Sécuriser l'API Cloud Workstations avec Chrome Enterprise Premium

Présentation

Chrome Enterprise Premium est La solution zéro confiance de Google Cloud permettant aux équipes d'une organisation d'accéder à des applications Web en toute sécurité depuis n'importe où, sans VPN, et pour empêcher les logiciels malveillants, l'hameçonnage et la perte de données.

Grâce à la puissance de Google Chrome, Chrome Enterprise Premium permet aux utilisateurs d'accéder des applications depuis n'importe quel appareil. Chrome Enterprise Premium étend ses fonctionnalités pour relever certains des principaux défis de sécurité dans l'environnement de développement. L'utilisation du contrôle des accès contextuels pour la console Google Cloud et les API, Chrome Enterprise Premium renforce la sécurité de l'API Cloud Workstations.

Le tableau suivant indique si Chrome Enterprise Premium est compatible avec l'accès contextuel pour la méthode d'accès Cloud Workstations spécifiée.

  • La coche indique Chrome Enterprise Premium. limite cette méthode d'accès à Cloud Workstations.
  • L'icône non compatible indique que Chrome Enterprise Premium ne limite pas cette méthode d'accès aux stations de travail Cloud.

Objectifs

Ce document décrit les étapes suivies par un administrateur pour configurer Contrôle des accès Chrome Enterprise Premium pour l'API Cloud Workstations et fournir des mécanismes supplémentaires qui aident à empêcher l'exfiltration du code source depuis les IDE Cloud Workstations basés sur un navigateur.

Coûts

Dans le cadre de ce tutoriel, vous devrez peut-être faire appel à d'autres équipes (pour la facturation ou IAM) et tester le contrôle des accès pour démontrer Des garde-fous de Chrome Enterprise Premium sont en place.

Dans ce document, vous utilisez les composants facturables suivants de Google Cloud :

Obtenez une estimation des coûts en fonction de votre utilisation prévue à l'aide du simulateur de coût. Les nouveaux utilisateurs de Google Cloud peuvent bénéficier d'un essai gratuit.

Une fois que vous avez terminé les tâches décrites dans ce document, vous pouvez éviter de continuer à payer des frais en supprimant les ressources que vous avez créées. Pour en savoir plus, consultez la section Effectuer un nettoyage.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur Accorder l'accès.

    4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

    5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Make sure that billing is enabled for your Google Cloud project.

    10. Enable the Workstations API.

      Enable the API

    11. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Accéder à IAM
      2. Sélectionnez le projet.
      3. Cliquez sur Accorder l'accès.

      4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

      5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
      6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
      7. Cliquez sur Enregistrer.

      8. Assurez-vous d'avoir attribué une licence Chrome Enterprise Premium Standard à chacun de vos utilisateurs. Utilisateurs uniquement disposant d'une licence peuvent appliquer des contrôles d'accès. Pour en savoir plus, consultez Attribuer, retirer et réattribuer des licences.

      Partie 1: Configurer Chrome Enterprise Premium pour Cloud Workstations

      Cette section vous explique comment sécuriser l'accès contextuel à l'API Cloud Workstations:

      1. Configurez Cloud Workstations.
      2. Créez un utilisateur et un groupe de démonstration.
      3. Créez un niveau d'accès dans Access Context Manager.
      4. Activez l'accès contextuel pour Chrome Enterprise Premium.
      5. Ajoutez les groupes Google requis avec des niveaux d'accès.
      6. Tester l'accès des développeurs à Cloud Workstations

      Configurer Cloud Workstations

      Dans la console Google Cloud, créez une configuration de station de travail.

      Si vous ne connaissez pas Cloud Workstations, consultez les descriptions de la présentation et de l'architecture de Cloud Workstations.

      Créer un utilisateur et un groupe de démonstration

      Dans la console d'administration Google Workspace, créez un utilisateur de démonstration et un un nouveau groupe d'utilisateurs. Lorsqu'il est activé, l'accès contextuel pour la console Google Cloud s'applique à tous les utilisateurs et groupes Google, car il s'agit globale.

      1. Connectez-vous à la console d'administration Google Workspace à l'aide de votre compte administrateur: Menu > Annuaire > Utilisateurs > Ajouter un utilisateur.

      2. Créez un utilisateur de démonstration: demo-user@<domain>.

      3. Connectez-vous à la console Google Cloud et accédez à Menu &gt; IAM et Admin &gt; Groupes.

      4. créer un groupe IAM pour l'accès à Cloud Workstations ; Nommez-le Cloud Workstations Users, puis attribuez-lui le nom a créé l'utilisateur de démonstration demo-user@<domain>.

      5. Cliquez sur Enregistrer.

      6. Créez également un groupe d'administrateurs IAM et nommez-le Cloud Admin Users (Utilisateurs Cloud Admin). Attribuez à ce groupe les administrateurs de votre projet et de votre organisation.

      7. Ajoutez l'utilisateur de démonstration demo-user@<domain> à la Groupe d'utilisateurs Cloud Workstations que vous avez créé:

        1. Dans la console Google Cloud, accédez à Cloud Workstations > Workstations (Cloud Workstations > Workstations).
        2. Sélectionnez la station de travail, puis cliquez sur more_vertPlus > Ajouter des utilisateurs.
        3. Sélectionnez l'utilisateur de la démonstration, demo-user@<domain>, puis sélectionnez Cloud Workstations User comme rôle.
        4. Pour autoriser l'utilisateur de démonstration à accéder à la station de travail, sélectionnez demo-user@<domain>, sélectionnez Cloud Workstations Users comme Rôle, puis cliquez sur Enregistrer.

      Créer un niveau d'accès

      Revenez à la console Google Cloud pour créer un niveau d'accès dans Access Context Manager.

      Pour tester l'accès, procédez comme suit:

      1. Dans la console Google Cloud, accédez à Sécurité &gt; Access Context Manager pour configurer des règles relatives aux appareils gérés par l'entreprise.

      2. Cliquez sur Créer un niveau d'accès et renseignez les champs suivants:

        1. Dans le champ Access level title (Titre du niveau d'accès), saisissez corpManagedDevice.
        2. Sélectionnez le mode de base.
        3. Sous Conditions, sélectionnez True (Vrai) pour activer la condition.
        4. Cliquez sur + Règles relatives à l'appareil pour développer les options et vérifier Exigez un appareil d'entreprise.
        5. Cliquez sur Enregistrer pour enregistrer la règle d'accès.

      Activer l'accès contextuel Chrome Enterprise Premium pour la console Google Cloud

      Pour attribuer des contrôles d'accès contextuels (CAA) aux stations de travail, commencez par activer l'accès contextuel pour la console Google Cloud:

      1. Dans la console Google Cloud, accédez à Sécurité &gt; BeyondCorp Enterprise.

      2. Cliquez sur Gérer l'accès à la console et à l'API Google Cloud. Vous êtes alors redirigé vers la page Chrome Enterprise Premium Au niveau de l'organisation.

      3. Dans la section Sécuriser la console Google Cloud et API, cliquez sur Activer.

      Ajouter les groupes Google requis avec des niveaux d'accès

      Ajoutez les groupes d'administrateurs requis avec les membres appropriés et les droits d'accès appropriés. .

      Console

      1. Créez une règle d'accès administrateur nommée CloudAdminAccess avec l'emplacement défini sur les régions où vos administrateurs travaillent. Ainsi, de veiller à ce que les administrateurs puissent accéder aux ressources, même lorsqu'une autre stratégie le bloque.

      2. Créez un groupe IAM avec un accès administrateur à l'adresse IAM et Admin &gt; Groupes.

        1. Sélectionnez l'organisation.
        2. Créez un groupe et nommez-le Cloud Admin Users (Utilisateurs administrateurs cloud).
        3. Attribuez-vous, ainsi qu'à d'autres administrateurs, à ce groupe.
        4. Cliquez sur Enregistrer.

      3. Accédez à Sécurité > Chrome Enterprise Premium. Cliquez sur Gérer l'accès, puis vérifiez la liste des groupes et des niveaux d'accès qui s'affiche.

      4. Cliquez sur Ajouter des comptes principaux à la console Google Cloud et API.

        1. Pour Google Groupes, sélectionnez Cloud Admin Users (Utilisateurs Cloud Admin). Il s'agit du groupe Google que vous avez sélectionné à l'étape précédente.
        2. Sélectionnez CloudAdminAccess, le niveau d'accès créé pour un accès administrateur.
        3. Cliquez sur Enregistrer.

      gcloud et API

      Pour activer la simulation, suivez les Tutoriel de simulation Chrome Enterprise Premium

      Attribuer un niveau d'accès au groupe d'utilisateurs Cloud Workstations

      Pour attribuer le niveau d'accès au groupe d'utilisateurs Cloud Workstations:

      1. Accédez à Sécurité &gt; Chrome Enterprise Premium, puis cliquez sur Gérer l'accès :

      2. Passez en revue la liste des groupes et des niveaux d'accès qui s'affiche.

      3. Cliquez sur Ajouter des comptes principaux à la console Google Cloud et API.

        1. Pour Google Groupes, sélectionnez Utilisateurs de Cloud Workstations. Il s'agit du groupe Google que vous avez sélectionné à l'étape précédente.
        2. Sélectionnez le niveau d'accès que vous avez créé précédemment, corpManagedDevice.
        3. Cliquez sur Enregistrer.

      Tester l'accès des développeurs à Cloud Workstations

      Tester l'accès des développeurs à l'API Cloud Workstations à partir de plusieurs entrées points. S'il s'agit d'un appareil appartenant à l'entreprise, assurez-vous que les développeurs y ont accès. l'API station de travail.

      • Vérifiez que l'accès à l'API de la station de travail depuis un appareil non géré est bloqué :

        Chrome Enterprise Premium bloque les utilisateurs qui tentent d'accéder à l'API Cloud Workstations. Lorsque les utilisateurs tentent de se connecter, une erreur s'affiche, indiquant à l'utilisateur qu'il n'y a pas accès ou qu'il doit vérifier la connexion réseau et les paramètres du navigateur.

      • Tester que l'accès à l'API de station de travail à partir d'un appareil détenu par l'entreprise est activé:

        Développeurs utilisant Chrome Enterprise Premium et Cloud Workstations l’accès doit être en mesure créer sa station de travail puis lancer sa station de travail.

      Partie 2 : Configurer les fonctionnalités de protection contre la perte de données de Chrome Enterprise Premium

      Cette section explique comment profiter de la prévention des menaces et de la protection des données de BeyondCorp pour intégrer des fonctionnalités de protection contre la perte de données. Cela permet d'éviter que le code source l'exfiltration de données du Éditeur de base Cloud Workstations (Code OSS pour Cloud Workstations)

      Suivez ces étapes pour configurer les fonctionnalités de protection contre la perte de données de Chrome Enterprise Premium afin de empêcher le téléchargement du code source:

      1. Activez la protection des données et contre les menaces.
      2. Créez une règle de protection contre la perte de données BeyondCorp.
      3. Vérifiez les paramètres et créez la règle.
      4. Testez la règle de protection contre la perte de données.

      Activer la protection des données et contre les menaces

      Pour activer la protection contre les menaces et les données depuis la console d'administration Google Workspace, procédez comme suit :

      1. Accédez à Appareils &gt; Chrome &gt;. Paramètres &gt; Utilisateurs et des navigateurs.

      2. Après avoir sélectionné l'identifiant de votre unité organisationnelle, cliquez sur Recherchez ou ajoutez un filtre sous Paramètres des utilisateurs et du navigateur et sélectionnez le sous-type Category.

      3. Recherchez le connecteur Chrome Enterprise dans le sous-type Catégorie.

      4. Sous Télécharger l'analyse du contenu, sélectionnez Google BeyondCorp Enterprise.

      5. Développez la section Paramètres supplémentaires.

        1. Sélectionnez Différer l'accès aux fichiers jusqu'à la fin de l'analyse.
        2. Dans Rechercher les données sensibles &gt; Mode, sélectionnez Activé par défaut, sauf pour le format d'URL suivant :

      6. Cliquez sur Enregistrer pour enregistrer la configuration.

      Créer une règle de protection contre la perte de données Chrome Enterprise Premium

      Pour créer une règle de protection contre la perte de données, procédez comme suit :

      1. Accédez à la console d'administration Google Workspace et sélectionnez Sécurité &gt; Contrôle des accès et des données &gt; Protection des données &gt; Gérer les règles.

      2. Pour créer une règle, cliquez sur Ajouter une règle, puis sur Nouvelle règle. La page Nom et champ d'application s'ouvre.

      3. Dans la section Nom, saisissez un nom et une description. Par exemple, pour le champ Nom, saisissez CloudWorkstations-DLP-Rule1 et, pour le champ Description, saisissez Cloud Workstations Data Loss Prevention Rule 1.

      4. Dans la section Champ d'application, configurez les éléments suivants:

        1. Sélectionnez Unités organisationnelles et/ou groupes.
        2. Cliquez sur Inclure les unités organisationnelles, puis sélectionnez votre organisation.
        3. Cliquez sur Continuer.

      5. Dans la section Applications, configurez les éléments suivants:

        1. Dans les options Chrome, sélectionnez Fichier importé et Fichier téléchargée.
        2. Cliquez sur Continuer.

      6. Sur la page Conditions, configurez les éléments suivants:

        1. Cliquez sur Ajouter une condition pour créer une condition.
        2. Sélectionnez Tous les contenus.
        3. Sélectionnez Correspond au type de données prédéfini (recommandé).
        4. Dans le champ Sélectionner un type de données, sélectionnez Documents – Fichier de code source.
        5. Pour le champ Seuil de probabilité, sélectionnez Élevée.
        6. Dans le champ Nombre minimal de correspondances uniques, saisissez 1.
        7. Dans le champ Nombre minimal de correspondances, saisissez 1.
        8. Cliquez sur Continuer.

      7. Sur la page Actions, configurez les éléments suivants:

        1. Dans les options Actions, sélectionnez Chrome &gt; Bloquer du contenu
        2. Dans les options Alertes, configurez les éléments suivants:
          • Pour la gravité, sélectionnez Moyenne.
          • Sélectionnez Envoyé au centre d'alerte.
        3. Cliquez sur Continuer.

      Vérifier les paramètres et créer la règle

      Sur la page Vérification, vérifiez les paramètres que vous avez configurés précédemment pages:

      1. Vérifiez que les paramètres sont corrects.
      2. Pour continuer, cliquez sur Créer.
      3. Sur la page suivante, assurez-vous que l'option Actif est sélectionnée.
      4. Pour terminer la création de la règle, cliquez sur Terminer.

      Tester la règle de protection contre la perte de données

      Maintenant que la règle de protection contre la perte de données a été ajoutée, vous pouvez effectuer des tests depuis Cloud Workstations dans Chrome:

      1. Dans un nouvel onglet Chrome, saisissez chrome://policy, puis cliquez sur Actualiser les règles pour vous assurer que la règle Chrome est mise à jour.

      2. Faites défiler la page vers le bas pour vous assurer que la liste des règles s'affiche. Si vous voyez ceci, les règles ont bien été extraites. Dans ce cas, regardez pour la règle OnFileDownloadEnterpriseConnector.

      3. Accédez à la console Google Cloud. créer une configuration Cloud Workstations.

        Lors de la création de la configuration de votre station de travail, veillez à sélectionner Éditeurs de code sur des images de base, puis sélectionnez l'éditeur de base (Code OSS pour Cloud Workstations) image de base préconfigurée.

      4. Créer une station de travail

      5. Démarrez et lancez votre station de travail.

      6. Accédez à l'URL Code OSS for Cloud Workstations qui apparaît après vous lancez votre station de travail et vous connectez au port 80.

      7. Clonez un dépôt avec l'option Clone Git Repository (Cloner le dépôt Git) dans l'IDE. Une fois le dépôt cloné, essayez de télécharger un fichier avec du code source.

        Pour télécharger des fichiers dans la vue de l'explorateur Code OSS pour Cloud Workstations, utilisez l'une des méthodes suivantes:

        • Faites glisser des fichiers depuis la vue de l'explorateur.

        • Accédez aux fichiers et aux répertoires que vous souhaitez utiliser, effectuez un clic droit, puis sélectionnez Télécharger.

      8. Une fois le téléchargement terminé, la règle de protection contre la perte de données entre en vigueur. Un téléchargement a été bloqué s'il s'agit d'une notification indiquant que les règles de votre organisation ne sont pas respectées:

      Félicitations ! Vous avez réussi à empêcher les fichiers de code source en cours de téléchargement.

      Effectuer un nettoyage

      Pour éviter que les ressources utilisées dans le cadre de ce tutoriel soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez les ressources individuelles. Pour en savoir plus, consultez Supprimer des ressources

      Étape suivante