Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Workstations API mit Chrome Enterprise Premium schützen

Übersicht

Chrome Enterprise Premium ist die Zero-Trust-Lösung vonGoogle Cloud, mit der Mitarbeiter von Organisationen von überall aus sicher auf Webanwendungen zugreifen können, ohne VPN und ohne Malware- oder Phishing-Angriffe und Datenverluste befürchten zu müssen.

Mit Chrome Enterprise Premium können Nutzer dank der Leistungsfähigkeit von Google Chrome von jedem Gerät aus auf Anwendungen zugreifen. Chrome Enterprise Premium wird um Funktionen erweitert, die einige wichtige Sicherheitsherausforderungen in der Entwicklerumgebung angehen. Mit der kontextsensitiven Zugriffssteuerung für die Google Cloud Console und APIs bietet Chrome Enterprise Premium zusätzliche Sicherheit für die Cloud Workstations API.

In der folgenden Tabelle sehen Sie, ob Chrome Enterprise Premium die kontextbezogene Zugriffssteuerung für die angegebene Zugriffsmethode für Cloud Workstations unterstützt.

Das Häkchen gibt an, dass diese Zugriffsmethode für Cloud Workstations durch Chrome Enterprise Premium eingeschränkt ist.
Das Symbol „Nicht unterstützt“ gibt an, dass Chrome Enterprise Premium diese Zugriffsmethode für Cloud Workstations nicht einschränkt.

Zugriff auf Cloud Workstations	Kontextsensitive Zugriffssteuerung in Chrome Enterprise Premium
Google Cloud Console
`gcloud` CLI: Ressourcen erstellen, bearbeiten, löschen
`gcloud` Befehlszeile: SSH
API: REST
API: RPC
API: Clientbibliotheken
API: Browserzugriff
HTTP: Browserzugriff
HTTP: SSH
HTTP: lokale JetBrains-IDEs
HTTP: Lokaler VS Code

Lernziele

In diesem Dokument werden die Schritte beschrieben, die ein Administrator ausführen muss, um die Chrome Enterprise Premium-Zugriffssteuerung für die Cloud Workstations API einzurichten und zusätzliche Mechanismen bereitzustellen, die die Ausschleusung von Quellcode aus browserbasierten Cloud Workstations-IDEs verhindern.

Kosten

Im Rahmen dieser Anleitung müssen Sie möglicherweise andere Teams (für die Abrechnung oder IAM) hinzuziehen. Außerdem testen Sie die Zugriffssteuerung, um zu zeigen, dass die Chrome Enterprise Premium-Grenzwerte vorhanden sind.

In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen. Neuen Google Cloud-Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Nach Abschluss der in diesem Dokument beschriebenen Aufgaben können Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen löschen. Weitere Informationen finden Sie unter Bereinigen.

Hinweise

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Workstations API.

Enable the API

Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
IAM aufrufen
Wählen Sie das Projekt aus.
Klicken Sie auf Zugriff erlauben.
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
Klicken Sie auf Speichern.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Workstations API.

Enable the API

Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
IAM aufrufen
Wählen Sie das Projekt aus.
Klicken Sie auf Zugriff erlauben.
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
Klicken Sie auf Speichern.
Achten Sie darauf, dass Sie jedem Ihrer Nutzer eine Chrome Enterprise Premium Standard-Lizenz zugewiesen haben. Nur für Nutzer mit einer Lizenz werden Zugriffssteuerungen erzwungen. Weitere Informationen finden Sie unter Lizenzen zuweisen, entfernen und neu zuweisen.

Teil 1: Chrome Enterprise Premium für Cloud-Arbeitsstationen einrichten

In diesem Abschnitt erfahren Sie, wie Sie den kontextsensitiven Zugriff auf die Cloud Workstations API schützen:

Richte Cloud Workstations ein.
Erstellen Sie einen Demonutzer und eine Demogruppe.
Erstellen Sie eine Zugriffsebene in Access Context Manager.
Aktivieren Sie den kontextsensitiven Zugriff für Chrome Enterprise Premium.
Fügen Sie die erforderlichen Google-Gruppen mit Zugriffsebenen hinzu.
Entwicklerzugriff auf Cloud Workstations testen

Cloud Workstations einrichten

Erstellen Sie in der Google Cloud Console eine Workstationkonfiguration.

Wenn Sie mit Cloud Workstations nicht vertraut sind, lesen Sie die Beschreibungen unter Cloud Workstations – Übersicht und Architektur.

Demonutzer und Demogruppe erstellen

Erstellen Sie in der Admin-Konsole von Google Workspace einen Demonutzer und eine neue Nutzergruppe. Wenn der kontextbezogene Zugriff für die Google Cloud Console aktiviert ist, gilt er für alle Nutzer und Google-Gruppen, da es sich um eine globale Einstellung handelt.

Melden Sie sich mit Ihrem Administratorkonto in der Admin-Konsole von Google Workspace an: Menü > Verzeichnis > Nutzer > Neuen Nutzer hinzufügen.
Erstellen Sie einen Demonutzer: demo-user@<domain>.
Melden Sie sich in der Google Cloud Console an und klicken Sie auf das Menü > IAM und Verwaltung > Gruppen.
Erstellen Sie eine IAM-Gruppe für den Zugriff auf Cloud Workstations, nennen Sie sie Cloud Workstations Users und weisen Sie ihr den zuvor erstellten Demonutzer demo-user@<domain> zu.
Klicken Sie auf Speichern.
Erstellen Sie außerdem eine IAM-Administratorgruppe und nennen Sie sie Cloud Admin Users. Weisen Sie dieser Gruppe Ihre Projekt- und Organisationsadministratoren zu.
Fügen Sie den Demonutzer demo-user@<domain> der von Ihnen erstellten Nutzergruppe „Cloud Workstations“ hinzu:
1. Gehen Sie in der Google Cloud Console zu Cloud Workstations > Workstations.
2. Wählen Sie die Workstation aus und klicken Sie dann auf das Dreipunkt-Menü„Mehr“ > Nutzer hinzufügen.
3. Wählen Sie den Demonutzer demo-user@<domain> und Cloud Workstations User als Rolle aus.
4. Wenn Sie dem Demonutzer Zugriff auf die Workstation gewähren möchten, wählen Sie demo-user@<domain> und dann Cloud Workstations Users als Rolle aus und klicken Sie auf Speichern.

Zugriffsebene erstellen

Kehren Sie zur Google Cloud Console zurück, um eine Zugriffsebene in Access Context Manager zu erstellen.

So testen Sie den Zugriff:

Gehen Sie in der Google Cloud Console zu Sicherheit > Access Context Manager, um eine unternehmensverwaltete Geräterichtlinie zu konfigurieren.
Klicken Sie auf Zugriffsebene erstellen und füllen Sie die folgenden Felder aus:
1. Geben Sie in das Feld Titel der Zugriffsebene corpManagedDevice ein.
2. Wählen Sie Einfacher Modus aus.
3. Wählen Sie unter Bedingungen die Option True aus, um die Bedingung zu aktivieren.
4. Klicken Sie auf + Geräterichtlinie, um die Optionen zu maximieren, und setzen Sie ein Häkchen bei Unternehmenseigenes Gerät erforderlich.
5. Klicken Sie auf Speichern, um die Zugriffsrichtlinie zu speichern.

Chrome Enterprise Premium-CAA für die Google Cloud Console aktivieren

Wenn Sie Workstations kontextsensitive Zugriffssteuerungen zuweisen möchten, müssen Sie zuerst die kontextsensitive Zugriffssteuerung für die Google Cloud Console aktivieren:

Gehen Sie in der Google Cloud Console zu Sicherheit > BeyondCorp Enterprise.
Klicken Sie auf Zugriff auf die Google Cloud Console und API verwalten. Daraufhin wird die Seite Chrome Enterprise Premium auf Organisationsebene geöffnet.
Klicken Sie im Bereich Google Cloud Console und APIs sichern auf Aktivieren.

Erforderliche Google-Gruppen mit Zugriffsebenen hinzufügen

Fügen Sie die erforderlichen Administratorgruppen mit den entsprechenden Mitgliedern und der richtigen Zugriffsrichtlinie hinzu.

Console

Erstellen Sie eine Richtlinie für den Administratorzugriff mit dem Namen CloudAdminAccess und legen Sie als Standort die Regionen fest, in denen Ihre Administratoren arbeiten. So können Administratoren auch dann auf Ressourcen zugreifen, wenn sie durch eine andere Richtlinie blockiert werden.
Erstellen Sie unter IAM & Verwaltung > Gruppen eine IAM-Gruppe mit Administratorzugriff.
1. Wählen Sie die Organisation aus.
2. Erstellen Sie eine Gruppe und nennen Sie sie Cloud Admin Users.
3. Weisen Sie sich und alle anderen Administratoren dieser Gruppe zu.
4. Klicken Sie auf Speichern.
Gehen Sie zu Sicherheit > Chrome Enterprise Premium. Klicken Sie auf Zugriff verwalten und sehen Sie sich die Liste der angezeigten Gruppen und Zugriffsebenen an.
Klicken Sie auf Hauptkonten zur Google Cloud Console und zu APIs hinzufügen.
1. Wählen Sie unter Google Groups die Option Cloud Admin-Nutzer aus. Das ist die Google-Gruppe, die Sie im vorherigen Schritt ausgewählt haben.
2. Wählen Sie CloudAdminAccess aus, die Zugriffsebene, die Sie für den Administratorzugriff erstellt haben.
3. Klicken Sie auf Speichern.

gcloud und API

Wenn Sie einen Trockenlauf aktivieren möchten, folgen Sie der Anleitung für den Chrome Enterprise Premium-Trockenlauf.

Zugriffsebene für die Gruppe „Cloud Workstations-Nutzer“ zuweisen

So weisen Sie der Gruppe „Cloud Workstations-Nutzer“ die Zugriffsebene zu:

Klicken Sie auf Sicherheit > Chrome Enterprise Premium und dann auf Zugriff verwalten.
Sehen Sie sich die Liste der Gruppen und Zugriffsebenen an, die angezeigt wird.
Klicken Sie auf Hauptkonten zur Google Cloud Console und zu APIs hinzufügen.
1. Wählen Sie unter Google Groups die Option Cloud Workstations-Nutzer aus. Das ist die Google-Gruppe, die Sie im vorherigen Schritt ausgewählt haben.
2. Wählen Sie die zuvor erstellte Zugriffsebene corpManagedDevice aus.
3. Klicken Sie auf Speichern.

Entwicklerzugriff auf Cloud Workstations testen

Entwicklerzugriff auf die Cloud Workstations API über mehrere Einstiegspunkte testen Achten Sie bei einem unternehmenseigenen Gerät darauf, dass Entwickler auf die Workstation API zugreifen können.

Testen Sie, ob der Zugriff auf die Workstation API von einem nicht verwalteten Gerät blockiert ist:

Chrome Enterprise Premium blockiert Nutzer, die versuchen, auf die Cloud Workstations API zuzugreifen. Wenn Nutzer versuchen, sich anzumelden, wird eine Fehlermeldung angezeigt, in der sie darüber informiert werden, dass sie keinen Zugriff haben oder die Netzwerkverbindung und die Browsereinstellungen prüfen sollten.
Testen Sie, ob der Zugriff auf die Workstation API von einem unternehmenseigenen Gerät aus aktiviert ist:

Entwickler mit Chrome Enterprise Premium- und Cloud Workstations-Zugriff sollten in der Lage sein, ihre Workstation zu erstellen und dann ihre Workstation zu starten.

Teil 2: DLP-Funktionen von Chrome Enterprise Premium einrichten

In diesem Abschnitt erfahren Sie, wie Sie mit BeyondCorp Threat and Data Protection Funktionen zum Schutz vor Datenverlust (Data Loss Prevention, DLP) einbinden. So wird die Exfiltration von Quellcode aus dem Chrome-basierten Cloud Workstations-Basiseditor (Code OSS für Cloud Workstations) verhindert.

So richten Sie die DLP-Funktionen von Chrome Enterprise Premium ein, um den Download von Quellcode zu verhindern:

Aktivieren Sie den Datenschutz und Schutz vor Bedrohungen.
Erstellen Sie eine BeyondCorp-DLP-Regel.
Prüfen Sie die Einstellungen und erstellen Sie die Regel.
Testen Sie die DLP-Regel.

Datenschutz und Schutz vor Bedrohungen aktivieren

So aktivieren Sie den Schutz vor Bedrohungen und den Datenschutz in der Google Workspace Admin-Konsole:

Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer und Browser.
Nachdem Sie die Organisationseinheits-ID (OE-ID) ausgewählt haben, klicken Sie unter Nutzer- und Browsereinstellungen auf Filter suchen oder hinzufügen und wählen Sie den Untertyp Kategorie aus.
Suchen Sie im Untertyp Kategorie nach dem Chrome Enterprise-Connector.
Wählen Sie unter Inhaltsanalyse herunterladen die Option Google BeyondCorp Enterprise aus.
Maximieren Sie Weitere Einstellungen.
1. Wählen Sie Dateizugriff verzögern, bis die Analyse abgeschlossen ist aus.
2. Wählen Sie unter Auf sensible Daten prüfen > Modus die Option Standardmäßig aktiviert, mit Ausnahme der folgenden URL-Muster aus.
Klicken Sie auf Speichern, um die Konfiguration zu speichern.

Chrome Enterprise Premium-DLP-Regel erstellen

So erstellen Sie eine DLP-Regel:

Öffnen Sie die Admin-Konsole von Google Workspace und wählen Sie Sicherheit > Zugriffs- und Datenkontrolle > Datenschutz > Regeln verwalten aus.
Wenn Sie eine neue Regel erstellen möchten, klicken Sie auf Regel hinzufügen und dann auf Neue Regel. Daraufhin wird die Seite Name und Umfang geöffnet.
Geben Sie im Abschnitt Name einen Namen und eine Beschreibung ein. Geben Sie beispielsweise für das Feld Name CloudWorkstations-DLP-Rule1 und für das Feld Beschreibung Cloud Workstations Data Loss Prevention Rule 1 ein.
Konfigurieren Sie im Abschnitt Umfang Folgendes:
1. Wählen Sie Organisationseinheiten und/oder Gruppen aus.
2. Klicken Sie auf Organisationseinheiten berücksichtigen und wählen Sie Ihre Organisation aus.
3. Klicken Sie auf Weiter.
Konfigurieren Sie im Abschnitt Apps Folgendes:
1. Wählen Sie in den Chrome-Optionen Datei hochgeladen und Datei heruntergeladen aus.
2. Klicken Sie auf Weiter.
Konfigurieren Sie auf der Seite Bedingungen Folgendes:
1. Klicken Sie auf Bedingung hinzufügen, um eine neue Bedingung zu erstellen.
2. Wählen Sie Alle Inhalte aus.
3. Wählen Sie Stimmt mit vordefiniertem Datentyp überein (empfohlen) aus.
4. Wählen Sie unter Datentyp auswählen die Option Dokumente – Quellcodedatei aus.
5. Wählen Sie für das Feld Schwellenwert für die Wahrscheinlichkeit die Option Hoch aus.
6. Geben Sie im Feld Mindestzahl der eindeutigen Übereinstimmungen den Wert 1 ein.
7. Geben Sie im Feld Mindestübereinstimmungsanzahl den Wert 1 ein.
8. Klicken Sie auf Weiter.
Konfigurieren Sie auf der Seite Aktionen Folgendes:
1. Wählen Sie unter Aktionen die Option Chrome > Inhalte blockieren aus.
2. Konfigurieren Sie unter Benachrichtigungen Folgendes:
  - Wählen Sie als Schweregrad Mittel aus.
  - Wählen Sie An die Benachrichtigungszentrale gesendet aus.
3. Klicken Sie auf Weiter.

Einstellungen prüfen und Regel erstellen

Prüfen Sie auf der Seite Überprüfen die Einstellungen, die Sie auf den vorherigen Seiten konfiguriert haben:

Prüfen Sie, ob die Einstellungen korrekt sind.
Klicken Sie auf Erstellen, um fortzufahren.
Achten Sie auf der nächsten Seite darauf, dass Aktiv ausgewählt ist.
Klicken Sie auf Fertigstellen, um die Erstellung der Regel abzuschließen.

DLP-Regel testen

Nachdem Sie die DLP-Regel hinzugefügt haben, können Sie den Test über Cloud Workstations in Chrome durchführen:

Geben Sie in einem neuen Chrome-Tab chrome://policy ein und klicken Sie auf Richtlinien neu laden, um sicherzustellen, dass die Chrome-Richtlinie aktualisiert wurde.

Hinweis: Normalerweise ist das nicht erforderlich, es sei denn, Sie möchten die Richtlinie sofort aktualisieren. Chrome sucht alle drei Stunden automatisch nach neuen Richtlinienaktualisierungen.
Scrollen Sie nach unten, um eine Liste der Richtlinien zu sehen. Wenn Sie diese Meldung sehen, wurden die Richtlinien erfolgreich entfernt. Suchen Sie in diesem Fall nach der Richtlinie OnFileDownloadEnterpriseConnector.
Rufen Sie die Google Cloud Console auf und erstellen Sie eine Cloud Workstations-Konfiguration.

Wählen Sie beim Erstellen der Workstation-Konfiguration Code-Editoren auf Basis-Images und dann das vorkonfigurierte Basis-Image Basiseditor (Code-OSS für Cloud Workstations) aus.
Workstation erstellen
Starten Sie die Workstation und starten Sie sie.
Rufen Sie die URL Code OSS for Cloud Workstations auf, die nach dem Starten der Workstation angezeigt wird, und stellen Sie eine Verbindung zu Port 80 her.

Hinweis: Dieselben DLP-Richtlinien gelten auch für Anwendungen, die auf anderen Cloud Workstation-Ports ausgeführt werden, z. B. Port 3000, wenn über den Browser darauf zugegriffen wird.
Klonen Sie ein Repository mit der Option Git-Repository klonen in der IDE. Versuchen Sie nach dem Klonen des Repositories, eine Datei mit Quellcode herunterzuladen.

Sie können Dateien in der Explorer-Ansicht von Code OSS für Cloud Workstations mit einer der folgenden Methoden herunterladen:
- Ziehen Sie Dateien aus der Explorer-Ansicht.
- Rufen Sie die Dateien und Verzeichnisse auf, die Sie verwenden möchten, klicken Sie mit der rechten Maustaste darauf und wählen Sie Herunterladen aus.
Nach dem Download tritt die DLP-Richtlinie in Kraft. Sie erhalten eine Benachrichtigung, dass der Download blockiert wurde, weil die Richtlinien Ihrer Organisation nicht erfüllt werden:

Glückwunsch! Sie haben dazu beigetragen, dass Quellcodedateien nicht heruntergeladen werden können.

Bereinigen

Damit Ihrem Google Cloud -Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, können Sie entweder das Projekt löschen, das die Ressourcen enthält, oder das Projekt beibehalten und die einzelnen Ressourcen löschen. Weitere Informationen finden Sie unter Ressourcen löschen.

Nächste Schritte

Weitere Informationen zu Chrome Enterprise Premium finden Sie in der Übersicht über Chrome Enterprise Premium.
Hier finden Sie eine allgemeine Anleitung zum Anwenden von Chrome Enterprise Premium auf Ihre Google Cloud und lokalen Ressourcen.