Protéger l'API Cloud Workstations avec Chrome Enterprise Premium

Présentation

Chrome Enterprise Premium est la solutionGoogle Cloudzéro confiance qui permet aux équipes d'une organisation d'accéder à des applications Web de manière sécurisée, où qu'elles se trouvent, sans avoir besoin de VPN, et qui aide à prévenir les logiciels malveillants, l'hameçonnage et la perte de données.

Grâce à la puissance de Google Chrome, Chrome Enterprise Premium permet aux utilisateurs d'accéder aux applications depuis n'importe quel appareil. Chrome Enterprise Premium étend ses fonctionnalités pour répondre à certains défis de sécurité clés dans l'environnement de développement. Chrome Enterprise Premium permet de renforcer la sécurité de l'API Cloud Workstations grâce contrôle des accès contextuel pour la consoleGoogle Cloud et les API.

Le tableau suivant indique si Chrome Enterprise Premium est compatible avec le contrôle des accès contextuels pour la méthode d'accès Cloud Workstations spécifiée.

  • La coche  indique que Chrome Enterprise Premium limite cette méthode d'accès à Cloud Workstations.
  • L'icône non compatible indique que Chrome Enterprise Premium ne limite pas cette méthode d'accès à Cloud Workstations.

Objectifs

Ce document décrit les étapes à suivre par un administrateur pour configurer le contrôle des accès Chrome Enterprise Premium pour l'API Cloud Workstations et pour fournir des mécanismes supplémentaires permettant d'empêcher l'exfiltration du code source à partir des IDE Cloud Workstations basés sur navigateur.

Coûts

Dans le cadre de ce tutoriel, vous devrez peut-être faire appel à d'autres équipes (pour la facturation ou IAM) et tester également le contrôle des accès pour démontrer que les garde-fous Chrome Enterprise Premium sont en place.

Dans ce document, vous utilisez les composants facturables de Google Cloudsuivants :

Obtenez une estimation des coûts en fonction de votre utilisation prévue à l'aide du simulateur de coût.

Les nouveaux utilisateurs de Google Cloud peuvent bénéficier d'un essai gratuit.

Une fois que vous avez terminé les tâches décrites dans ce document, supprimez les ressources que vous avez créées pour éviter que des frais vous soient facturés. Pour en savoir plus, consultez la section Effectuer un nettoyage.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur  Accorder l'accès.

    4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

    5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur  Ajouter un autre rôle et ajoutez tous les rôles supplémentaires.
    7. Cliquez sur Enregistrer.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur  Accorder l'accès.

    4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

    5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur  Ajouter un autre rôle et ajoutez tous les rôles supplémentaires.
    7. Cliquez sur Enregistrer.

  10. Assurez-vous d'avoir attribué une licence Chrome Enterprise Premium Standard à chacun de vos utilisateurs. Seuls les utilisateurs disposant d'une licence sont soumis à des contrôles d'accès. Pour en savoir plus, consultez Attribuer, retirer et réattribuer des licences.

    11. Partie 1 : Configurer Chrome Enterprise Premium pour Cloud Workstations

    Cette section vous explique comment sécuriser l'accès contextuel à l'API Cloud Workstations :

    1. Configurez Cloud Workstations.
    2. Créez un utilisateur et un groupe de démonstration.
    3. Créez un niveau d'accès dans Access Context Manager.
    4. Activez l'accès contextuel Chrome Enterprise Premium.
    5. Ajoutez les groupes Google requis avec les niveaux d'accès.
    6. Tester l'accès des développeurs à Cloud Workstations

    Configurer Cloud Workstations

    Pour l'intégration à Chrome Enterprise Premium, votre cluster Cloud Workstations doit utiliser Identity-Aware Proxy (IAP). Ignorez cette section si vous avez déjà configuré ces ressources.

    Pour configurer Cloud Workstations :

    1. Créez un cluster de stations de travail avec un domaine personnalisé.
    2. Activez IAP.
    3. Créez une configuration de station de travail dans le cluster.

    Si vous débutez avec Cloud Workstations, consultez les pages Présentation et Architecture.

    Créer un utilisateur et un groupe de démonstration

    Dans la console d'administration Google Workspace, créez un utilisateur de démonstration et un groupe d'utilisateurs. Lorsqu'il est activé, l'accès contextuel (CAA) pour la consoleGoogle Cloud s'applique à tous les utilisateurs et groupes Google, car il s'agit d'un paramètre global.

    1. Connectez-vous à la console d'administration Google Workspace avec votre compte administrateur : Menu > Annuaire > Utilisateurs > Ajouter un utilisateur.

    2. Créez un utilisateur de démonstration : demo-user@<domain>.

    3. Connectez-vous à la consoleGoogle Cloud , puis accédez à Menu > IAM et administration > Groupes.

    4. Créez un groupe IAM pour l'accès à Cloud Workstations, nommez-le Cloud Workstations Users et attribuez-lui l'utilisateur de démonstration créé précédemment, demo-user@<domain>.

    5. Cliquez sur Enregistrer.

    6. Créez également un groupe d'administrateurs IAM et nommez-le Cloud Admin Users. Attribuez vos administrateurs de projet et d'organisation à ce groupe.

    7. Ajoutez l'utilisateur de démonstration demo-user@<domain> au groupe d'utilisateurs Cloud Workstations que vous avez créé :

      1. Dans la consoleGoogle Cloud , accédez à Cloud Workstations > Workstations.
      2. Sélectionnez le poste de travail, puis cliquez sur more_vertPlus > Ajouter des utilisateurs.
      3. Sélectionnez l'utilisateur de démonstration demo-user@<domain>, puis sélectionnez Cloud Workstations User comme rôle.
      4. Pour accorder l'accès à la station de travail à l'utilisateur de démonstration, sélectionnez demo-user@<domain>, puis Cloud Workstations Users comme rôle et cliquez sur Enregistrer.

    Créer un niveau d'accès

    Revenez à la console Google Cloud pour créer un niveau d'accès dans Access Context Manager.

    Pour tester l'accès, procédez comme suit :

    1. Dans la consoleGoogle Cloud , accédez à Sécurité > Access Context Manager pour configurer une règle pour les appareils gérés par l'entreprise.

    2. Cliquez sur Créer un niveau d'accès et renseignez les champs suivants :

      1. Dans le champ Titre du niveau d'accès, saisissez corpManagedDevice.
      2. Sélectionnez le mode de base.
      3. Sous Conditions, sélectionnez Vrai pour activer la condition.
      4. Cliquez sur + Règle de l'appareil pour développer les options, puis cochez Exiger un appareil d'entreprise.
      5. Cliquez sur Enregistrer pour enregistrer la règle d'accès.

    Activer l'analyse et l'atténuation des attaques par usurpation d'identité pour la console Google Cloud

    Pour attribuer des contrôles d'accès contextuel (CAA) aux stations de travail, commencez par activer les CAA pour la console Google Cloud  :

    1. Dans la consoleGoogle Cloud , accédez à Sécurité > BeyondCorp Enterprise.

    2. Cliquez sur Gérer l'accès à la console Google Cloud et aux API. La page Niveau de l'organisation de Chrome Enterprise Premium s'affiche.

    3. Dans la section Sécuriser la console Google Cloud et les API, cliquez sur Activer.

    Ajouter les groupes Google requis avec les niveaux d'accès

    Ajoutez les groupes d'administrateurs requis avec les membres concernés et la règle d'accès appropriée.

    Console

    1. Créez une règle d'accès administrateur nommée CloudAdminAccess, en définissant l'emplacement sur les régions où travaillent vos administrateurs. Cela garantit que les administrateurs peuvent accéder aux ressources même lorsqu'une autre règle les bloque.

    2. Créez un groupe IAM avec accès administrateur dans IAM et administration > Groupes.

      1. Sélectionnez l'organisation.
      2. Créez un groupe et nommez-le Utilisateurs administrateurs Cloud.
      3. Attribuez-vous, ainsi qu'aux autres administrateurs, ce groupe.
      4. Cliquez sur Enregistrer.

    3. Accédez à Sécurité > Chrome Enterprise Premium. Cliquez sur Gérer l'accès, puis consultez la liste des groupes et des niveaux d'accès qui s'affiche.

    4. Cliquez sur Ajouter des comptes principaux à la console Google Cloud et aux API.

      1. Pour Google Groupes, sélectionnez Utilisateurs administrateurs Cloud. Il s'agit du groupe Google que vous avez sélectionné à l'étape précédente.
      2. Sélectionnez CloudAdminAccess, le niveau d'accès que vous avez créé pour l'accès administrateur.
      3. Cliquez sur Enregistrer.

    gcloud et API

    Pour activer le mode test, suivez le tutoriel sur le mode test de Chrome Enterprise Premium.

    Attribuer un niveau d'accès au groupe d'utilisateurs Cloud Workstations

    Pour attribuer le niveau d'accès au groupe d'utilisateurs Cloud Workstations :

    1. Accédez à Sécurité > Chrome Enterprise Premium, puis cliquez sur Gérer l'accès.

    2. Consultez la liste des groupes et des niveaux d'accès qui s'affiche.

    3. Cliquez sur Ajouter des comptes principaux à la console Google Cloud et aux API.

      1. Pour Google Groupes, sélectionnez Utilisateurs Cloud Workstations. Il s'agit du groupe Google que vous avez sélectionné à l'étape précédente.
      2. Sélectionnez le niveau d'accès que vous avez créé précédemment, corpManagedDevice.
      3. Cliquez sur Enregistrer.

    Tester l'accès des développeurs à Cloud Workstations

    Testez l'accès des développeurs à l'API Cloud Workstations à partir de plusieurs points d'entrée. Pour un appareil appartenant à l'entreprise, assurez-vous que les développeurs peuvent accéder à l'API de la station de travail.

    • Testez que l'accès à l'API de la station de travail depuis un appareil non géré est bloqué :

      Chrome Enterprise Premium bloque les utilisateurs qui tentent d'accéder à l'API Cloud Workstations. Lorsqu'un utilisateur tente de se connecter, un message d'erreur s'affiche pour l'avertir qu'il n'a pas accès ou qu'il doit vérifier la connexion réseau et les paramètres du navigateur.

    • Testez l'accès à l'API de la station de travail depuis un appareil appartenant à l'entreprise :

      Les développeurs disposant d'un accès à Chrome Enterprise Premium et à Cloud Workstations devraient pouvoir créer leur station de travail, puis la lancer.

    Partie 2 : Configurer les fonctionnalités de protection contre la perte de données de Chrome Enterprise Premium

    Cette section décrit les étapes à suivre pour profiter de BeyondCorp Threat and Data Protection et intégrer des fonctionnalités de protection contre la perte de données (DLP). Cela permet d'éviter l'exfiltration du code source à partir de l'éditeur de base Cloud Workstations (Code OSS pour Cloud Workstations) basé sur Chrome.

    Suivez ces étapes pour configurer les fonctionnalités de protection contre la perte de données de Chrome Enterprise Premium afin d'empêcher le téléchargement du code source :

    1. Activez la protection des données et contre les menaces.
    2. Créez une règle de protection contre la perte de données BeyondCorp.
    3. Vérifiez les paramètres et créez la règle.
    4. Testez la règle de protection contre la perte de données.

    Activer la protection des données et contre les menaces

    Pour activer la protection contre les menaces et des données depuis la console d'administration Google Workspace, procédez comme suit :

    1. Accédez à Appareils> Chrome> Paramètres> Utilisateurs et navigateurs.

    2. Après avoir sélectionné l'identifiant de votre unité organisationnelle (ID d'UO), cliquez sur Rechercher ou ajouter un filtre sous Paramètres utilisateur et du navigateur, puis sélectionnez le sous-type Catégorie.

    3. Recherchez le connecteur Chrome Enterprise dans le sous-type Catégorie.

    4. Dans Télécharger l'analyse du contenu, sélectionnez Google BeyondCorp Enterprise.

    5. Développez Paramètres supplémentaires.

      1. Sélectionnez Différer l'accès aux fichiers jusqu'à la fin de l'analyse.
      2. Dans Vérifier les données sensibles > Mode, sélectionnez Activée par défaut, sauf pour les formats d'URL suivants.

    6. Cliquez sur Enregistrer pour enregistrer la configuration.

    Créer une règle de protection contre la perte de données Chrome Enterprise Premium

    Pour créer une règle DLP, procédez comme suit :

    1. Accédez à la console d'administration Google Workspace, puis sélectionnez Sécurité > Contrôle des accès et des données > Protection des données > Gérer les règles.

    2. Pour créer une règle, cliquez sur Ajouter une règle, puis sur Nouvelle règle. La page Nom et champ d'application s'ouvre.

    3. Dans la section Nom, saisissez un nom et une description. Par exemple, dans le champ Nom, saisissez CloudWorkstations-DLP-Rule1 et, dans le champ Description, saisissez Cloud Workstations Data Loss Prevention Rule 1.

    4. Dans la section Champ d'application, configurez les éléments suivants :

      1. Sélectionnez Unités organisationnelles et/ou groupes.
      2. Cliquez sur Inclure les unités organisationnelles, puis sélectionnez votre organisation.
      3. Cliquez sur Continuer.

    5. Dans la section Applications, configurez les éléments suivants :

      1. Dans les options Chrome, sélectionnez Fichier importé et Fichier téléchargé.
      2. Cliquez sur Continuer.

    6. Sur la page Conditions, configurez les éléments suivants :

      1. Cliquez sur Ajouter une condition pour en créer une.
      2. Sélectionnez Tous les contenus.
      3. Sélectionnez Correspond à un type de données prédéfini (recommandé).
      4. Dans Sélectionner un type de données, sélectionnez Documents > Fichier de code source.
      5. Dans le champ Seuil de probabilité, sélectionnez Élevé.
      6. Dans le champ Nombre minimal de correspondances uniques, saisissez 1.
      7. Dans le champ Nombre minimal de correspondances, saisissez 1.
      8. Cliquez sur Continuer.

    7. Sur la page Actions, configurez les éléments suivants :

      1. Dans les options Actions, sélectionnez Chrome > Bloquer du contenu.
      2. Dans les options Alertes, configurez les éléments suivants :
        • Pour la sévérité, sélectionnez Moyenne.
        • Sélectionnez Envoyer au centre d'alerte.
      3. Cliquez sur Continuer.

    Vérifier les paramètres et créer la règle

    Sur la page Récapitulatif, vérifiez les paramètres que vous avez configurés sur les pages précédentes :

    1. Assurez-vous que les paramètres sont corrects.
    2. Pour continuer, cliquez sur Créer.
    3. Sur la page suivante, assurez-vous que l'option Active est sélectionnée.
    4. Pour terminer la création de la règle, cliquez sur Terminer.

    Tester la règle de protection contre la perte de données

    Maintenant que la règle DLP est ajoutée, vous pouvez la tester depuis Cloud Workstations dans Chrome :

    1. Dans un nouvel onglet Chrome, saisissez chrome://policy et cliquez sur Actualiser les règles pour vous assurer que la règle Chrome est mise à jour.

    2. Faites défiler la page vers le bas pour vous assurer qu'une liste de règles s'affiche. Si vous les voyez, cela signifie que les règles ont bien été extraites. Dans ce cas, recherchez la règle OnFileDownloadEnterpriseConnector.

    3. Accédez à la consoleGoogle Cloud et créez une configuration Cloud Workstations.

      Lorsque vous créez la configuration de votre poste de travail, veillez à sélectionner Éditeurs de code sur des images de base, puis l'image de base préconfigurée Éditeur de base (Code OSS pour Cloud Workstations).

    4. Créer une station de travail

    5. Démarrer et lancer votre station de travail

    6. Accédez à l'URL Code OSS pour les stations de travail Cloud qui s'affiche après avoir lancé votre station de travail et vous être connecté au port 80.

    7. Clonez un dépôt avec l'option Cloner le dépôt Git dans l'IDE. Une fois le dépôt cloné, essayez de télécharger un fichier avec code source.

      Pour télécharger des fichiers dans la vue de l'explorateur Code OSS pour Cloud Workstations, utilisez l'une des méthodes suivantes :

      • Faites glisser les fichiers depuis la vue Explorateur.

      • Accédez aux fichiers et aux répertoires que vous souhaitez utiliser, effectuez un clic droit, puis sélectionnez Télécharger.

    8. Une fois la règle de protection contre la perte de données téléchargée, elle prend effet. Vous voyez une notification de téléchargement bloqué indiquant que les règles de votre organisation ne sont pas respectées :

    Félicitations ! Vous avez réussi à empêcher le téléchargement des fichiers de code source.

    Effectuer un nettoyage

    Pour éviter que les ressources utilisées dans ce tutoriel ne soient facturées sur votre compte Google Cloud , supprimez le projet contenant les ressources, ou conservez le projet et supprimez les ressources individuelles. Pour en savoir plus, consultez Supprimer des ressources.

    Étapes suivantes