewähren möchten, wählen Sie demo-user@<domain> aus, wählen Sie Cloud Workstations Users als Rolle aus und klicken Sie auf Speichern.

    Zugriffsebene erstellen

    Kehren Sie zur Google Cloud -Konsole zurück, um eine Zugriffsebene in Access Context Manager zu erstellen.

    So testen Sie den Zugriff:

    1. Rufen Sie in der Google Cloud -Konsole Sicherheit > Access Context Manager auf, um eine Richtlinie für unternehmenseigene Geräte zu konfigurieren.

    2. Klicken Sie auf Zugriffsebene erstellen und füllen Sie die folgenden Felder aus:

      1. Geben Sie in das Feld Titel der Zugriffsebene corpManagedDevice ein.
      2. Wählen Sie den einfachen Modus aus.
      3. Wählen Sie unter Bedingungen die Option Wahr aus, um die Bedingung zu aktivieren.
      4. Klicken Sie auf + Geräterichtlinie, um die Optionen zu maximieren, und setzen Sie ein Häkchen bei Unternehmenseigenes Gerät erforderlich.
      5. Klicken Sie auf Speichern, um die Zugriffsrichtlinie zu speichern.

    CAA für Chrome Enterprise Premium für die Google Cloud -Konsole aktivieren

    Wenn Sie Workstations kontextsensitive Zugriffssteuerungen zuweisen möchten, müssen Sie zuerst den kontextsensitiven Zugriff für die Google Cloud Console aktivieren:

    1. Rufen Sie in der Google Cloud -Konsole Sicherheit > BeyondCorp Enterprise auf.

    2. Klicken Sie auf Zugriff auf die Google Cloud -Konsole und API verwalten. Daraufhin wird die Seite Organisationsebene für Chrome Enterprise Premium aufgerufen.

    3. Klicken Sie im Bereich Google Cloud Console & APIs sichern auf Aktivieren.

    Erforderliche Google-Gruppen mit Zugriffsebenen hinzufügen

    Fügen Sie die erforderlichen Administratorgruppen mit den entsprechenden Mitgliedern und der richtigen Zugriffsrichtlinie hinzu.

    Konsole

    1. Erstellen Sie eine Administratorzugriffsrichtlinie mit dem Namen CloudAdminAccess und legen Sie den Standort auf die Regionen fest, in denen Ihre Administratoren arbeiten. So können Administratoren auf Ressourcen zugreifen, auch wenn sie durch eine andere Richtlinie blockiert werden.

    2. Erstellen Sie eine IAM-Gruppe mit Administratorzugriff unter IAM & Verwaltung > Gruppen.

      1. Wählen Sie die Organisation aus.
      2. Erstellen Sie eine Gruppe mit dem Namen Cloud Admin Users.
      3. Weisen Sie sich selbst und alle anderen Administratoren dieser Gruppe zu.
      4. Klicken Sie auf Speichern.

    3. Rufen Sie Sicherheit > Chrome Enterprise Premium auf. Klicken Sie auf Zugriff verwalten und sehen Sie sich die Liste der Gruppen und Zugriffsebenen an, die angezeigt werden.

    4. Klicken Sie auf Hauptkonten zu Google Cloud Console und APIs hinzufügen.

      1. Wählen Sie für Google Groups die Option Cloud-Administratornutzer aus. Das ist die Google-Gruppe, die Sie im vorherigen Schritt ausgewählt haben.
      2. Wählen Sie CloudAdminAccess aus, die Zugriffsebene, die Sie für den Administratorzugriff erstellt haben.
      3. Klicken Sie auf Speichern.

    gcloud und API

    Anleitung für den Testlauf von Chrome Enterprise Premium

    Cloud Workstations-Nutzergruppe eine Zugriffsebene zuweisen

    So weisen Sie der Nutzergruppe „Cloud Workstations-Nutzer“ die Zugriffsebene zu:

    1. Rufen Sie Sicherheit > Chrome Enterprise Premium auf und klicken Sie auf Zugriff verwalten.

    2. Sehen Sie sich die Liste der Gruppen und Zugriffsebenen an, die angezeigt wird.

    3. Klicken Sie auf Hauptkonten zu Google Cloud Console und APIs hinzufügen.

      1. Wählen Sie für Google Groups die Option Cloud Workstations-Nutzer aus. Das ist die Google-Gruppe, die Sie im vorherigen Schritt ausgewählt haben.
      2. Wählen Sie die Zugriffsebene aus, die Sie zuvor erstellt haben: corpManagedDevice.
      3. Klicken Sie auf Speichern.

    Entwicklerzugriff auf Cloud Workstations testen

    Entwicklerzugriff auf die Cloud Workstations API über mehrere Einstiegspunkte testen. Achten Sie bei einem unternehmenseigenen Gerät darauf, dass Entwickler auf die Workstation API zugreifen können.

    • Testen Sie, ob der Zugriff auf die Workstation API von einem nicht verwalteten Gerät blockiert wird:

      Chrome Enterprise Premium blockiert Nutzer, die versuchen, auf die Cloud Workstations API zuzugreifen. Wenn Nutzer versuchen, sich anzumelden, wird eine Fehlermeldung angezeigt, in der sie darauf hingewiesen werden, dass sie keinen Zugriff haben oder dass sie die Netzwerkverbindung und die Browsereinstellungen überprüfen sollen.

    • Testen Sie, ob der Zugriff auf die Workstation API von einem unternehmenseigenen Gerät aus aktiviert ist:

      Entwickler mit Zugriff auf Chrome Enterprise Premium und Cloud Workstations sollten in der Lage sein, ihre Workstation zu erstellen und dann zu starten.

    Teil 2: DLP-Funktionen von Chrome Enterprise Premium einrichten

    In diesem Abschnitt finden Sie eine Anleitung, wie Sie BeyondCorp Threat and Data Protection nutzen können, um Funktionen zum Schutz vor Datenverlust (Data Loss Prevention, DLP) einzubinden. So wird die Exfiltration von Quellcode aus dem Chrome-basierten Cloud Workstations-Basiseditor (Code OSS für Cloud Workstations) verhindert.

    So richten Sie die DLP-Funktionen von Chrome Enterprise Premium ein, um das Herunterladen von Quellcode zu verhindern:

    1. Datenschutz und Schutz vor Bedrohungen aktivieren
    2. BeyondCorp-DLP-Regel erstellen
    3. Einstellungen prüfen und Regel erstellen:
    4. DLP-Regel testen

    Datenschutz und Schutz vor Bedrohungen aktivieren

    So aktivieren Sie den Schutz vor Bedrohungen und den Datenschutz in der Google Workspace-Admin-Konsole:

    1. Rufen Sie Geräte > Chrome > Einstellungen > Nutzer und Browser auf.

    2. Klicken Sie nach der Auswahl der ID Ihrer Organisationseinheit (OU-ID) unter Nutzer- und Browsereinstellungen auf Filter suchen oder hinzufügen und wählen Sie den Untertyp Kategorie aus.

    3. Suchen Sie in der Unterkategorie Category nach dem Chrome Enterprise Connector.

    4. Wählen Sie unter Inhaltsanalyse herunterladen die Option Google BeyondCorp Enterprise aus.

    5. Maximieren Sie Zusätzliche Einstellungen.

      1. Wählen Sie Zugriff auf Datei verzögern, bis die Analyse abgeschlossen ist aus.
      2. Wählen Sie unter Nach sensiblen Daten suchen> Modus die Option Standardmäßig aktiviert, mit Ausnahme des folgenden URL-Musters aus.

    6. Klicken Sie auf Speichern, um die Konfiguration zu speichern.

    DLP-Regel für Chrome Enterprise Premium erstellen

    So erstellen Sie eine DLP-Regel:

    1. Rufen Sie die Google Workspace Admin-Konsole auf und wählen Sie Sicherheit > Zugriffs- und Datenkontrolle > Datenschutz > Regeln verwalten aus.

    2. Wenn Sie eine neue Regel erstellen möchten, klicken Sie auf Regel hinzufügen und dann auf Neue Regel. Die Seite Name und Umfang wird geöffnet.

    3. Geben Sie im Abschnitt Name einen Namen und eine Beschreibung ein. Geben Sie beispielsweise im Feld Name CloudWorkstations-DLP-Rule1 und im Feld Beschreibung Cloud Workstations Data Loss Prevention Rule 1 ein.

    4. Konfigurieren Sie im Abschnitt Bereich Folgendes:

      1. Wählen Sie Organisationseinheiten und/oder Gruppen aus.
      2. Klicken Sie auf Organisationseinheiten einbeziehen und wählen Sie Ihre Organisation aus.
      3. Klicken Sie auf Weiter.

    5. Konfigurieren Sie im Abschnitt Apps Folgendes:

      1. Wählen Sie in den Chrome-Optionen Datei hochgeladen und Datei heruntergeladen aus.
      2. Klicken Sie auf Weiter.

    6. Konfigurieren Sie auf der Seite Bedingungen Folgendes:

      1. Klicken Sie auf Bedingung hinzufügen, um eine neue Bedingung zu erstellen.
      2. Wählen Sie Alle Inhalte aus.
      3. Wählen Sie Stimmt mit vordefiniertem Datentyp überein (empfohlen) aus.
      4. Wählen Sie unter Datentyp auswählen die Option Dokumente – Quellcodedatei aus.
      5. Wählen Sie für das Feld Schwellenwert für die Wahrscheinlichkeit die Option Hoch aus.
      6. Geben Sie im Feld Mindestanzahl eindeutiger Übereinstimmungen den Wert 1 ein.
      7. Geben Sie im Feld Mindestanzahl von Übereinstimmungen den Wert 1 ein.
      8. Klicken Sie auf Weiter.

    7. Konfigurieren Sie auf der Seite Aktionen Folgendes:

      1. Wählen Sie in den Aktionen die Option Chrome > Inhalte blockieren aus.
      2. Konfigurieren Sie in den Benachrichtigungsoptionen Folgendes:
        • Wählen Sie als Wichtigkeitsstufe Mittel aus.
        • Wählen Sie An die Benachrichtigungszentrale gesendet aus.
      3. Klicken Sie auf Weiter.

    Einstellungen überprüfen und Regel erstellen

    Prüfen Sie auf der Seite Überprüfung die Einstellungen, die Sie auf den vorherigen Seiten konfiguriert haben:

    1. Prüfen Sie, ob die Einstellungen korrekt sind.
    2. Klicken Sie auf Erstellen, um fortzufahren.
    3. Achten Sie auf der nächsten Seite darauf, dass Aktiv ausgewählt ist.
    4. Klicken Sie auf Fertigstellen, um die Erstellung der Regel abzuschließen.

    DLP-Regel testen

    Nachdem die DLP-Regel hinzugefügt wurde, können Sie sie in Chrome über Cloud Workstations testen:

    1. Geben Sie in einem neuen Chrome-Tab chrome://policy ein und klicken Sie auf Richtlinien neu laden, um sicherzugehen, dass die Chrome-Richtlinie aktualisiert wurde.

    2. Scrollen Sie nach unten, um eine Liste der Richtlinien aufzurufen. Wenn Sie diese sehen, wurden die Richtlinien erfolgreich entfernt. Suchen Sie in diesem Fall nach der Richtlinie OnFileDownloadEnterpriseConnector.

    3. Rufen Sie die Google Cloud Console auf und erstellen Sie eine Cloud Workstations-Konfiguration.

      Achten Sie beim Erstellen der Workstation-Konfiguration darauf, Code-Editoren auf Basis-Images und dann das vorkonfigurierte Basis-Image Basiseditor (Code OSS für Cloud Workstations) auszuwählen.

    4. Workstation erstellen

    5. Workstation starten

    6. Rufen Sie die URL Code OSS for Cloud Workstations auf, die angezeigt wird, nachdem Sie Ihre Workstation gestartet und eine Verbindung zu Port 80 hergestellt haben.

    7. Klonen Sie ein Repository mit der Option Git-Repository klonen in der IDE. Nachdem das Repository geklont wurde, versuchen Sie, eine Datei mit Quellcode herunterzuladen.

      Verwenden Sie eine der folgenden Methoden, um Dateien in der Explorer-Ansicht von Code OSS für Cloud Workstations herunterzuladen:

      • Ziehen Sie Dateien aus der Explorer-Ansicht.

      • Rufen Sie die Dateien und Verzeichnisse auf, die Sie verwenden möchten, klicken Sie mit der rechten Maustaste und wählen Sie Herunterladen aus.

    8. Beim Herunterladen wird die DLP-Richtlinie angewendet. Sie erhalten eine Benachrichtigung, dass ein Download blockiert wurde, weil die Richtlinien Ihrer Organisation nicht eingehalten werden:

    Glückwunsch! Sie haben erfolgreich verhindert, dass Quellcodedateien heruntergeladen werden.

    Bereinigen

    Damit Ihrem Google Cloud -Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, können Sie entweder das Projekt löschen, das die Ressourcen enthält, oder das Projekt beibehalten und die einzelnen Ressourcen löschen. Weitere Informationen finden Sie unter Ressourcen löschen.

    Nächste Schritte