Protéger l'API Cloud Workstations avec Chrome Enterprise Premium

Présentation

Chrome Enterprise Premium est la solution zéro confiance deGoogle Cloudqui permet aux employés d'une organisation d'accéder à des applications Web de manière sécurisée, où qu'ils se trouvent, sans avoir besoin de VPN, et de contribuer à prévenir les logiciels malveillants, l'hameçonnage et la perte de données.

Grâce à la puissance de Google Chrome, Chrome Enterprise Premium permet aux utilisateurs d'accéder aux applications depuis n'importe quel appareil. Chrome Enterprise Premium étend ses fonctionnalités pour répondre à certains défis de sécurité clés dans l'environnement de développement. Chrome Enterprise Premium offre une sécurité supplémentaire pour l'API Cloud Workstations grâce au contrôle des accès basé sur le contexte pour la console Google Cloud et les API.

Le tableau suivant indique si Chrome Enterprise Premium est compatible avec le contrôle des accès basé sur le contexte pour la méthode d'accès aux stations de travail Cloud spécifiée.

  • La coche  indique que Chrome Enterprise Premium limite cette méthode d'accès à Cloud Workstations.
  • L'icône non compatible indique que Chrome Enterprise Premium ne limite pas cette méthode d'accès aux stations de travail Cloud.

Objectifs

Ce document décrit les étapes suivies par un administrateur pour configurer le contrôle des accès Chrome Enterprise Premium pour l'API Cloud Workstations et fournir des mécanismes supplémentaires pour éviter l'exfiltration du code source à partir des IDE Cloud Workstations basés sur le navigateur.

Coûts

Dans le cadre de ce tutoriel, vous devrez peut-être impliquer d'autres équipes (pour la facturation ou l'IAM) et tester également le contrôle des accès pour démontrer que les garde-fous de Chrome Enterprise Premium sont en place.

Dans ce document, vous utilisez les composants facturables suivants de Google Cloud :

Obtenez une estimation des coûts en fonction de votre utilisation prévue à l'aide du simulateur de coût. Les nouveaux utilisateurs de Google Cloud peuvent bénéficier d'un essai gratuit.

Une fois que vous avez terminé les tâches décrites dans ce document, vous pouvez éviter de continuer à payer des frais en supprimant les ressources que vous avez créées. Pour en savoir plus, consultez la section Effectuer un nettoyage.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur Accorder l'accès.

    4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

    5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Make sure that billing is enabled for your Google Cloud project.

    10. Enable the Workstations API.

      Enable the API

    11. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Accéder à IAM
      2. Sélectionnez le projet.
      3. Cliquez sur Accorder l'accès.

      4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

      5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
      6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
      7. Cliquez sur Enregistrer.

      8. Assurez-vous d'avoir attribué une licence Chrome Enterprise Premium Standard à chacun de vos utilisateurs. Seuls les utilisateurs disposant d'une licence sont soumis à des contrôles d'accès. Pour en savoir plus, consultez Attribuer, retirer et réattribuer des licences.

      Partie 1: Configurer Chrome Enterprise Premium pour les stations de travail cloud

      Cette section vous explique comment sécuriser l'accès contextuel à l'API Cloud Workstations:

      1. Configurez Cloud Workstations.
      2. Créez un utilisateur et un groupe de démonstration.
      3. Créez un niveau d'accès dans Access Context Manager.
      4. Activez l'accès contextuel Chrome Enterprise Premium.
      5. Ajoutez les groupes Google requis avec des niveaux d'accès.
      6. Testez l'accès des développeurs à Cloud Workstations.

      Configurer Cloud Workstations

      Dans la console Google Cloud, créez une configuration de station de travail.

      Si vous ne connaissez pas Cloud Workstations, consultez les descriptions de la présentation et de l'architecture de Cloud Workstations.

      Créer un utilisateur et un groupe de démonstration

      Dans la console d'administration Google Workspace, créez un utilisateur de démonstration et un nouveau groupe d'utilisateurs. Lorsqu'il est activé, l'accès contextuel (CAA) pour la console Google Cloud s'applique à tous les utilisateurs et groupes Google, car il s'agit d'un paramètre global.

      1. Connectez-vous à la console d'administration Google Workspace avec votre compte administrateur : Menu > Annuaire > Utilisateurs > Ajouter un utilisateur.

      2. Créez un utilisateur de démonstration: demo-user@<domain>.

      3. Connectez-vous à la console Google Cloud, puis accédez à Menu > IAM et administration > Groupes.

      4. Créez un groupe IAM pour l'accès aux stations de travail cloud, nommez-le Cloud Workstations Users et attribuez-lui l'utilisateur de démonstration créé précédemment, demo-user@<domain>.

      5. Cliquez sur Enregistrer.

      6. Créez également un groupe d'administrateurs IAM et nommez-le Utilisateurs Cloud Admin. Attribuez les administrateurs de votre projet et de votre organisation à ce groupe.

      7. Ajoutez l'utilisateur de démonstration, demo-user@<domain>, au groupe d'utilisateurs des stations de travail cloud que vous avez créé:

        1. Dans la console Google Cloud, accédez à Cloud Workstations > Workstations (Cloud Workstations > Workstations).
        2. Sélectionnez la station de travail, puis cliquez sur more_vertPlus > Ajouter des utilisateurs.
        3. Sélectionnez l'utilisateur de démonstration, demo-user@<domain>, puis Cloud Workstations User comme rôle.
        4. Pour accorder à l'utilisateur de démonstration un accès à la station de travail, sélectionnez demo-user@<domain>, sélectionnez Cloud Workstations Users comme Rôle, puis cliquez sur Enregistrer.

      Créer un niveau d'accès

      Revenez à la console Google Cloud pour créer un niveau d'accès dans Access Context Manager.

      Pour tester l'accès, suivez ces instructions:

      1. Dans la console Google Cloud, accédez à Sécurité > Access Context Manager pour configurer une règle d'appareil gérée par l'entreprise.

      2. Cliquez sur Créer un niveau d'accès, puis remplissez les champs suivants:

        1. Dans le champ Titre du niveau d'accès, saisissez corpManagedDevice.
        2. Sélectionnez le mode Standard.
        3. Sous Conditions, sélectionnez True (Vrai) pour activer la condition.
        4. Cliquez sur + Règle d'appareil pour développer les options et cochez Exiger un appareil d'entreprise.
        5. Cliquez sur Enregistrer pour enregistrer la règle d'accès.

      Activer la gestion des accès Chrome Enterprise Premium pour la console Google Cloud

      Pour attribuer des contrôles d'accès contextuels (CAA) aux stations de travail, commencez par activer les CAA pour la console Google Cloud:

      1. Dans la console Google Cloud, accédez à Sécurité > BeyondCorp Enterprise.

      2. Cliquez sur Gérer l'accès à la console et aux API Google Cloud. La page Au niveau de l'organisation de Chrome Enterprise Premium s'affiche.

      3. Dans la section Sécuriser la console et les API Google Cloud, cliquez sur Activer.

      Ajouter les groupes Google requis avec des niveaux d'accès

      Ajoutez les groupes d'administrateurs requis avec les membres appropriés et la stratégie d'accès correcte.

      Console

      1. Créez une règle d'accès administrateur nommée CloudAdminAccess avec l'emplacement défini sur les régions où travaillent vos administrateurs. Cela garantit que les administrateurs peuvent accéder aux ressources même si une autre règle les bloque.

      2. Créez un groupe IAM avec accès administrateur à l'adresse IAM et administration > Groupes.

        1. Sélectionnez l'organisation.
        2. Créez un groupe et nommez-le Utilisateurs Cloud Admin.
        3. Ajoutez-vous et les autres administrateurs à ce groupe.
        4. Cliquez sur Enregistrer.

      3. Accédez à Sécurité > Chrome Enterprise Premium. Cliquez sur Gérer l'accès, puis examinez la liste des groupes et des niveaux d'accès qui s'affichent.

      4. Cliquez sur Ajouter des comptes principaux à la Google Cloud console et aux API.

        1. Pour Google Groupes, sélectionnez Utilisateurs Cloud Admin. Il s'agit du groupe Google que vous avez sélectionné à l'étape précédente.
        2. Sélectionnez CloudAdminAccess, le niveau d'accès que vous avez créé pour l'accès administrateur.
        3. Cliquez sur Enregistrer.

      gcloud et API

      Pour activer le test, suivez le tutoriel de simulation de Chrome Enterprise Premium.

      Attribuer un niveau d'accès au groupe d'utilisateurs des stations de travail Cloud

      Pour attribuer le niveau d'accès au groupe d'utilisateurs des stations de travail Cloud:

      1. Accédez à Sécurité > Chrome Enterprise Premium, puis cliquez sur Gérer l'accès.

      2. Consultez la liste des groupes et des niveaux d'accès qui s'affichent.

      3. Cliquez sur Ajouter des comptes principaux à la Google Cloud console et aux API.

        1. Pour Google Groupes, sélectionnez Utilisateurs de Cloud Workstations. Il s'agit du groupe Google que vous avez sélectionné à l'étape précédente.
        2. Sélectionnez le niveau d'accès que vous avez créé précédemment, corpManagedDevice.
        3. Cliquez sur Enregistrer.

      Tester l'accès des développeurs à Cloud Workstations

      Testez l'accès des développeurs à l'API Cloud Workstations à partir de plusieurs points d'entrée. Pour un appareil appartenant à l'entreprise, assurez-vous que les développeurs peuvent accéder à l'API de la station de travail.

      • Vérifiez que l'accès à l'API de la station de travail depuis un appareil non géré est bloqué:

        Chrome Enterprise Premium bloque les utilisateurs qui tentent d'accéder à l'API Cloud Workstations. Lorsque les utilisateurs tentent de se connecter, un message d'erreur s'affiche, indiquant qu'ils n'ont pas accès ou qu'ils doivent vérifier la connexion réseau et les paramètres du navigateur.

      • Vérifiez que l'accès à l'API de la station de travail depuis un appareil appartenant à l'entreprise est activé:

        Les développeurs disposant d'un accès à Chrome Enterprise Premium et à Cloud Workstations doivent pouvoir créer leur station de travail, puis la lancer.

      Partie 2: Configurer les fonctionnalités de protection contre la perte de données de Chrome Enterprise Premium

      Cette section explique comment tirer parti de BeyondCorp Threat and Data Protection pour intégrer des fonctionnalités de protection contre la perte de données (DLP). Cela permet d'éviter l'exfiltration du code source de l'éditeur de base Cloud Workstations (Code OSS pour Cloud Workstations) basé sur Chrome.

      Pour configurer les fonctionnalités de protection contre la perte de données de Chrome Enterprise Premium afin d'empêcher le téléchargement du code source, procédez comme suit:

      1. Activez la protection des données et contre les menaces.
      2. Créez une règle de protection contre la perte de données BeyondCorp.
      3. Vérifiez les paramètres et créez la règle.
      4. Testez la règle de protection contre la perte de données.

      Activer la protection des données et contre les menaces

      Pour activer la protection contre les menaces et des données depuis la console d'administration Google Workspace, procédez comme suit:

      1. Accédez à Appareils > Chrome > Paramètres > Utilisateurs et navigateurs.

      2. Après avoir sélectionné votre identifiant d'unité organisationnelle (ID d'UO), cliquez sur Rechercher ou ajouter un filtre sous Paramètres utilisateur et du navigateur, puis sélectionnez le sous-type Catégorie.

      3. Recherchez le connecteur Chrome Enterprise dans le sous-type Catégorie.

      4. Dans Télécharger l'analyse du contenu, sélectionnez Google BeyondCorp Enterprise.

      5. Développez Paramètres supplémentaires.

        1. Sélectionnez Différer l'accès aux fichiers jusqu'à la fin de l'analyse.
        2. Dans Rechercher des données sensibles > Mode, sélectionnez Activé par défaut, sauf pour les formats d'URL suivants.

      6. Cliquez sur Enregistrer pour enregistrer la configuration.

      Créer une règle de protection contre la perte de données Chrome Enterprise Premium

      Pour créer une règle de protection contre la perte de données, procédez comme suit:

      1. Accédez à la console d'administration Google Workspace, puis sélectionnez Sécurité > Contrôle des accès et des données > Protection des données > Gérer les règles.

      2. Pour créer une règle, cliquez sur Ajouter une règle, puis sur Nouvelle règle. La page Nom et champ d'application s'ouvre.

      3. Dans la section Nom, saisissez un nom et une description. Par exemple, pour le champ Nom, saisissez CloudWorkstations-DLP-Rule1 et, pour le champ Description, saisissez Cloud Workstations Data Loss Prevention Rule 1.

      4. Dans la section Champ d'application, configurez les éléments suivants:

        1. Sélectionnez Unités organisationnelles et/ou groupes.
        2. Cliquez sur Inclure les unités organisationnelles, puis sélectionnez votre organisation.
        3. Cliquez sur Continuer.

      5. Dans la section Applications, configurez les éléments suivants:

        1. Dans les options Chrome, sélectionnez Fichier importé et Fichier téléchargé.
        2. Cliquez sur Continuer.

      6. Sur la page Conditions, configurez les éléments suivants:

        1. Cliquez sur Ajouter une condition pour en créer une.
        2. Sélectionnez Tout le contenu.
        3. Sélectionnez Correspond à un type de données prédéfini (recommandé).
        4. Dans Sélectionner un type de données, sélectionnez Documents : fichier de code source.
        5. Dans le champ Seuil de probabilité, sélectionnez Élevé.
        6. Dans le champ Nombre minimal de correspondances uniques, saisissez 1.
        7. Dans le champ Minimum match count (Nombre minimal de correspondances), saisissez 1.
        8. Cliquez sur Continuer.

      7. Sur la page Actions, configurez les éléments suivants:

        1. Dans les options Actions, sélectionnez Chrome > Bloquer du contenu.
        2. Dans les options Alertes, configurez les éléments suivants :
          • Pour la sévérité, sélectionnez Moyenne.
          • Sélectionnez Envoyé au centre d'alerte.
        3. Cliquez sur Continuer.

      Vérifier les paramètres et créer la règle

      Sur la page Vérification, vérifiez les paramètres que vous avez configurés sur les pages précédentes:

      1. Vérifiez que les paramètres sont corrects.
      2. Pour continuer, cliquez sur Créer.
      3. Sur la page suivante, assurez-vous que l'option Active est sélectionnée.
      4. Pour terminer la création de la règle, cliquez sur Terminer.

      Tester la règle de protection contre la perte de données

      Maintenant que la règle de protection contre la perte de données est ajoutée, vous pouvez effectuer des tests à partir de Cloud Workstations dans Chrome:

      1. Dans un nouvel onglet Chrome, saisissez chrome://policy, puis cliquez sur Actualiser les règles pour vous assurer que la règle Chrome est mise à jour.

      2. Faites défiler la page vers le bas pour vous assurer qu'une liste de règles s'affiche. Si vous les voyez, cela signifie que les règles ont bien été récupérées. Dans ce cas, recherchez la règle OnFileDownloadEnterpriseConnector.

      3. Accédez à la console Google Cloud et créez une configuration de stations de travail cloud.

        Lorsque vous créez la configuration de votre station de travail, veillez à sélectionner Éditeurs de code sur des images de base, puis l'image de base préconfigurée Éditeur de base (Code OSS pour Cloud Workstations).

      4. Créer une station de travail

      5. Démarrez et lancez votre station de travail.

      6. Accédez à l'URL Code OSS pour les stations de travail Cloud qui s'affiche après le lancement de votre station de travail et connectez-vous au port 80.

      7. Clonez un dépôt à l'aide de l'option Cloner le dépôt Git dans l'IDE. Une fois le dépôt cloné, essayez de télécharger un fichier avec le code source.

        Pour télécharger des fichiers dans la vue Explorer de Code OSS pour Cloud Workstations, utilisez l'une des méthodes suivantes:

        • Faites glisser des fichiers depuis la vue Explorer.

        • Accédez aux fichiers et aux répertoires que vous souhaitez utiliser, effectuez un clic droit, puis sélectionnez Télécharger.

      8. Une fois téléchargée, la règle de protection contre la perte de données est appliquée. Vous voyez une notification de téléchargement bloqué indiquant que les règles de votre organisation ne sont pas respectées:

      Félicitations ! Vous avez réussi à empêcher le téléchargement des fichiers de code source.

      Effectuer un nettoyage

      Pour éviter que les ressources utilisées dans ce tutoriel ne soient facturées sur votre compte Google Cloud , supprimez le projet contenant les ressources, ou conservez le projet et supprimez les ressources individuelles. Pour en savoir plus, consultez la section Supprimer des ressources.

      Étape suivante