Ayuda a proteger la API de Cloud Workstations con Chrome Enterprise Premium

Descripción general

Chrome Enterprise Premium es la solución de confianza cero deGoogle Cloudque permite que el personal de una organización acceda a aplicaciones web de forma segura desde cualquier lugar, sin necesidad de una VPN, y ayuda a prevenir el software malicioso, el phishing y la pérdida de datos.

Con el poder de Google Chrome, Chrome Enterprise Premium permite a los usuarios acceder a aplicaciones desde cualquier dispositivo. Chrome Enterprise Premium expande sus capacidades para abordar algunos desafíos de seguridad clave en el entorno de desarrollo. Con el control de acceso adaptado al contexto para la consola y las APIs, Chrome Enterprise Premium habilita seguridad adicional para la API de Cloud Workstations.Google Cloud

En la siguiente tabla, se indica si Chrome Enterprise Premium admite el control de acceso según el contexto para el método de acceso especificado de Cloud Workstations.

  • La marca de verificación indica que Chrome Enterprise Premium limita este método de acceso a Cloud Workstations.
  • El ícono de no compatible indica que Chrome Enterprise Premium no limita este método de acceso a Cloud Workstations.

Objetivos

En este documento, se describen los pasos que sigue un administrador para configurar el control de acceso de Chrome Enterprise Premium para la API de Cloud Workstations y proporcionar mecanismos adicionales que ayudan a evitar la filtración de código fuente de los IDE de Cloud Workstations basados en el navegador.

Costos

Como parte de este instructivo, es posible que debas involucrar a otros equipos (para la facturación o IAM) y también probar el control de acceso para demostrar que existen medidas de protección de Chrome Enterprise Premium.

En este documento, usarás los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios.

Es posible que los usuarios de Google Cloud nuevos cumplan con los requisitos para acceder a una prueba gratuita.

Cuando completes las tareas que se describen en este documento, podrás borrar los recursos que creaste para evitar que se te siga facturando. Para obtener más información, consulta Realiza una limpieza.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Otorgar acceso.

    4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

    5. En la lista Seleccionar un rol, elige uno.
    6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
    7. Haz clic en Guardar.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Otorgar acceso.

    4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

    5. En la lista Seleccionar un rol, elige uno.
    6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
    7. Haz clic en Guardar.

  10. Asegúrate de haber asignado una licencia estándar de Chrome Enterprise Premium a cada uno de tus usuarios. Solo los usuarios con una licencia tienen controles de acceso aplicados. Para obtener más información, consulta Cómo asignar, quitar y reasignar licencias.

    11. Parte 1: Configura Chrome Enterprise Premium para Cloud Workstations

    En esta sección, se describen los pasos para proteger el acceso adaptado al contexto a la API de Cloud Workstations:

    1. Configura Cloud Workstations.
    2. Crea un usuario y un grupo de demostración.
    3. Crea un nivel de acceso en Access Context Manager.
    4. Habilita la CAA de Chrome Enterprise Premium.
    5. Agrega los grupos de Google obligatorios con niveles de acceso.
    6. Prueba el acceso de desarrollador a Cloud Workstations.

    Configura Cloud Workstations

    Para integrarse con Chrome Enterprise Premium, tu clúster de Cloud Workstations debe usar Identity-Aware Proxy (IAP). Omite esta sección si ya configuraste estos recursos.

    Para configurar Cloud Workstations, haz lo siguiente:

    1. Crea un clúster de estación de trabajo con un dominio personalizado.
    2. Habilita IAP.
    3. Crea una configuración de estación de trabajo en el clúster.

    Si es la primera vez que usas Cloud Workstations, consulta la Descripción general y la Arquitectura.

    Crea un usuario y un grupo de demostración

    En la Consola del administrador de Google Workspace, crea un usuario de demostración y un grupo de usuarios nuevo. Cuando se habilita, el acceso adaptado al contexto (CAA) para la consola deGoogle Cloud se aplica a todos los usuarios y grupos de Google porque es un parámetro de configuración global.

    1. Accede a la Consola del administrador de Google Workspace con tu cuenta de administrador: Menú > Directorio > Usuarios > Agregar usuario nuevo.

    2. Crea un usuario de demostración: demo-user@<domain>.

    3. Accede a la consola deGoogle Cloud y navega a Menú > IAM y administración > Grupos.

    4. Crea un grupo de IAM para el acceso a Cloud Workstations, asígnale el nombre Cloud Workstations Users y asígnale el usuario de demostración creado anteriormente, demo-user@<domain>.

    5. Haz clic en Guardar.

    6. También crea un grupo de administradores de IAM y nómbralo Cloud Admin Users. Asigna a los administradores de tu proyecto y organización a este grupo.

    7. Agrega el usuario de demostración, demo-user@<domain>, al grupo de usuarios de Cloud Workstations que creaste:

      1. En la Google Cloud consola, ve a Cloud Workstations > Workstations.
      2. Selecciona la estación de trabajo y, luego, haz clic en more_vertMás > Agregar usuarios.
      3. Selecciona el usuario de demostración, demo-user@<domain>, y elige Cloud Workstations User como el Rol.
      4. Para otorgarle acceso a la estación de trabajo al usuario de demostración, selecciona demo-user@<domain>, elige Cloud Workstations Users como el rol y haz clic en Guardar.

    Crea un nivel de acceso

    Vuelve a la consola de Google Cloud para crear un nivel de acceso en Access Context Manager.

    Sigue estas instrucciones para probar el acceso:

    1. En la consola deGoogle Cloud , navega a Seguridad > Access Context Manager para configurar una política de dispositivos administrados por la empresa.

    2. Haz clic en Crear nivel de acceso y completa los siguientes campos:

      1. En el campo Título del nivel de acceso ingresa corpManagedDevice.
      2. Selecciona el modo básico.
      3. En Condiciones, selecciona Verdadero para habilitar la condición.
      4. Haz clic en + Política de dispositivo para expandir las opciones y marca Exigir dispositivo propiedad de la empresa.
      5. Haz clic en Guardar para guardar la política de acceso.

    Habilita la CAA de Chrome Enterprise Premium para la consola de Google Cloud

    Para asignar controles de acceso adaptado al contexto (CAA) a las estaciones de trabajo, primero habilita el CAA para la consola de Google Cloud :

    1. En la Google Cloud consola, navega a Seguridad > BeyondCorp Enterprise.

    2. Haz clic en Administrar el acceso a la Google Cloud consola y la API. Esta acción te llevará a la página Nivel de la organización de Chrome Enterprise Premium.

    3. En la sección Consola y APIs de Secure Google Cloud , haz clic en Habilitar.

    Agrega los grupos de Google necesarios con niveles de acceso

    Agrega los grupos de administradores necesarios con los miembros pertinentes y la política de acceso correcta.

    Console

    1. Crea una política de acceso de administrador llamada CloudAdminAccess con la ubicación establecida en las regiones en las que trabajan tus administradores. Esto garantiza que los administradores puedan acceder a los recursos incluso cuando otra política los bloquee.

    2. Crea un grupo de IAM con acceso de administrador en IAM y administración > Grupos.

      1. Selecciona la organización.
      2. Crea un grupo y asígnale el nombre Usuarios administradores de Cloud.
      3. Asigna tu cuenta y la de cualquier otro administrador a este grupo.
      4. Haz clic en Guardar.

    3. Ve a Seguridad > Chrome Enterprise Premium. Haz clic en Administrar acceso y revisa la lista de grupos y niveles de acceso que aparecen.

    4. Haz clic en Add principals to Google Cloud console & APIs.

      1. En Google Groups, selecciona Cloud Admin Users. Este es el grupo de Google que seleccionaste en el paso anterior.
      2. Selecciona CloudAdminAccess, el nivel de acceso que creaste para el acceso de administrador.
      3. Haz clic en Guardar.

    gcloud y API

    Para habilitar la ejecución de prueba, sigue el instructivo de ejecución de prueba de Chrome Enterprise Premium.

    Asigna un nivel de acceso al grupo de usuarios de Cloud Workstations

    Para asignar el nivel de acceso al grupo de usuarios de Cloud Workstations, haz lo siguiente:

    1. Ve a Seguridad > Chrome Enterprise Premium y haz clic en Administrar acceso.

    2. Revisa la lista de grupos y niveles de acceso que aparece.

    3. Haz clic en Add principals to Google Cloud console & APIs.

      1. En Google Groups, selecciona Cloud Workstations Users. Este es el Grupo de Google que seleccionaste en el paso anterior.
      2. Selecciona el nivel de acceso que creaste antes, corpManagedDevice.
      3. Haz clic en Guardar.

    Prueba el acceso de desarrolladores a Cloud Workstations

    Probar el acceso de desarrollador a la API de Cloud Workstations desde varios puntos de entrada En el caso de un dispositivo propiedad de la empresa, asegúrate de que los desarrolladores puedan acceder a la API de la estación de trabajo.

    • Prueba que se bloquee el acceso a la API de la estación de trabajo desde un dispositivo no administrado:

      Chrome Enterprise Premium bloquea a los usuarios que intentan acceder a la API de Cloud Workstations. Cuando los usuarios intentan acceder, aparece un mensaje de error que les indica que no tienen acceso o que deben verificar la conexión de red y la configuración del navegador.

    • Prueba que el acceso a la API de la estación de trabajo desde un dispositivo propiedad de la empresa esté habilitado:

      Los desarrolladores con acceso a Chrome Enterprise Premium y Cloud Workstations deben poder crear su estación de trabajo y, luego, iniciarla.

    Parte 2: Configura las funciones de DLP de Chrome Enterprise Premium

    En esta sección, se incluyen los pasos para aprovechar BeyondCorp Threat and Data Protection y, así, integrar las funciones de prevención de pérdida de datos (DLP). Esto ayuda a evitar el robo de datos del código fuente del editor base de Cloud Workstations (Code OSS para Cloud Workstations) basado en Chrome.

    Sigue estos pasos para configurar las funciones de DLP de Chrome Enterprise Premium y evitar la descarga del código fuente:

    1. Habilita la protección de datos y contra amenazas.
    2. Crea una regla de DLP de BeyondCorp.
    3. Revisa la configuración y crea la regla.
    4. Prueba la regla de DLP.

    Habilite la protección de datos y contra amenazas

    Para habilitar la protección contra amenazas y datos desde la Consola del administrador de Google Workspace, sigue estos pasos:

    1. Ve a Dispositivos > Chrome > Configuración > Usuarios y navegadores.

    2. Después de seleccionar el identificador de la unidad organizativa (ID de la OU), haz clic en Buscar o agregar un filtro en Configuración del usuario y del navegador y selecciona el subtipo Categoría.

    3. Busca el conector de Chrome Enterprise en el subtipo Categoría.

    4. En Descargar el análisis del contenido, selecciona Google BeyondCorp Enterprise.

    5. Expande Configuración adicional.

      1. Selecciona Retrasar el acceso al archivo hasta que el análisis esté completo.
      2. En Verificar datos sensibles > Modo, selecciona Activado de forma predeterminada, excepto para el siguiente patrón de URL.

    6. Haz clic en Guardar para guardar la configuración.

    Crea una regla de DLP de Chrome Enterprise Premium

    Para crear una regla de PSD, sigue estos pasos:

    1. Ve a la Consola del administrador de Google Workspace y selecciona Seguridad > Control de acceso y datos > Protección de datos > Administrar reglas.

    2. Para crear una regla nueva, haz clic en Agregar regla y, luego, en Regla nueva. Se abrirá la página Nombre y alcance.

    3. En la sección Nombre, ingresa un nombre y una descripción. Por ejemplo, en el campo Nombre, ingresa CloudWorkstations-DLP-Rule1 y, en el campo Descripción, ingresa Cloud Workstations Data Loss Prevention Rule 1.

    4. En la sección Alcance, configura lo siguiente:

      1. Selecciona Unidades organizativas o grupos.
      2. Haz clic en Incluir unidades organizativas y selecciona tu organización.
      3. Haz clic en Continuar.

    5. En la sección Apps, configura lo siguiente:

      1. En las opciones de Chrome, selecciona Se subió el archivo y Se descargó el archivo.
      2. Haz clic en Continuar.

    6. En la página Condiciones, configura lo siguiente:

      1. Haz clic en Agregar condición para crear una condición nueva.
      2. Selecciona Todo el contenido.
      3. Selecciona Coincide con el tipo de datos predefinido (recomendado).
      4. En Seleccionar tipo de datos, selecciona Documentos: Archivo de código fuente.
      5. En el campo Umbral de probabilidad, selecciona Alto.
      6. En el campo Cantidad mínima de coincidencias únicas, ingresa 1.
      7. En el campo Cantidad mínima de coincidencias, ingresa 1.
      8. Haz clic en Continuar.

    7. En la página Acciones, configura lo siguiente:

      1. En las opciones de Acciones, selecciona Chrome > Bloquear contenido.
      2. En las opciones de Alertas, configura lo siguiente:
        • En gravedad, selecciona Media.
        • Selecciona Enviado al Centro de alertas.
      3. Haz clic en Continuar.

    Revisa la configuración y crea la regla

    En la página Revisión, revisa los parámetros de configuración que estableciste en las páginas anteriores:

    1. Asegúrate de que la configuración sea correcta.
    2. Para continuar, haz clic en Crear.
    3. En la página siguiente, asegúrate de que esté seleccionada la opción Activo.
    4. Para terminar de crear la regla, haz clic en Completar.

    Prueba la regla de DLP

    Ahora que se agregó la regla de DLP, puedes realizar pruebas desde Cloud Workstations en Chrome:

    1. En una pestaña nueva de Chrome, ingresa chrome://policy y haz clic en Volver a cargar políticas para asegurarte de que la política de Chrome se actualice.

    2. Desplázate hacia abajo para asegurarte de ver una lista de políticas. Si ves estos mensajes, significa que las políticas se retiraron correctamente. En este caso, busca la política OnFileDownloadEnterpriseConnector.

    3. Navega a la consola deGoogle Cloud y crea una configuración de Cloud Workstations.

      Cuando crees la configuración de tu estación de trabajo, asegúrate de seleccionar Editores de código en imágenes base y, luego, la imagen base preconfigurada Editor base (Code OSS para Cloud Workstations).

    4. Crea una estación de trabajo.

    5. Inicia tu estación de trabajo.

    6. Accede a la URL de Code OSS para estaciones de trabajo de Cloud que aparece después de iniciar la estación de trabajo y conectarte al puerto 80.

    7. Clona un repositorio con la opción Clone Git Repository en el IDE. Después de clonar el repositorio, intenta descargar un archivo con código fuente.

      Para descargar archivos en la vista del Explorador de Code OSS para Cloud Workstations, usa cualquiera de los siguientes métodos:

      • Arrastra archivos desde la vista del Explorador.

      • Navega a los archivos y directorios que quieras usar, haz clic con el botón derecho y, luego, elige Descargar.

    8. Una vez que se descarga, la política de DLP entra en vigencia. Verás una notificación de descarga bloqueada que indica que no se cumplen las políticas de tu organización:

    ¡Felicitaciones! Ayudaste a evitar que se descarguen archivos de código fuente.

    Limpia

    Para evitar que se apliquen cargos a tu Google Cloud cuenta por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales. Para obtener más información, consulta Borra recursos.

    ¿Qué sigue?