Ayuda a proteger la API de Cloud Workstations con Chrome Enterprise Premium

Descripción general

Chrome Enterprise Premium es la solución de confianza cero de Google Cloud que permite que el personal de una organización acceda a aplicaciones web de forma segura desde cualquier lugar, sin necesidad de una VPN, y ayuda a prevenir el software malicioso, el phishing y la pérdida de datos.

Con la potencia de Google Chrome, Chrome Enterprise Premium permite a los usuarios acceder aplicaciones desde cualquier dispositivo. Chrome Enterprise Premium está ampliando sus capacidades para abordar algunos desafíos de seguridad clave en el entorno de desarrollador. Usar el control de acceso adaptado al contexto para la consola de Google Cloud y las APIs, Chrome Enterprise Premium ofrece seguridad adicional a la API de Cloud Workstations.

En la siguiente tabla, se indica si Chrome Enterprise Premium admite el acceso adaptado al contexto para el método de acceso especificado de Cloud Workstations.

  • La marca de verificación indica que Chrome Enterprise Premium limita este método de acceso de Cloud Workstations.
  • El ícono de no admitido indica que Chrome Enterprise Premium no limita este método de acceso de Cloud Workstations.

Objetivos

En este documento, se describen los pasos que debe seguir un administrador para configurar Control de acceso de Chrome Enterprise Premium para la API de Cloud Workstations y para proporcionar mecanismos adicionales que ayuden a prevenir el robo de código fuente desde IDE de Cloud Workstations basados en el navegador.

Costos

Como parte de este instructivo, es posible que debas involucrar a otros equipos (para la facturación o IAM) y también probar el control de acceso para demostrar que se implementaron los controles de Chrome Enterprise Premium.

En este documento, usarás los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Grant access.

    4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

    5. En la lista Seleccionar un rol, elige un rol.
    6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
    7. Haz clic en Guardar.

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Make sure that billing is enabled for your Google Cloud project.

    10. Enable the Workstations API.

      Enable the API

    11. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Ir a IAM
      2. Selecciona el proyecto.
      3. Haz clic en Grant access.

      4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

      5. En la lista Seleccionar un rol, elige un rol.
      6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
      7. Haz clic en Guardar.

      8. Asegúrate de haber asignado una licencia estándar de Chrome Enterprise Premium a cada uno de tus usuarios. Solo los usuarios con una licencia tienen controles de acceso aplicados. Para obtener más información, consulta Cómo asignar, quitar y reasignar licencias.

      Parte 1: Configura Chrome Enterprise Premium para estaciones de trabajo en la nube

      En esta sección, se explican los pasos que debes seguir para proteger el acceso adaptado al contexto a la API de Cloud Workstations:

      1. Configura Cloud Workstations.
      2. Crea un usuario y un grupo de demostración.
      3. Crea un nivel de acceso en Access Context Manager.
      4. Habilita el CAA de Chrome Enterprise Premium.
      5. Agrega los Grupos de Google necesarios con niveles de acceso.
      6. Prueba el acceso de los desarrolladores a Cloud Workstations.

      Configura Cloud Workstations

      En la consola de Google Cloud, crea una configuración de la estación de trabajo.

      Si no estás familiarizado con Cloud Workstations, consulta las descripciones de la descripción general y la arquitectura de Cloud Workstations.

      Crea un usuario y un grupo de demostración

      En la Consola del administrador de Google Workspace, crea un usuario de demostración y un nuevo grupo de usuarios. Cuando está habilitado, el acceso basado en el contexto (CAA) de la consola de Google Cloud se aplica a todos los usuarios y grupos de Google, ya que es una configuración global.

      1. Accede a la Consola del administrador de Google Workspace con tu cuenta de administrador: Menú > Directorio > Usuarios > Agregar usuario nuevo.

      2. Crea un usuario de demostración: demo-user@<domain>.

      3. Accede a la consola de Google Cloud y navega a Menú > IAM y administración > Grupos.

      4. Crea un grupo de IAM para acceder a Cloud Workstations. ponle el nombre Cloud Workstations Users y asígnale el nombre creó el usuario de demostración, demo-user@<domain>.

      5. Haz clic en Guardar.

      6. También crea un grupo de administradores de IAM y asígnale el nombre Usuarios administradores de Cloud. Asigna a este grupo a los administradores de tu proyecto y organización.

      7. Agrega el usuario de demostración, demo-user@<domain>, al grupo de usuarios de Cloud Workstations que creaste:

        1. En la consola de Google Cloud, ve a Cloud Workstations &gt; Workstations.
        2. Selecciona la estación de trabajo y, luego, haz clic en more_vertMás > Agregar usuarios.
        3. Selecciona el usuario de demostración demo-user@<domain> y, luego, Cloud Workstations User como el Rol.
        4. Para otorgar al usuario de demostración acceso a la estación de trabajo, selecciona demo-user@<domain>, selecciona Cloud Workstations Users como Rol y haz clic en Guardar.

      Crea un nivel de acceso

      Vuelve a la consola de Google Cloud para crear un nivel de acceso en Access Context Manager

      Sigue estas instrucciones para probar el acceso:

      1. En la consola de Google Cloud, navega a Seguridad > Administrador de contexto de acceso para configurar una política de dispositivos administrada por la empresa.

      2. Haz clic en Crear nivel de acceso y completa los siguientes campos:

        1. En el campo Título del nivel de acceso, ingresa corpManagedDevice.
        2. Selecciona el modo básico.
        3. En Condiciones, selecciona Verdadero para habilitar la condición.
        4. Haz clic en + Política de dispositivo para expandir las opciones y marcar Exigir dispositivo propiedad de la empresa.
        5. Haz clic en Guardar para guardar la política de acceso.

      Habilita la CAA de Chrome Enterprise Premium para la consola de Google Cloud

      Para asignar controles de acceso adaptados al contexto (CAA) a las estaciones de trabajo, primero habilita los CAA para la consola de Google Cloud:

      1. Desde la consola de Google Cloud, navega a Seguridad &gt; BeyondCorp Enterprise.

      2. Haz clic en Administrar el acceso a la API y la consola de Google Cloud. Esta acción te llevará a la página A nivel de la organización de Chrome Enterprise Premium.

      3. En la consola de Google Cloud segura y APIs, haz clic en Habilitar.

      Agrega los grupos de Google necesarios con niveles de acceso

      Agrega los grupos de administradores necesarios con los miembros relevantes y la política de acceso correcta.

      Console

      1. Crea una política de acceso de administrador llamada CloudAdminAccess con la ubicación establecida en las regiones donde trabajan tus administradores. Esto facilita de que los administradores puedan acceder a los recursos incluso cuando otra política los bloquea.

      2. Crea un grupo de IAM con acceso de administrador en IAM y Administrador &gt; Grupos.

        1. Selecciona la organización.
        2. Crea un grupo y asígnale el nombre Usuarios administradores de Cloud.
        3. Asóciate a ti y a cualquier otro administrador a este grupo.
        4. Haz clic en Guardar.

      3. Ve a Seguridad > Chrome Enterprise Premium. Haz clic en Administrar acceso y revisa la lista de grupos y niveles de acceso que aparece.

      4. Haz clic en Agrega principales a la consola de Google Cloud y a las APIs.

        1. En Grupos de Google, selecciona Usuarios administradores de Cloud. Este es el grupo de Google que seleccionaste en el paso anterior.
        2. Selecciona CloudAdminAccess, el nivel de acceso que creaste para acceso de administrador.
        3. Haz clic en Guardar.

      gcloud y API

      Para habilitar la prueba sin conexión, sigue el instructivo de prueba sin conexión de Chrome Enterprise Premium.

      Asigna un nivel de acceso al grupo de usuarios de Cloud Workstations

      Para asignar el nivel de acceso al grupo de usuarios de Cloud Workstations, haz lo siguiente:

      1. Ve a Seguridad > Chrome Enterprise Premium y haz clic en Administrar acceso.

      2. Revisa la lista de grupos y niveles de acceso que aparece.

      3. Haz clic en Agrega principales a la consola de Google Cloud y a las APIs.

        1. En Grupos de Google, selecciona Cloud Workstations Users. Este es el Grupo de Google que seleccionaste en el paso anterior.
        2. Selecciona el nivel de acceso que creaste anteriormente, corpManagedDevice.
        3. Haz clic en Guardar.

      Prueba el acceso de los desarrolladores a Cloud Workstations

      Prueba el acceso de los desarrolladores a la API de Cloud Workstations desde varios puntos de entrada. Si usas un dispositivo de la empresa, asegúrate de que los desarrolladores puedan acceder la API de la estación de trabajo.

      • Prueba que el acceso a la API de la estación de trabajo desde un dispositivo no administrado esté bloqueado:

        Chrome Enterprise Premium bloquea a los usuarios que intentan acceder a la API de Cloud Workstations. Cuando los usuarios intentan acceder, aparece un mensaje de error que les indica que no tienen acceso o que deben verificar la conexión de red y la configuración del navegador.

      • Prueba que el acceso a la API de la estación de trabajo desde un dispositivo propiedad de la empresa esté habilitado:

        Desarrolladores con Chrome Enterprise Premium y Cloud Workstations acceso debería poder crear su estación de trabajo y luego iniciar su estación de trabajo.

      Parte 2: Configura las funciones de DLP de Chrome Enterprise Premium

      En esta sección, se incluyen pasos para aprovechar BeyondCorp Threat and Data Protection para integrar las funciones de prevención de pérdida de datos (DLP). Esto ayuda a evitar el robo de código fuente del editor base de Cloud Workstations (Code OSS para Cloud Workstations) basado en Chrome.

      Sigue estos pasos para configurar las funciones de DLP Premium de Chrome Enterprise que te ayudarán impedir la descarga del código fuente:

      1. Habilita la protección de datos y contra amenazas.
      2. Crea una regla de DLP de BeyondCorp.
      3. Revisa la configuración y crea la regla.
      4. Prueba la regla de DLP.

      Habilite la protección de datos y contra amenazas

      Para habilitar la protección contra amenazas y datos desde la Consola del administrador de Google Workspace, sigue estos pasos:

      1. Ve a Dispositivos &gt; Chrome &gt; Configuración &gt; Usuarios y del navegador.

      2. Después de seleccionar el identificador de unidad organizativa (ID de la UO), haz clic en Buscar o agregar un filtro en Configuración del usuario y del navegador y selecciona el subtipo Categoría.

      3. Busca Chrome Enterprise Connect en el subtipo Category.

      4. En Descargar el análisis de contenido, selecciona Google BeyondCorp Enterprise.

      5. Expande Configuración adicional.

        1. Selecciona Retrasar el acceso al archivo hasta que se complete el análisis.
        2. En Buscar datos sensibles > Modo, selecciona Activado de forma predeterminada, excepto para los siguientes patrones de URL.

      6. Haz clic en Guardar para guardar la configuración.

      Crea una regla de DLP de Chrome Enterprise Premium

      Para crear una regla de DLP, sigue estos pasos:

      1. Ve a la Consola del administrador de Google Workspace y selecciona Seguridad &gt; Control de acceso y datos &gt; Protección de datos &gt; Administrar reglas.

      2. Para crear una regla nueva, haz clic en Agregar regla y, luego, en Regla nueva. Se abrirá la página Nombre y alcance.

      3. En la sección Nombre, ingresa un nombre y una descripción. Por ejemplo, para el campo Nombre, ingresa CloudWorkstations-DLP-Rule1 y, para el campo Descripción, ingresa Cloud Workstations Data Loss Prevention Rule 1.

      4. En la sección Alcance, configura lo siguiente:

        1. Selecciona Unidades organizativas o grupos.
        2. Haz clic en Incluir unidades organizativas y selecciona tu organización.
        3. Haga clic en Continuar.

      5. En la sección Apps, configura lo siguiente:

        1. En las opciones de Chrome, selecciona Archivo subido y Archivo descargado.
        2. Haga clic en Continuar.

      6. En la página Condiciones, configura lo siguiente:

        1. Haz clic en Agregar condición para crear una condición nueva.
        2. Selecciona Todo el contenido.
        3. Selecciona Coincide con el tipo de datos predefinidos (recomendado).
        4. En Seleccionar tipo de datos, selecciona Documentos: Archivo de código fuente.
        5. En el campo Umbral de probabilidad, selecciona Alta.
        6. En el campo Cantidad mínima de coincidencias únicas, ingresa 1.
        7. En el campo Cantidad mínima de coincidencias, ingresa 1.
        8. Haga clic en Continuar.

      7. En la página Acciones, configura lo siguiente:

        1. En las opciones de Acciones, selecciona Chrome &gt; Bloquear contenido.
        2. En las opciones de Alertas, configura lo siguiente:
          • Como gravedad, selecciona Media.
          • Selecciona Enviada al Centro de alertas.
        3. Haga clic en Continuar.

      Revisa la configuración y crea la regla

      En la página Revisar, revisa la configuración que estableciste anteriormente. páginas:

      1. Asegúrate de que la configuración sea correcta.
      2. Para continuar, haz clic en Crear.
      3. En la página siguiente, asegúrate de que esté seleccionada la opción Activo.
      4. Para terminar de crear la regla, haz clic en Completar.

      Prueba la regla de DLP

      Ahora que se agregó la regla de DLP, puedes realizar pruebas desde las estaciones de trabajo en la nube en Chrome:

      1. En una nueva pestaña de Chrome, ingresa chrome://policy y Haz clic en Volver a cargar políticas para asegurarte de que la política de Chrome esté se actualicen.

      2. Desplázate hacia abajo para asegurarte de que veas una lista de políticas. Si ves estas opciones, de que las políticas se hayan quitado correctamente. En este caso, mira para la política OnFileDownloadEnterpriseConnector.

      3. Navega a la consola de Google Cloud y crea una configuración de estaciones de trabajo en la nube.

        Cuando crees la configuración de la estación de trabajo, asegúrate de seleccionar Editores de código en imágenes base y, luego, la imagen base preconfigurada Editor base (Code OSS para Cloud Workstations).

      4. Crea una estación de trabajo.

      5. Inicia y, luego, inicia tu estación de trabajo.

      6. Accede a la URL de Code OSS para estaciones de trabajo de Cloud que aparece después de que inicias la estación de trabajo y conéctate al puerto 80.

      7. Clona un repositorio con la opción Clone Git Repository en el IDE. Después de clonar el repositorio, intenta descargar un archivo con código fuente.

        Para descargar archivos en la vista del explorador de Code OSS para estaciones de trabajo de Cloud, usa cualquiera de los siguientes métodos:

        • Arrastra archivos desde la vista del Explorador.

        • Navega hasta los archivos y directorios que quieras usar. hacer clic con el botón derecho y elegir Descargar.

      8. Luego de la descarga, la política de DLP entra en vigencia. Observa una notificación de descarga bloqueada que indica que no se cumplen las políticas de tu organización:

      ¡Felicitaciones! Ayudaste a evitar que se descargaran los archivos de código fuente.

      Limpia

      Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales. Para obtener más información, consulta Borra recursos.

      ¿Qué sigue?