Ayuda a proteger la API Cloud Workstations con Chrome Enterprise Premium

Información general

Chrome Enterprise Premium es la solución de confianza cero deGoogle Cloudque permite al personal de una organización acceder a aplicaciones web de forma segura desde cualquier lugar, sin necesidad de VPN, y ayuda a prevenir el malware, el phishing y la pérdida de datos.

Gracias a la potencia de Google Chrome, Chrome Enterprise Premium permite a los usuarios acceder a aplicaciones desde cualquier dispositivo. Chrome Enterprise Premium amplía sus funciones para abordar algunos retos de seguridad clave en el entorno de desarrollo. Chrome Enterprise Premium permite aumentar la seguridad de la API Cloud Workstations mediante el control de acceso contextual para la Google Cloud consola y las APIs.

En la siguiente tabla se indica si Chrome Enterprise Premium admite el control de acceso contextual para el método de acceso a Cloud Workstations especificado.

  • La marca de verificación indica que Chrome Enterprise Premium limita este método de acceso a Cloud Workstations.
  • El icono no admitido indica que Chrome Enterprise Premium no limita este método de acceso a Cloud Workstations.

Objetivos

En este documento se describen los pasos que debe seguir un administrador para configurar el control de acceso de Chrome Enterprise Premium para la API Cloud Workstations y para proporcionar mecanismos adicionales que ayuden a evitar la filtración de código fuente de los IDEs de Cloud Workstations basados en navegador.

Costes

Como parte de este tutorial, es posible que tengas que involucrar a otros equipos (por ejemplo, de facturación o de gestión de identidades y accesos) y también probar el control de acceso para demostrar que se han implementado las medidas de protección de Chrome Enterprise Premium.

En este documento, se utilizan los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costes basada en el uso previsto, utiliza la calculadora de precios.

Los usuarios nuevos Google Cloud pueden disfrutar de una prueba gratuita.

Cuando termines las tareas que se describen en este documento, puedes evitar que se te siga facturando eliminando los recursos que has creado. Para obtener más información, consulta la sección Limpiar.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Conceder acceso.

    4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

    5. En la lista Selecciona un rol, elige un rol.
    6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
    7. Haz clic en Guardar.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Conceder acceso.

    4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

    5. En la lista Selecciona un rol, elige un rol.
    6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
    7. Haz clic en Guardar.

  10. Asegúrate de haber asignado una licencia de Chrome Enterprise Premium Standard a cada uno de tus usuarios. Solo los usuarios con una licencia tienen controles de acceso obligatorios. Para obtener más información, consulta el artículo Asignar, retirar y reasignar licencias.

    11. Parte 1: Configurar Chrome Enterprise Premium para Cloud Workstations

    En esta sección se describen los pasos que debes seguir para proteger el acceso contextual a la API Cloud Workstations:

    1. Configura Cloud Workstations.
    2. Crea un usuario y un grupo de demostración.
    3. Crea un nivel de acceso en Administrador de contextos de acceso.
    4. Habilita el acceso contextual de Chrome Enterprise Premium.
    5. Añade los grupos de Google necesarios con los niveles de acceso correspondientes.
    6. Prueba el acceso de desarrolladores a Cloud Workstations.

    Configurar Cloud Workstations

    En la Google Cloud consola, crea una configuración de estación de trabajo.

    Si no conoces Cloud Workstations, consulta las descripciones generales y de la arquitectura de Cloud Workstations.

    Crear un usuario y un grupo de demostración

    En la consola de administración de Google Workspace, crea un usuario de demostración y un grupo de usuarios. Cuando está habilitado, el acceso contextual de la consolaGoogle Cloud se aplica a todos los usuarios y grupos de Google, ya que es un ajuste global.

    1. Inicia sesión en la consola de administración de Google Workspace con tu cuenta de administrador: Menú > Directorio > Usuarios > Añadir nuevo usuario.

    2. Crea un usuario de demostración: demo-user@<domain>.

    3. Inicia sesión en la Google Cloud consola y ve a Menú > IAM y administración > Grupos.

    4. Crea un grupo de gestión de identidades y accesos para acceder a Cloud Workstations, llámalo Cloud Workstations Users y asigna el usuario de demostración que has creado antes, demo-user@<domain>.

    5. Haz clic en Guardar.

    6. Crea también un grupo de administradores de IAM y llámalo Usuarios administradores de Cloud. Asigna a los administradores de tu proyecto y de tu organización a este grupo.

    7. Añade el usuario de demostración demo-user@<domain> al grupo de usuarios de Cloud Workstations que has creado:

      1. En la Google Cloud consola, ve a Cloud Workstations > Workstations.
      2. Selecciona la estación de trabajo y, a continuación, haz clic en more_vertMás > Añadir usuarios.
      3. Selecciona el usuario de demostración demo-user@<domain> y, a continuación, Cloud Workstations User como Rol.
      4. Para dar acceso a la estación de trabajo al usuario de demostración, selecciona demo-user@<domain>, selecciona Cloud Workstations Users como Rol y haz clic en Guardar.

    Crear un nivel de acceso

    Vuelve a la Google Cloud consola para crear un nivel de acceso en el Administrador de contextos de acceso.

    Sigue estas instrucciones para probar el acceso:

    1. En la consolaGoogle Cloud , ve a Seguridad > Gestor de contexto de acceso para configurar una política de dispositivos gestionados por la empresa.

    2. Haz clic en Crear nivel de acceso y rellena los siguientes campos:

      1. En el campo Título del nivel de acceso, introduce corpManagedDevice.
      2. Selecciona el modo básico.
      3. En Condiciones, selecciona Verdadero para habilitar la condición.
      4. Haz clic en + Política de dispositivo para ver las opciones y marca Requerir dispositivo propiedad de la empresa.
      5. Haz clic en Guardar para guardar la política de acceso.

    Habilitar la CAA de Chrome Enterprise Premium para la Google Cloud consola

    Para asignar controles de acceso contextual (CAA) a las estaciones de trabajo, empieza por habilitar el CAA en la consola: Google Cloud

    1. En la Google Cloud consola, ve a Seguridad > BeyondCorp Enterprise.

    2. Haz clic en Gestionar acceso a la Google Cloud consola y a la API. Se te dirigirá a la página Nivel de organización de Chrome Enterprise Premium.

    3. En la sección Consola y APIs seguras Google Cloud , haz clic en Habilitar.

    Añadir los grupos de Google necesarios con niveles de acceso

    Añade los grupos de administradores necesarios con los miembros correspondientes y la política de acceso correcta.

    Consola

    1. Crea una política de acceso de administrador llamada CloudAdminAccess con la ubicación definida en las regiones en las que trabajan tus administradores. De esta forma, los administradores pueden acceder a los recursos aunque otra política se lo impida.

    2. Crea un grupo de gestión de identidades y accesos con acceso de administrador en IAM y administración > Grupos.

      1. Selecciona la organización.
      2. Crea un grupo y llámalo Usuarios administradores de Cloud.
      3. Asigna a este grupo a ti y a cualquier otro administrador.
      4. Haz clic en Guardar.

    3. Ve a Seguridad > Chrome Enterprise Premium. Haz clic en Gestionar acceso y consulta la lista de grupos y niveles de acceso que aparece.

    4. Haz clic en Añadir principales a la consola y las APIs Google Cloud .

      1. En Grupos de Google, selecciona Usuarios administradores de Cloud. Este es el grupo de Google que has seleccionado en el paso anterior.
      2. Selecciona CloudAdminAccess, el nivel de acceso que has creado para el acceso de administrador.
      3. Haz clic en Guardar.

    gcloud y API

    Para habilitar la prueba, sigue el tutorial de prueba de Chrome Enterprise Premium.

    Asignar un nivel de acceso al grupo de usuarios de Cloud Workstations

    Para asignar el nivel de acceso al grupo de usuarios de Cloud Workstations, sigue estos pasos:

    1. Ve a Seguridad > Chrome Enterprise Premium y haz clic en Gestionar acceso.

    2. Revisa la lista de grupos y niveles de acceso que aparece.

    3. Haz clic en Añadir principales a la consola y las APIs Google Cloud .

      1. En Grupos de Google, selecciona Usuarios de Cloud Workstations. Es el grupo de Google que has seleccionado en el paso anterior.
      2. Selecciona el nivel de acceso que has creado antes, corpManagedDevice.
      3. Haz clic en Guardar.

    Probar el acceso de desarrolladores a Cloud Workstations

    Prueba el acceso de desarrollador a la API Cloud Workstations desde varios puntos de entrada. En el caso de los dispositivos propiedad de la empresa, asegúrate de que los desarrolladores puedan acceder a la API de la estación de trabajo.

    • Comprueba que el acceso a la API de la estación de trabajo desde un dispositivo no gestionado está bloqueado:

      Chrome Enterprise Premium bloquea a los usuarios que intentan acceder a la API Cloud Workstations. Cuando los usuarios intentan iniciar sesión, aparece un mensaje de error que les indica que no tienen acceso o que deben comprobar la conexión de red y la configuración del navegador.

    • Prueba que el acceso a la API de la estación de trabajo desde un dispositivo propiedad de la empresa esté habilitado:

      Los desarrolladores con acceso a Chrome Enterprise Premium y Cloud Workstations deberían poder crear su estación de trabajo y, a continuación, iniciarla.

    Parte 2: Configurar las funciones de DLP de Chrome Enterprise Premium

    En esta sección se incluyen los pasos que debes seguir para aprovechar BeyondCorp Threat and Data Protection e integrar las funciones de prevención de la pérdida de datos (DLP). De esta forma, se evita la exfiltración de código fuente desde el editor base de Cloud Workstations (Code OSS para Cloud Workstations), que está basado en Chrome.

    Sigue estos pasos para configurar las funciones de DLP de Chrome Enterprise Premium y evitar que se descargue el código fuente:

    1. Habilita la protección de datos y contra amenazas.
    2. Crea una regla de DLP de BeyondCorp.
    3. Revisa la configuración y crea la regla.
    4. Prueba la regla de DLP.

    Habilitar la protección de datos y frente a amenazas

    Para habilitar la protección frente a amenazas y de datos desde la consola de administración de Google Workspace, sigue estos pasos:

    1. Ve a Dispositivos > Chrome > Configuración > Usuarios y navegadores.

    2. Después de seleccionar el identificador de tu unidad organizativa, haz clic en Buscar o añadir un filtro en Configuración de usuario y navegador y selecciona el subtipo Categoría.

    3. Busca Chrome Enterprise connector en el subtipo Categoría.

    4. En Descargar análisis de contenido, selecciona Google BeyondCorp Enterprise.

    5. Despliega Configuración adicional.

      1. Selecciona Retrasar acceso al archivo hasta completar análisis.
      2. En Buscar datos sensibles > Modo, selecciona Activado de forma predeterminada, excepto en el siguiente patrón de URL.

    6. Haz clic en Guardar para guardar la configuración.

    Crear una regla de DLP de Chrome Enterprise Premium

    Para crear una regla de DLP, siga estos pasos:

    1. Ve a la consola de administración de Google Workspace y selecciona Seguridad > Control de acceso y de datos > Protección de datos > Gestionar reglas.

    2. Para crear una regla, haz clic en Añadir regla y, a continuación, en Regla nueva. Se abrirá la página Nombre y ámbito.

    3. En la sección Nombre, introduce un nombre y una descripción. Por ejemplo, en el campo Nombre, escriba CloudWorkstations-DLP-Rule1 y, en el campo Descripción, escriba Cloud Workstations Data Loss Prevention Rule 1.

    4. En la sección Ámbito, configure lo siguiente:

      1. Selecciona Unidades organizativas o grupos.
      2. Haz clic en Incluir unidades organizativas y selecciona tu organización.
      3. Haz clic en Continuar.

    5. En la sección Aplicaciones, configure lo siguiente:

      1. En las opciones de Chrome, selecciona Archivo subido y Archivo descargado.
      2. Haz clic en Continuar.

    6. En la página Condiciones, configure lo siguiente:

      1. Haz clic en Añadir condición para crear una.
      2. Selecciona Todo el contenido.
      3. Selecciona Coincide con el tipo de datos predefinido (opción recomendada).
      4. En Seleccionar tipo de datos, selecciona Documentos: archivo de código fuente.
      5. En el campo Umbral de probabilidad, selecciona Alto.
      6. En el campo Número mínimo de coincidencias únicas, introduce 1.
      7. En el campo Número mínimo de coincidencias, introduce 1.
      8. Haz clic en Continuar.

    7. En la página Acciones, configure lo siguiente:

      1. En las opciones de Acciones, selecciona Chrome > Bloquear contenido.
      2. En las opciones de Alertas, configura lo siguiente:
        • En Gravedad, selecciona Media.
        • Selecciona Enviado al Centro de alertas.
      3. Haz clic en Continuar.

    Revisar la configuración y crear la regla

    En la página Revisar, compruebe los ajustes que ha configurado en las páginas anteriores:

    1. Asegúrate de que los ajustes sean correctos.
    2. Para continuar, haz clic en Crear.
    3. En la página siguiente, comprueba que esté seleccionada la opción Activo.
    4. Para terminar de crear la regla, haz clic en Completar.

    Probar la regla de DLP

    Ahora que se ha añadido la regla de DLP, puedes probarla desde Cloud Workstations en Chrome:

    1. En una nueva pestaña de Chrome, introduce chrome://policy y haz clic en Volver a cargar políticas para asegurarte de que la política de Chrome se ha actualizado.

    2. Desplázate hacia abajo para ver una lista de políticas. Si ves estos mensajes, significa que las políticas se han descargado correctamente. En este caso, busca la política OnFileDownloadEnterpriseConnector.

    3. Ve a la consola deGoogle Cloud y crea una configuración de Cloud Workstations.

      Cuando crees la configuración de tu estación de trabajo, asegúrate de seleccionar Editores de código en imágenes base y, a continuación, la imagen base preconfigurada Base Editor (Code OSS for Cloud Workstations).

    4. Crea una estación de trabajo.

    5. Inicia y lanza tu estación de trabajo.

    6. Accede a la URL de Code OSS para estaciones de trabajo de Cloud que aparece después de iniciar tu estación de trabajo y conectarte al puerto 80.

    7. Clona un repositorio con la opción Clonar repositorio de Git del IDE. Una vez que se haya clonado el repositorio, intenta descargar un archivo con código fuente.

      Para descargar archivos en la vista Explorador de Code OSS para Cloud Workstations, usa uno de los siguientes métodos:

      • Arrastra los archivos desde la vista Explorador.

      • Ve a los archivos y directorios que quieras usar, haz clic con el botón derecho y elige Descargar.

    8. Una vez descargado, se aplica la política de DLP. Verás una notificación de descarga bloqueada que indica que no se cumplen las políticas de tu organización:

    ¡Enhorabuena! Has evitado que se descarguen archivos de código fuente.

    Limpieza

    Para evitar que se apliquen cargos en tu Google Cloud cuenta por los recursos utilizados en este tutorial, elimina el proyecto que contiene los recursos o conserva el proyecto y elimina los recursos. Para obtener más información, consulta Eliminar recursos.

    Siguientes pasos