Contribuer à sécuriser l'API Cloud Workstations à l'aide de Chrome Enterprise Premium

Présentation

Chrome Enterprise Premium est La solution zéro confiance de Google Cloud permettant aux équipes d'une organisation d'accéder à des applications Web en toute sécurité depuis n'importe où, sans VPN, et pour empêcher les logiciels malveillants, l'hameçonnage et la perte de données.

Grâce à la puissance de Google Chrome, Chrome Enterprise Premium permet aux utilisateurs d'accéder des applications depuis n'importe quel appareil. Chrome Enterprise Premium étend ses fonctionnalités pour relever certains des principaux défis de sécurité dans l'environnement de développement. L'utilisation du contrôle des accès contextuels pour la console Google Cloud et les API, Chrome Enterprise Premium renforce la sécurité de l'API Cloud Workstations.

Le tableau suivant indique si Chrome Enterprise Premium est compatible avec l'accès contextuel pour la méthode d'accès Cloud Workstations spécifiée.

  • La coche indique Chrome Enterprise Premium. limite cette méthode d'accès à Cloud Workstations.
  • L'icône non compatible indique Chrome Enterprise Premium ne limite pas cette méthode d'accès aux stations de travail Cloud Workstations.

Objectifs

Ce document décrit les étapes suivies par un administrateur pour configurer Contrôle des accès Chrome Enterprise Premium pour l'API Cloud Workstations et fournir des mécanismes supplémentaires qui aident à empêcher l'exfiltration du code source depuis les IDE Cloud Workstations basés sur un navigateur.

Coûts

Dans le cadre de ce tutoriel, vous devrez peut-être faire appel à d'autres équipes (pour la facturation ou IAM) et tester le contrôle des accès pour démontrer Des garde-fous de Chrome Enterprise Premium sont en place.

Dans ce document, vous utilisez les composants facturables suivants de Google Cloud :

Obtenez une estimation des coûts en fonction de votre utilisation prévue à l'aide du simulateur de coût. Les nouveaux utilisateurs de Google Cloud peuvent bénéficier d'un essai gratuit.

Une fois que vous avez terminé les tâches décrites dans ce document, vous pouvez éviter de continuer à payer des frais en supprimant les ressources que vous avez créées. Pour en savoir plus, consultez la section Effectuer un nettoyage.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Vérifiez que la facturation est activée pour votre projet Google Cloud.

  4. Activez Workstations API.

    Activer l'API

  5. Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Cloud Workstations > Cloud Workstations Admin.

    Vérifier les rôles

    1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.

    3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

      Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

    4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

    Attribuer les rôles

    1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur Accorder l'accès.
    4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
    5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Vérifiez que la facturation est activée pour votre projet Google Cloud.

  8. Activez Workstations API.

    Activer l'API

  9. Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Cloud Workstations > Cloud Workstations Admin.

    Vérifier les rôles

    1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.

    3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

      Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

    4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

    Attribuer les rôles

    1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur Accorder l'accès.
    4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
    5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.

  10. Assurez-vous d'avoir attribué un une licence Chrome Enterprise Premium standard à chacun de vos utilisateurs. Utilisateurs uniquement disposant d'une licence peuvent appliquer des contrôles d'accès. Pour en savoir plus, consultez Attribuer, retirer et réattribuer des licences

Partie 1: Configurer Chrome Enterprise Premium pour Cloud Workstations

Cette section vous explique comment sécuriser l'accès contextuel à l'API Cloud Workstations:

  1. Configurez Cloud Workstations.
  2. Créez un utilisateur et un groupe de démonstration.
  3. Créez un niveau d'accès dans Access Context Manager.
  4. Activez l'accès contextuel pour Chrome Enterprise Premium.
  5. Ajoutez les groupes Google requis avec des niveaux d'accès.
  6. Tester l'accès des développeurs à Cloud Workstations

Configurer Cloud Workstations

Dans la console Google Cloud, créez un configuration du poste de travail.

Si vous ne connaissez pas Cloud Workstations, consultez le Cloud Workstations Présentation et Architecture des descriptions détaillées.

Créer un utilisateur et un groupe de démonstration

Dans la console d'administration Google Workspace, créez un utilisateur de démonstration et un un nouveau groupe d'utilisateurs. Lorsqu'il est activé, l'accès contextuel pour la console Google Cloud s'applique à tous les utilisateurs et groupes Google, car il s'agit globale.

  1. Connectez-vous à la console d'administration Google Workspace à l'aide de votre compte administrateur: Menu > Annuaire > Utilisateurs > Ajouter un utilisateur.

  2. Créez un utilisateur de démonstration: demo-user@<domain>.

  3. Connectez-vous à la console Google Cloud et accédez à Menu > IAM et Admin > Groupes.

  4. créer un groupe IAM pour l'accès à Cloud Workstations ; Nommez-le Cloud Workstations Users, puis attribuez-lui le nom a créé l'utilisateur de démonstration demo-user@<domain>.

  5. Cliquez sur Enregistrer.

  6. Créez également un groupe d'administrateurs IAM et nommez-le Cloud Admin Users (Utilisateurs Cloud Admin). Attribuez à ce groupe les administrateurs de votre projet et de votre organisation.

  7. Ajoutez l'utilisateur de démonstration demo-user@<domain> à la Groupe d'utilisateurs Cloud Workstations que vous avez créé:

    1. Dans la console Google Cloud, accédez à Cloud Workstations > Stations de travail.
    2. Sélectionnez la station de travail, puis cliquez sur more_vertPlus > Ajouter des utilisateurs.
    3. Sélectionnez l'utilisateur de la démonstration, demo-user@<domain>, puis sélectionnez Cloud Workstations User comme rôle.
    4. Pour autoriser l'utilisateur de démonstration à accéder à la station de travail, sélectionnez demo-user@<domain>, sélectionnez Cloud Workstations Users comme Rôle, puis cliquez sur Enregistrer.

Créer un niveau d'accès

Revenez à la console Google Cloud pour créer un niveau d'accès dans Access Context Manager.

Pour tester l'accès, procédez comme suit:

  1. Dans la console Google Cloud, accédez à Sécurité > Access Context Manager pour configurer des règles relatives aux appareils gérés par l'entreprise.

  2. Cliquez sur Créer un niveau d'accès et renseignez les champs suivants:

    1. Dans le champ Access level title (Titre du niveau d'accès), saisissez corpManagedDevice.
    2. Sélectionnez le mode de base.
    3. Sous Conditions, sélectionnez True (Vrai) pour activer la condition.
    4. Cliquez sur + Règles relatives à l'appareil pour développer les options et vérifier Exigez un appareil d'entreprise.
    5. Cliquez sur Enregistrer pour enregistrer la règle d'accès.

Activer l'accès contextuel pour Chrome Enterprise Premium dans la console Google Cloud

Pour attribuer des contrôles d'accès contextuels (CAA) aux stations de travail, commencez par activer l'accès contextuel pour la console Google Cloud:

  1. Dans la console Google Cloud, accédez à Sécurité > BeyondCorp Enterprise.

  2. Cliquez sur Gérer l'accès à la console et à l'API Google Cloud. Vous êtes alors redirigé vers la page Chrome Enterprise Premium Au niveau de l'organisation.

  3. Dans la section Sécuriser la console Google Cloud et API, cliquez sur Activer.

Ajouter les groupes Google requis avec des niveaux d'accès

Ajoutez les groupes d'administrateurs requis avec les membres appropriés et les droits d'accès appropriés. .

Console

  1. Créez une règle d'accès administrateur nommée CloudAdminAccess avec l'emplacement défini sur les régions où vos administrateurs travaillent. Ainsi, de veiller à ce que les administrateurs puissent accéder aux ressources, même lorsqu'une autre stratégie le bloque.

  2. Créez un groupe IAM avec un accès administrateur à l'adresse IAM et Admin > Groupes.

    1. Sélectionnez l'organisation.
    2. Créez un groupe et nommez-le Cloud Admin Users (Utilisateurs administrateurs cloud).
    3. Attribuez-vous, ainsi qu'à d'autres administrateurs, à ce groupe.
    4. Cliquez sur Enregistrer.

  3. Accédez à Sécurité > Chrome Enterprise Premium. Cliquez sur Gérer l'accès, puis vérifiez la liste des groupes et des niveaux d'accès qui s'affiche.

  4. Cliquez sur Ajouter des comptes principaux à la console Google Cloud et API.

    1. Pour Google Groupes, sélectionnez Cloud Admin Users (Utilisateurs Cloud Admin). C'est le groupe Google que vous avez sélectionné à l'étape précédente.
    2. Sélectionnez CloudAdminAccess, le niveau d'accès créé pour un accès administrateur.
    3. Cliquez sur Enregistrer.

gcloud et API

Pour activer la simulation, suivez les Tutoriel de simulation Chrome Enterprise Premium

Attribuer un niveau d'accès au groupe d'utilisateurs Cloud Workstations

Pour attribuer le niveau d'accès au groupe d'utilisateurs Cloud Workstations:

  1. Accédez à Sécurité > Chrome Enterprise Premium, puis cliquez sur Gérer l'accès :

  2. Passez en revue la liste des groupes et des niveaux d'accès qui s'affiche.

  3. Cliquez sur Ajouter des comptes principaux à la console Google Cloud et API.

    1. Pour Google Groupes, sélectionnez Utilisateurs Cloud Workstations. Il s'agit du groupe Google que vous avez sélectionné à l'étape précédente.
    2. Sélectionnez le niveau d'accès que vous avez créé précédemment, corpManagedDevice.
    3. Cliquez sur Enregistrer.

Tester l'accès des développeurs à Cloud Workstations

Tester l'accès des développeurs à l'API Cloud Workstations à partir de plusieurs entrées points. S'il s'agit d'un appareil appartenant à l'entreprise, assurez-vous que les développeurs y ont accès. l'API station de travail.

  • Vérifiez que l'accès à l'API de station de travail depuis un appareil non géré est bloqué:

    Chrome Enterprise Premium bloque les utilisateurs qui tentent d'accéder au API Cloud Workstations. Lorsque les utilisateurs tentent de se connecter, une erreur s'affiche, indiquant à l'utilisateur qu'il n'y a pas accès ou qu'il doit vérifier la connexion réseau et les paramètres du navigateur.

  • Tester que l'accès à l'API de station de travail à partir d'un appareil détenu par l'entreprise est activé:

    Développeurs utilisant Chrome Enterprise Premium et Cloud Workstations l’accès doit être en mesure créer sa station de travail puis lancer sa station de travail.

Partie 2: Configurer les fonctionnalités de protection contre la perte de données de Chrome Enterprise Premium

Cette section explique comment profiter de la prévention des menaces et de la protection des données de BeyondCorp pour intégrer des fonctionnalités de protection contre la perte de données. Cela permet d'éviter que le code source l'exfiltration de données du Éditeur de base Cloud Workstations (Code OSS pour Cloud Workstations)

Suivez ces étapes pour configurer les fonctionnalités de protection contre la perte de données de Chrome Enterprise Premium afin de empêcher le téléchargement du code source:

  1. Activez la protection contre les menaces et la protection des données.
  2. Créez une règle de protection contre la perte de données BeyondCorp.
  3. Vérifiez les paramètres et créez la règle.
  4. Testez la règle de protection contre la perte de données.

Activer la protection des données et contre les menaces

Pour activer la protection des données et contre les menaces console d'administration Google Workspace, procédez comme suit:

  1. Accédez à Appareils > Chrome >. Paramètres > Utilisateurs et des navigateurs.

  2. Après avoir sélectionné l'identifiant de votre unité organisationnelle, cliquez sur Recherchez ou ajoutez un filtre sous Paramètres des utilisateurs et du navigateur et sélectionnez le sous-type Category.

  3. Recherchez le connecteur Chrome Enterprise dans le sous-type Catégorie.

  4. Sous Télécharger l'analyse du contenu, sélectionnez Google BeyondCorp Enterprise.

  5. Développez la section Paramètres supplémentaires.

    1. Sélectionnez Différer l'accès aux fichiers jusqu'à la fin de l'analyse.
    2. Dans Rechercher les données sensibles > Mode, sélectionnez Activé par défaut, sauf pour le format d'URL suivant :

  6. Cliquez sur Enregistrer pour enregistrer la configuration.

Créer une règle de protection contre la perte de données Chrome Enterprise Premium

Pour créer une règle de protection contre la perte de données, procédez comme suit:

  1. Accédez à la console d'administration Google Workspace et sélectionnez Sécurité > Contrôle des accès et des données > Protection des données > Gérer les règles.

  2. Pour créer une règle, cliquez sur Ajouter une règle, puis sur Nouvelle règle. La page Nom et champ d'application s'ouvre.

  3. Dans la section Nom, saisissez un nom et une description. Par exemple : Dans le champ Nom, saisissez CloudWorkstations-DLP-Rule1 et, pour la Description, saisissez Cloud Workstations Data Loss Prevention Rule 1.

  4. Dans la section Champ d'application, configurez les éléments suivants:

    1. Sélectionnez Unités organisationnelles et/ou groupes.
    2. Cliquez sur Inclure les unités organisationnelles, puis sélectionnez votre organisation.
    3. Cliquez sur Continuer.

  5. Dans la section Applications, configurez les éléments suivants:

    1. Dans les options Chrome, sélectionnez Fichier importé et Fichier importé. téléchargée.
    2. Cliquez sur Continuer.

  6. Sur la page Conditions, configurez les éléments suivants:

    1. Cliquez sur Ajouter une condition pour créer une condition.
    2. Sélectionnez Tous les contenus.
    3. Sélectionnez Correspond au type de données prédéfini (recommandé).
    4. Dans le champ Sélectionner un type de données, sélectionnez Documents – Fichier de code source.
    5. Pour le champ Seuil de probabilité, sélectionnez Élevée.
    6. Dans le champ Nombre minimal de correspondances uniques, saisissez 1.
    7. Dans le champ Nombre minimal de correspondances, saisissez 1.
    8. Cliquez sur Continuer.

  7. Sur la page Actions, configurez les éléments suivants:

    1. Dans les options Actions, sélectionnez Chrome > Bloquer du contenu
    2. Dans les options Alertes, configurez les éléments suivants: <ph type="x-smartling-placeholder">
        </ph>
      • Pour la gravité, sélectionnez Moyenne.
      • Sélectionnez Envoyé au centre d'alerte.
    3. Cliquez sur Continuer.

Vérifier les paramètres et créer la règle

Sur la page Vérification, vérifiez les paramètres que vous avez configurés précédemment pages:

  1. Assurez-vous que les paramètres sont corrects.
  2. Pour continuer, cliquez sur Créer.
  3. Sur la page suivante, assurez-vous que l'option Actif est sélectionnée.
  4. Pour terminer la création de la règle, cliquez sur Terminer.

Tester la règle de protection contre la perte de données

Maintenant que la règle de protection contre la perte de données a été ajoutée, vous pouvez effectuer des tests depuis Cloud Workstations dans Chrome:

  1. Dans un nouvel onglet Chrome, saisissez chrome://policy, puis Cliquez sur Actualiser les règles pour vous assurer que la règle Chrome est mis à jour.

  2. Faites défiler la page vers le bas pour vous assurer que la liste des règles s'affiche. Si vous voyez cela, les règles ont bien été extraites. Dans ce cas, regardez pour la règle OnFileDownloadEnterpriseConnector.

  3. Accédez à la console Google Cloud. créer une configuration Cloud Workstations.

    Lors de la création de la configuration de votre station de travail, veillez à sélectionner Éditeurs de code sur des images de base, puis sélectionnez l'éditeur de base (Code OSS pour Cloud Workstations) image de base préconfigurée.

  4. Créer une station de travail

  5. Démarrez et lancez votre station de travail.

  6. Accédez à l'URL Code OSS for Cloud Workstations qui apparaît après vous lancez votre station de travail et vous connectez au port 80.

  7. Clonez un dépôt avec l'option Clone Git Repository (Cloner le dépôt Git) dans l'IDE. Une fois le dépôt cloné, essayez de télécharger un fichier avec du code source.

    Pour télécharger des fichiers dans la vue de l'explorateur Code OSS pour Cloud Workstations, utilisez l'une des méthodes suivantes:

    • Faites glisser des fichiers depuis la vue de l'explorateur.

    • Accédez aux fichiers et répertoires que vous souhaitez utiliser, effectuez un clic droit, puis sélectionnez Télécharger.

  8. Une fois le téléchargement terminé, la règle de protection contre la perte de données entre en vigueur. Un téléchargement a été bloqué s'il s'agit d'une notification indiquant que les règles de votre organisation ne sont pas respectées:

Félicitations ! Vous avez réussi à empêcher les fichiers de code source en cours de téléchargement.

Effectuer un nettoyage

Pour éviter que les ressources soient facturées sur votre compte Google Cloud, utilisées dans ce tutoriel, supprimez le projet qui contient les ressources ou conserver le projet et supprimer les ressources individuelles. Pour en savoir plus, consultez Supprimer des ressources

Étape suivante