Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Workstations API mit Chrome Enterprise Premium schützen

Vorschau — Help secure the Cloud Workstations API using Chrome Enterprise Premium

Diese Funktion unterliegt den „Nutzungsbedingungen für Pre-GA-Angebote“ im Abschnitt „Allgemeine Nutzungsbedingungen“ der dienstspezifischen Nutzungsbedingungen. Sie können personenbezogene Daten für dieses Feature gemäß der Zusatz zur Verarbeitung von Cloud-Daten verarbeiten, vorbehaltlich der in der Vereinbarung beschriebenen Verpflichtungen und Einschränkungen, die für den Zugriff auf Google Cloud gelten. Pre-GA-Funktionen sind „wie besehen“ verfügbar und werden möglicherweise nur eingeschränkt unterstützt. Weitere Informationen finden Sie in den Beschreibungen der Startphase.

Übersicht

Chrome Enterprise Premium ist die Zero-Trust-Lösung von Google Cloud, mit der Mitarbeiter einer Organisation von überall aus sicher auf Webanwendungen zugreifen können, ohne VPN und ohne Malware, Phishing und Datenverlust befürchten zu müssen.

Mit Chrome Enterprise Premium können Nutzer über Google Chrome von jedem Gerät aus auf Anwendungen zugreifen. Mehr Funktionen für Chrome Enterprise Premium einige wichtige Sicherheitsherausforderungen in der Entwicklungsumgebung anzugehen. Die kontextsensitive Zugriffssteuerung Google Cloud Console und APIs, Chrome Enterprise Premium bietet zusätzliche Sicherheit für die Cloud Workstations API.

In der folgenden Tabelle sehen Sie, ob Chrome Enterprise Premium die kontextbezogene Zugriffssteuerung für die angegebene Zugriffsmethode für Cloud Workstations unterstützt.

Das Häkchen gibt an, dass diese Zugriffsmethode für Cloud Workstations durch Chrome Enterprise Premium eingeschränkt ist.
Das Symbol wird nicht unterstützt. Chrome Enterprise Premium schränkt diese Cloud Workstations-Zugriffsmethode nicht ein.

Zugriff auf Cloud Workstations	Kontextsensitive Zugriffssteuerung in Chrome Enterprise Premium
Google Cloud Console
`gcloud` CLI: Ressourcen erstellen, bearbeiten, löschen
`gcloud` Befehlszeile: SSH
API: REST
API: RPC
API: Clientbibliotheken
API: Browserzugriff
HTTP: Browserzugriff
HTTP: SSH
HTTP: lokale JetBrains-IDEs
HTTP: lokal in VS Code

Lernziele

In diesem Dokument werden die Schritte beschrieben, die ein Administrator zur Einrichtung Chrome Enterprise Premium-Zugriffssteuerung für die Cloud Workstations API und zusätzliche Mechanismen bereitzustellen, die dazu beitragen, die Exfiltration von Quellcode zu verhindern. Browser-basierten Cloud Workstations-IDEs.

Kosten

Im Rahmen dieser Anleitung müssen Sie möglicherweise andere Teams (für die Abrechnung oder IAM) hinzuziehen. Außerdem testen Sie die Zugriffssteuerung, um zu zeigen, dass die Chrome Enterprise Premium-Grenzwerte vorhanden sind.

In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen. Neuen Google Cloud-Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Nach Abschluss der in diesem Dokument beschriebenen Aufgaben können Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen löschen. Weitere Informationen finden Sie unter Bereinigen.

Hinweis

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Workstations API.

Enable the API

Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Zu IAM
Wählen Sie das Projekt aus.
Klicken Sie auf Zugriff erlauben.
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
Klicken Sie auf Speichern.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Workstations API.

Enable the API

Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Zu IAM
Wählen Sie das Projekt aus.
Klicken Sie auf Zugriff erlauben.
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
Klicken Sie auf Speichern.
Achten Sie darauf, dass Sie jedem Ihrer Nutzer eine Chrome Enterprise Premium Standard-Lizenz zugewiesen haben. Zugriffssteuerungen werden nur für Nutzer mit einer Lizenz erzwungen. Weitere Informationen finden Sie unter Lizenzen zuweisen, entfernen und neu zuweisen.

Teil 1: Chrome Enterprise Premium für Cloud Workstations einrichten

In diesem Abschnitt erfahren Sie, wie Sie den kontextsensitiven Zugriff auf die Cloud Workstations API schützen:

Richten Sie Cloud Workstations ein.
Erstellen Sie einen Demonutzer und eine Demogruppe.
Erstellen Sie eine Zugriffsebene in Access Context Manager.
Aktivieren Sie den kontextsensitiven Zugriff für Chrome Enterprise Premium.
Fügen Sie die erforderlichen Google-Gruppen mit Zugriffsebenen hinzu.
Testen Sie den Entwicklerzugriff auf Cloud Workstations.

Cloud Workstations einrichten

Erstellen Sie in der Google Cloud Console Workstationkonfiguration.

Wenn Sie mit Cloud Workstations nicht vertraut sind, lesen Sie die Cloud Workstations Übersicht und Architektur Beschreibungen.

Demonutzer und Demogruppe erstellen

Erstellen Sie in der Admin-Konsole von Google Workspace einen Demonutzer und eine neue Nutzergruppe. Wenn der kontextbezogene Zugriff für die Google Cloud Console aktiviert ist, gilt er für alle Nutzer und Google-Gruppen, da es sich um eine globale Einstellung handelt.

Melden Sie sich in der Admin-Konsole mit Ihrem Administratorkonto: Menü > Verzeichnis > Nutzer > Neuen Nutzer hinzufügen.
Erstellen Sie einen Demonutzer: demo-user@<domain>.
Melden Sie sich in der Google Cloud Console an und klicken Sie auf das Menü > IAM und Verwaltung > Gruppen.
Erstellen Sie eine IAM-Gruppe für den Zugriff auf Cloud Workstations, nennen Sie sie Cloud Workstations Users und weisen Sie ihr den zuvor erstellten Demonutzer demo-user@<domain> zu.
Klicken Sie auf Speichern.
Erstellen Sie außerdem eine IAM-Administratorgruppe und nennen Sie sie Cloud Admin Users. Weisen Sie dieser Gruppe Projekt- und Organisationsadministratoren zu.
Fügen Sie den Demonutzer demo-user@<domain> der von Ihnen erstellten Nutzergruppe „Cloud Workstations“ hinzu:
1. Gehen Sie in der Google Cloud Console zu Cloud Workstations > Workstations.
2. Wählen Sie die Workstation aus und klicken Sie dann auf das Dreipunkt-Menü „Mehr“ > Nutzer hinzufügen.
3. Wählen Sie den Demonutzer demo-user@<domain> und dann Cloud Workstations User als Rolle.
4. Wenn Sie dem Demonutzer Zugriff auf die Workstation gewähren möchten, wählen Sie demo-user@<domain> und dann Cloud Workstations Users als Rolle aus und klicken Sie auf Speichern.

Zugriffsebene erstellen

Kehren Sie zur Google Cloud Console zurück, um eine Zugriffsebene in Access Context Manager zu erstellen.

So testen Sie den Zugriff:

Gehen Sie in der Google Cloud Console zu Sicherheit > Access Context Manager um eine Richtlinie für vom Unternehmen verwaltete Geräte zu konfigurieren.
Klicken Sie auf Zugriffsebene erstellen und füllen Sie die folgenden Felder aus:
1. Geben Sie im Feld Titel der Zugriffsebene corpManagedDevice ein.
2. Wählen Sie Einfacher Modus aus.
3. Wählen Sie unter Bedingungen die Option Wahr aus, um die Bedingung zu aktivieren.
4. Klicken Sie auf + Geräterichtlinie, um die Optionen zu maximieren. Unternehmenseigenes Gerät erforderlich.
5. Klicken Sie auf Speichern, um die Zugriffsrichtlinie zu speichern.

Chrome Enterprise Premium-CAA für die Google Cloud Console aktivieren

Wenn Sie Workstations kontextsensitive Zugriffssteuerungen zuweisen möchten, müssen Sie zuerst die kontextsensitive Zugriffssteuerung für die Google Cloud Console aktivieren:

Gehen Sie in der Google Cloud Console zu Sicherheit > BeyondCorp Enterprise.
Klicken Sie auf Zugriff auf Google Cloud Console und API verwalten. Daraufhin wird die Seite Chrome Enterprise Premium auf Organisationsebene angezeigt.
Gehen Sie in der Secure Google Cloud Console & APIs auf Aktivieren.

Erforderliche Google-Gruppen mit Zugriffsebenen hinzufügen

Fügen Sie die erforderlichen Administratorgruppen mit den entsprechenden Mitgliedern und der richtigen Zugriffsrichtlinie hinzu.

Console

Erstellen Sie eine Richtlinie für den Administratorzugriff mit dem Namen CloudAdminAccess und legen Sie als Standort die Regionen fest, in denen Ihre Administratoren arbeiten. So können Administratoren auch dann auf Ressourcen zugreifen, wenn sie durch eine andere Richtlinie blockiert werden.
Erstellen Sie eine IAM-Gruppe mit Administratorzugriff unter IAM und Admin > Gruppen.
1. Wählen Sie die Organisation aus.
2. Erstellen Sie eine Gruppe und nennen Sie sie Cloud-Administratornutzer.
3. Weisen Sie sich selbst und andere Administratoren dieser Gruppe zu.
4. Klicken Sie auf Speichern.
Klicken Sie auf Sicherheit > Chrome Enterprise Premium. Klicken Sie auf Zugriff verwalten und sehen Sie sich die Liste der angezeigten Gruppen und Zugriffsebenen an.
Klicken Sie auf Hauptkonten zur Google Cloud Console und zu APIs hinzufügen.
1. Wählen Sie unter Google Groups die Option Cloud Admin-Nutzer aus. Das ist die Google-Gruppe, die Sie im vorherigen Schritt ausgewählt haben.
2. Wählen Sie die Zugriffsebene, die Sie für CloudAdminAccess erstellt haben, aus. Administratorzugriff
3. Klicken Sie auf Speichern.

gcloud und API

Um den Probelauf zu aktivieren, folgen Sie der Anleitung zum Probelauf für Chrome Enterprise Premium

Cloud Workstations-Nutzergruppe eine Zugriffsebene zuweisen

So weisen Sie der Gruppe „Cloud Workstations-Nutzer“ die Zugriffsebene zu:

Klicken Sie auf Sicherheit > Chrome Enterprise Premium und dann auf Zugriff verwalten.
Sehen Sie sich die Liste der Gruppen und Zugriffsebenen an, die angezeigt wird.
Klicken Sie auf Hauptkonten zur Google Cloud Console hinzufügen und APIs
1. Wählen Sie unter Google Groups die Option Cloud Workstations Users (Cloud Workstations-Nutzer) aus. Das ist die Google-Gruppe, die Sie im vorherigen Schritt ausgewählt haben.
2. Wählen Sie die Zugriffsebene aus, die Sie zuvor erstellt haben: corpManagedDevice.
3. Klicken Sie auf Speichern.

Entwicklerzugriff auf Cloud Workstations testen

Entwicklerzugriff auf die Cloud Workstations API über mehrere Einträge testen Punkte. Achten Sie bei einem unternehmenseigenen Gerät darauf, dass Entwickler Zugriff auf mit der Workstation API.

Testen Sie, ob der Zugriff auf die Workstation API von einem nicht verwalteten Gerät blockiert ist:

Chrome Enterprise Premium blockiert Nutzer, die auf die Cloud Workstations API Wenn Nutzer versuchen, sich anzumelden, wird eine Fehlermeldung angezeigt, in der sie darüber informiert werden, dass sie keinen Zugriff haben oder die Netzwerkverbindung und die Browsereinstellungen prüfen sollten.
Testen, ob der Zugriff auf die Workstation API über ein unternehmenseigenes Gerät erfolgt aktiviert:

Entwickler mit Chrome Enterprise Premium und Cloud Workstations Zugriff sollte in der Lage sein, ihre Workstation erstellen und dann die Workstation zu starten.

Teil 2: DLP-Funktionen von Chrome Enterprise Premium einrichten

In diesem Abschnitt werden die Vorteile von BeyondCorp Threat and Data Protection beschrieben. um Funktionen zum Schutz vor Datenverlust (Data Loss Prevention, DLP) zu integrieren. So wird Quellcode verhindert, Daten-Exfiltration von Chrome-basierten Cloud Workstations-Basiseditor (Code OSS for Cloud Workstations)

Führen Sie die folgenden Schritte aus, um die DLP-Funktionen von Chrome Enterprise Premium einzurichten. Download von Quellcode verhindern:

Datenschutz und Schutz vor Bedrohungen aktivieren
Erstellen Sie eine BeyondCorp-DLP-Regel.
Überprüfen Sie die Einstellungen und erstellen Sie die Regel.
Testen Sie die DLP-Regel.

Datenschutz und Schutz vor Bedrohungen aktivieren

Um den Datenschutz und den Schutz vor Bedrohungen Google Workspace-Admin-Konsole gehen Sie so vor:

Gehen Sie zu Geräte > Chrome >. Einstellungen > Nutzer und Browser.
Nachdem Sie die ID der Organisationseinheit (OE-ID) ausgewählt haben, klicken Sie auf Suchen Sie nach einem Filter oder fügen Sie ihn hinzu unter Nutzer- und Browsereinstellungen und wählen Sie Untertyp Category
Suchen Sie im Untertyp Kategorie nach dem Chrome Enterprise-Connector.
Wählen Sie unter Inhaltsanalyse herunterladen die Option Google BeyondCorp Enterprise aus.
Maximieren Sie Weitere Einstellungen.
1. Wählen Sie Dateizugriff verzögern, bis die Analyse abgeschlossen ist aus.
2. Wählen Sie unter Nach sensiblen Daten suchen > Modus die folgende Option aus: Standardmäßig aktiviert, mit Ausnahme des folgenden URL-Musters.
Klicken Sie auf Speichern, um die Konfiguration zu speichern.

Chrome Enterprise Premium-DLP-Regel erstellen

So erstellen Sie eine DLP-Regel:

Öffnen Sie die Admin-Konsole von Google Workspace und wählen Sie Sicherheit > Zugriffs- und Datenkontrolle > Datenschutz > Regeln verwalten aus.
Wenn Sie eine neue Regel erstellen möchten, klicken Sie auf Regel hinzufügen und dann auf Neue Regel. Die Seite Name und Bereich wird geöffnet.
Geben Sie im Abschnitt Name einen Namen und eine Beschreibung ein. Geben Sie beispielsweise für das Feld Name CloudWorkstations-DLP-Rule1 und für das Feld Beschreibung Cloud Workstations Data Loss Prevention Rule 1 ein.
Konfigurieren Sie im Abschnitt Bereich Folgendes:
1. Wählen Sie Organisationseinheiten und/oder Gruppen aus.
2. Klicken Sie auf Organisationseinheiten einschließen und wählen Sie Ihre Organisation aus.
3. Klicken Sie auf Weiter.
Konfigurieren Sie im Bereich Apps Folgendes:
1. Wählen Sie in den Chrome-Optionen Datei hochgeladen und Datei heruntergeladen aus.
2. Klicken Sie auf Weiter.
Konfigurieren Sie auf der Seite Bedingungen Folgendes:
1. Klicken Sie auf Bedingung hinzufügen, um eine neue Bedingung zu erstellen.
2. Wähle Alle Inhalte aus.
3. Wählen Sie Stimmt mit vordefiniertem Datentyp überein (empfohlen) aus.
4. Wählen Sie unter Datentyp auswählen die Option Dokumente – Quellcodedatei aus.
5. Wählen Sie für das Feld Schwellenwert für die Wahrscheinlichkeit die Option Hoch aus.
6. Geben Sie im Feld Mindestzahl der eindeutigen Übereinstimmungen den Wert 1 ein.
7. Geben Sie im Feld Mindestübereinstimmungsanzahl den Wert 1 ein.
8. Klicken Sie auf Weiter.
Konfigurieren Sie auf der Seite Aktionen Folgendes:
1. Wählen Sie in den Optionen unter Aktionen Folgendes aus: Chrome > Inhalte blockieren.
2. Konfigurieren Sie unter Benachrichtigungen Folgendes:
  - Wählen Sie für den Schweregrad Mittel aus.
  - Wählen Sie An Benachrichtigungszentrale gesendet aus.
3. Klicken Sie auf Weiter.

Einstellungen prüfen und Regel erstellen

Überprüfen Sie auf der Seite Überprüfen die Einstellungen, die Sie zuvor konfiguriert haben. Seiten:

Achten Sie darauf, dass die Einstellungen korrekt sind.
Klicken Sie auf Erstellen, um fortzufahren.
Auf der nächsten Seite muss Aktiv ausgewählt sein.
Klicken Sie auf Fertigstellen, um die Erstellung der Regel abzuschließen.

DLP-Regel testen

Nachdem die DLP-Regel hinzugefügt wurde, können Sie Tests in Cloud Workstations ausführen in Chrome:

Öffnen Sie einen neuen Chrome-Tab, geben Sie chrome://policy ein und klicken Sie auf Richtlinien neu laden, um zu prüfen, ob die Chrome-Richtlinie aktualisiert.

Hinweis: Dies ist in der Regel nur erforderlich, wenn Sie das richtlinienkonform sind. Chrome sucht alle drei Stunden automatisch nach neuen Richtlinienaktualisierungen.
Scrollen Sie nach unten, um eine Liste der Richtlinien zu sehen. Wenn Sie diese sehen, Die Richtlinien wurden erfolgreich abgerufen. Sehen Sie in diesem Fall nach für die Richtlinie OnFileDownloadEnterpriseConnector.
Öffnen Sie die Google Cloud Console und erstellen Sie eine Cloud Workstations-Konfiguration.

Wählen Sie beim Erstellen der Workstation-Konfiguration Code-Editoren auf Basis-Images und dann das vorkonfigurierte Basis-Image Basiseditor (Code-OSS für Cloud Workstations) aus.
Workstation erstellen
Workstation starten und starten
Rufen Sie die URL Code OSS for Cloud Workstations auf, die nach dem starten Sie Ihre Workstation und stellen eine Verbindung zu Port 80 her.

Hinweis: Dieselben DLP-Richtlinien gelten auch für Anwendungen, die auf anderen Cloud Workstation-Ports ausgeführt werden, z. B. Port 3000, wenn über den Browser darauf zugegriffen wird.
Klonen Sie ein Repository mit der Option Git-Repository klonen in der IDE. Versuchen Sie nach dem Klonen des Repositorys, eine Datei mit Quellcode herunterzuladen.

Verwenden Sie zum Herunterladen von Dateien in der Code OSS for Cloud Workstations Explorer-Ansicht einer der folgenden Methoden:
- Ziehen Sie Dateien aus der Explorer-Ansicht.
- Rufen Sie die Dateien und Verzeichnisse auf, die Sie verwenden möchten, klicken Sie mit der rechten Maustaste darauf und wählen Sie Herunterladen aus.
Nach dem Download tritt die DLP-Richtlinie in Kraft. Sie erhalten eine Benachrichtigung, dass der Download blockiert wurde, weil die Richtlinien Ihrer Organisation nicht erfüllt werden:

Glückwunsch! Sie haben erfolgreich dazu beigetragen, dass Quellcodedateien heruntergeladen wird.

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen. Weitere Informationen finden Sie unter Ressourcen löschen.

Nächste Schritte

Weitere Informationen zu Chrome Enterprise Premium finden Sie in der Chrome Enterprise Premium – Übersicht
Lesen Sie die allgemeinen Schritte für Chrome Enterprise Premium anwenden auf Ihre Google Cloud- und lokalen Ressourcen.