Membantu mengamankan Cloud Workstations API menggunakan Chrome Enterprise Premium

Ringkasan

Chrome Enterprise Premium adalah solusi zero trustGoogle Cloudyang memungkinkan tenaga kerja organisasi mengakses aplikasi web dengan aman dari mana saja, tanpa perlu VPN, dan membantu mencegah malware, phishing, dan kehilangan data.

Dengan kecanggihan Google Chrome, Chrome Enterprise Premium memungkinkan pengguna mengakses aplikasi dari perangkat mana pun. Chrome Enterprise Premium memperluas kemampuannya untuk mengatasi beberapa tantangan keamanan utama di lingkungan developer. Dengan menggunakan kontrol akses kontekstual untuk Google Cloud konsol dan API, Chrome Enterprise Premium memungkinkan keamanan tambahan untuk Cloud Workstations API.

Tabel berikut mencantumkan apakah Chrome Enterprise Premium mendukung kontrol akses yang sesuai konteks untuk metode akses Cloud Workstations yang ditentukan.

  • Tanda centang menunjukkan bahwa Chrome Enterprise Premium membatasi metode akses Cloud Workstations ini.
  • Ikon tidak didukung menunjukkan bahwa Chrome Enterprise Premium tidak membatasi metode akses Cloud Workstations ini.

Tujuan

Dokumen ini menjelaskan langkah-langkah yang dilakukan administrator untuk menyiapkan kontrol akses Chrome Enterprise Premium untuk Cloud Workstations API dan menyediakan mekanisme tambahan yang membantu mencegah eksfiltrasi kode sumber dari IDE Cloud Workstations berbasis browser.

Biaya

Sebagai bagian dari tutorial ini, Anda mungkin perlu melibatkan tim lain (untuk penagihan atau IAM) dan Anda juga menguji kontrol akses untuk menunjukkan bahwa batas aman Chrome Enterprise Premium sudah diterapkan.

Dalam dokumen ini, Anda akan menggunakan komponen Google Cloudyang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga.

Pengguna Google Cloud baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Buka IAM
    2. Pilih project.
    3. Klik Grant access.

    4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.

    5. Di daftar Select a role, pilih peran.
    6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
    7. Klik Simpan.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Buka IAM
    2. Pilih project.
    3. Klik Grant access.

    4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.

    5. Di daftar Select a role, pilih peran.
    6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
    7. Klik Simpan.

  10. Pastikan Anda telah menetapkan lisensi Chrome Enterprise Premium Standard kepada setiap pengguna. Hanya pengguna dengan lisensi yang memiliki kontrol akses yang diterapkan. Untuk mengetahui informasi selengkapnya, lihat Menetapkan, menghapus, dan menetapkan ulang lisensi.

    11. Bagian 1: Menyiapkan Chrome Enterprise Premium untuk Cloud Workstations

    Bagian ini memandu Anda melalui langkah-langkah untuk membantu Anda mengamankan akses kontekstual ke Cloud Workstations API:

    1. Siapkan Cloud Workstations.
    2. Buat pengguna demo dan grup demo.
    3. Buat tingkat akses di Access Context Manager.
    4. Aktifkan CAA Chrome Enterprise Premium.
    5. Tambahkan grup Google yang diperlukan dengan tingkat akses.
    6. Uji akses developer ke Cloud Workstations.

    Menyiapkan Cloud Workstations

    Untuk berintegrasi dengan Chrome Enterprise Premium, cluster Cloud Workstations Anda harus menggunakan Identity-Aware Proxy (IAP). Lewati bagian ini jika Anda sudah mengonfigurasi sumber daya ini.

    Untuk menyiapkan Cloud Workstations:

    1. Membuat cluster workstation dengan domain kustom.
    2. Aktifkan IAP.
    3. Buat konfigurasi workstation di cluster.

    Jika Anda baru menggunakan Cloud Workstations, lihat Ringkasan dan Arsitektur.

    Membuat pengguna demo dan grup demo

    Dari konsol Admin Google Workspace, buat pengguna demo dan grup pengguna baru. Jika diaktifkan, akses kontekstual (CAA) untuk Google Cloud konsol berlaku untuk semua pengguna dan grup Google karena merupakan setelan global.

    1. Login ke konsol Admin Google Workspace dengan akun administrator Anda: Menu > Direktori > Pengguna > Tambahkan Pengguna Baru.

    2. Buat pengguna demo: demo-user@<domain>.

    3. Login ke konsolGoogle Cloud dan buka Menu > IAM & Admin > Grup.

    4. Buat grup IAM untuk akses Cloud Workstations, beri nama Cloud Workstations Users, dan tetapkan pengguna demo yang sebelumnya dibuat, demo-user@<domain>.

    5. Klik Simpan.

    6. Buat juga grup administrator IAM, dan beri nama Cloud Admin Users. Tetapkan administrator project dan organisasi Anda ke grup ini.

    7. Tambahkan pengguna demo, demo-user@<domain>, ke grup pengguna Cloud Workstations yang Anda buat:

      1. Di Google Cloud console, buka Cloud Workstations > Workstations.
      2. Pilih workstation, lalu klik more_vertLainnya > Tambahkan Pengguna.
      3. Pilih pengguna demo, demo-user@<domain>, lalu pilih Cloud Workstations User sebagai Peran.
      4. Untuk memberi pengguna demo akses ke workstation, pilih demo-user@<domain>, pilih Cloud Workstations Users sebagai Peran, lalu klik Simpan.

    Buat tingkat akses

    Kembali ke konsol Google Cloud untuk membuat tingkat akses di Access Context Manager.

    Ikuti petunjuk berikut untuk menguji akses:

    1. Dari konsolGoogle Cloud , buka Security > Access Context Manager untuk mengonfigurasi kebijakan perangkat yang dikelola perusahaan.

    2. Klik Buat tingkat akses dan isi kolom berikut:

      1. Di kolom Judul tingkat akses, masukkan corpManagedDevice.
      2. Pilih mode Dasar.
      3. Di bagian Kondisi, pilih Benar untuk mengaktifkan kondisi.
      4. Klik + Kebijakan Perangkat untuk meluaskan opsi dan centang Wajibkan perangkat milik perusahaan.
      5. Klik Simpan untuk menyimpan kebijakan akses.

    Mengaktifkan CAA Chrome Enterprise Premium untuk konsol Google Cloud

    Untuk menetapkan kontrol akses kontekstual (CAA) ke workstation, mulai dengan mengaktifkan CAA untuk konsol: Google Cloud

    1. Dari Google Cloud konsol, buka Keamanan > BeyondCorp Enterprise.

    2. Klik Kelola akses ke Google Cloud konsol dan API. Tindakan ini akan mengarahkan Anda ke halaman Tingkat organisasi Chrome Enterprise Premium.

    3. Di bagian Secure Google Cloud console & APIs, klik Enable.

    Menambahkan grup Google yang diperlukan dengan tingkat akses

    Tambahkan grup administrator yang diperlukan dengan anggota yang relevan dan kebijakan akses yang benar.

    Konsol

    1. Buat kebijakan akses administrator bernama CloudAdminAccess dengan lokasi yang ditetapkan ke region tempat administrator Anda bekerja. Hal ini memastikan bahwa administrator dapat mengakses resource meskipun kebijakan lain memblokirnya.

    2. Buat grup IAM dengan akses administrator di IAM & Admin > Groups.

      1. Pilih organisasi.
      2. Buat grup, beri nama Pengguna Admin Cloud.
      3. Tetapkan diri Anda dan administrator lainnya ke grup ini.
      4. Klik Simpan.

    3. Buka Keamanan > Chrome Enterprise Premium. Klik Kelola akses dan tinjau daftar grup dan tingkat akses yang muncul.

    4. Klik Tambahkan prinsipal ke Google Cloud konsol & API.

      1. Untuk Google Grup, pilih Pengguna Admin Cloud. Ini adalah Grup Google yang Anda pilih pada langkah sebelumnya.
      2. Pilih CloudAdminAccess, tingkat akses yang Anda buat untuk akses administrator.
      3. Klik Simpan.

    gcloud dan API

    Untuk mengaktifkan uji coba, ikuti tutorial uji coba Chrome Enterprise Premium.

    Menetapkan tingkat akses ke grup pengguna Cloud Workstations

    Untuk menetapkan tingkat akses ke grup pengguna Cloud Workstations:

    1. Buka Keamanan > Chrome Enterprise Premium, lalu klik Kelola akses.

    2. Tinjau daftar grup dan tingkat akses yang muncul.

    3. Klik Tambahkan prinsipal ke Google Cloud konsol & API.

      1. Untuk Google Grup, pilih Pengguna Cloud Workstations. Ini adalah Grup Google yang Anda pilih pada langkah sebelumnya.
      2. Pilih tingkat akses yang Anda buat sebelumnya, corpManagedDevice.
      3. Klik Simpan.

    Menguji akses developer ke Cloud Workstations

    Uji akses developer ke Cloud Workstations API dari beberapa titik masuk. Untuk perangkat milik perusahaan, pastikan developer dapat mengakses API workstation.

    • Uji bahwa akses ke API workstation dari perangkat yang tidak dikelola diblokir:

      Chrome Enterprise Premium memblokir pengguna yang mencoba mengakses Cloud Workstations API. Saat pengguna mencoba login, pesan error akan muncul, yang memberitahukan bahwa pengguna tidak memiliki akses atau bahwa pengguna harus memeriksa koneksi jaringan dan setelan browser.

    • Uji bahwa akses ke API workstation dari perangkat milik perusahaan diaktifkan:

      Developer dengan akses Chrome Enterprise Premium dan Cloud Workstations seharusnya dapat membuat workstation mereka lalu meluncurkan workstation mereka.

    Bagian 2: Menyiapkan kemampuan DLP Chrome Enterprise Premium

    Bagian ini mencakup langkah-langkah untuk memanfaatkan BeyondCorp Threat and Data Protection guna mengintegrasikan fitur pencegahan kebocoran data (DLP). Hal ini membantu mencegah pemindahan yang tidak sah kode sumber dari editor dasar Cloud Workstations berbasis Chrome, (Code OSS untuk Cloud Workstations).

    Ikuti langkah-langkah berikut untuk menyiapkan kemampuan DLP Chrome Enterprise Premium guna membantu mencegah download kode sumber:

    1. Aktifkan perlindungan data dan perlindungan terhadap ancaman lanjutan.
    2. Buat aturan DLP BeyondCorp.
    3. Tinjau setelan dan buat aturan.
    4. Uji aturan DLP.

    Aktifkan perlindungan data dan perlindungan terhadap ancaman lanjutan

    Untuk mengaktifkan perlindungan data dan ancaman dari konsol Admin Google Workspace, ikuti langkah-langkah berikut:

    1. Buka Perangkat > Chrome > Setelan > Pengguna & browser.

    2. Setelah Anda memilih ID unit organisasi (OU ID), klik Telusuri atau tambahkan filter di bagian Setelan Pengguna dan Browser, lalu pilih subjenis Kategori.

    3. Telusuri Chrome Enterprise connector di subjenis Category.

    4. Di Download analisis konten, pilih Google BeyondCorp Enterprise.

    5. Luaskan Setelan Tambahan.

      1. Pilih Tunda akses file hingga analisis selesai.
      2. Di Periksa data sensitif > Mode, pilih Aktif secara default, kecuali untuk pola URL berikut.

    6. Klik Simpan untuk menyimpan konfigurasi.

    Membuat aturan DLP Chrome Enterprise Premium

    Untuk membuat aturan DLP, ikuti langkah-langkah berikut:

    1. Buka konsol Admin Google Workspace, lalu pilih Keamanan > Kontrol data dan akses > Perlindungan data > Kelola Aturan.

    2. Untuk membuat aturan baru, klik Tambahkan aturan, lalu Aturan baru. Tindakan ini akan membuka halaman Nama dan cakupan.

    3. Di bagian Nama, masukkan nama dan deskripsi. Misalnya, untuk kolom Name, masukkan CloudWorkstations-DLP-Rule1 dan, untuk kolom Description, masukkan Cloud Workstations Data Loss Prevention Rule 1.

    4. Di bagian Cakupan, konfigurasikan hal berikut:

      1. Pilih Unit organisasi dan/atau grup.
      2. Klik Sertakan unit organisasi, lalu pilih organisasi Anda.
      3. Klik Lanjutkan.

    5. Di bagian Aplikasi, konfigurasikan hal berikut:

      1. Di opsi Chrome, pilih File diupload dan File didownload.
      2. Klik Lanjutkan.

    6. Di halaman Kondisi, konfigurasikan hal berikut:

      1. Klik Tambahkan kondisi untuk membuat kondisi baru.
      2. Pilih Semua konten.
      3. Pilih Cocok dengan jenis data yang telah ditentukan (disarankan).
      4. Untuk Pilih jenis data, pilih Dokumen—File kode sumber.
      5. Untuk kolom Nilai minimum kemungkinan, pilih Tinggi.
      6. Untuk kolom Kecocokan unik minimum, masukkan 1.
      7. Untuk kolom Jumlah kecocokan minimum, masukkan 1.
      8. Klik Lanjutkan.

    7. Di halaman Tindakan, konfigurasikan hal berikut:

      1. Di opsi Tindakan, pilih Chrome > Blokir konten.
      2. Di opsi Pemberitahuan, konfigurasikan hal berikut:
        • Untuk tingkat keseriusan, pilih Sedang.
        • Pilih Dikirim ke pusat notifikasi.
      3. Klik Lanjutkan.

    Meninjau setelan dan membuat aturan

    Dari halaman Tinjau, tinjau setelan yang Anda konfigurasi di halaman sebelumnya:

    1. Pastikan setelannya sudah benar.
    2. Untuk melanjutkan, klik Buat.
    3. Di halaman berikutnya, pastikan Aktif dipilih.
    4. Untuk menyelesaikan pembuatan aturan, klik Selesai.

    Menguji aturan DLP

    Setelah aturan DLP ditambahkan, Anda dapat mengujinya dari Cloud Workstations di Chrome:

    1. Di tab Chrome baru, masukkan chrome://policy, lalu klik Muat ulang kebijakan untuk memastikan kebijakan Chrome diperbarui.

    2. Scroll ke bawah untuk memastikan Anda melihat daftar kebijakan. Jika Anda melihat ini, kebijakan telah berhasil ditarik. Dalam hal ini, cari kebijakan OnFileDownloadEnterpriseConnector.

    3. Buka konsolGoogle Cloud dan buat konfigurasi Cloud Workstations.

      Saat membuat konfigurasi workstation, pastikan untuk memilih Code editors on base images, lalu pilih Base Editor (Code OSS for Cloud Workstations) image dasar yang telah dikonfigurasi sebelumnya.

    4. Buat workstation.

    5. Mulai dan luncurkan workstation Anda.

    6. Akses URL Code OSS for Cloud Workstations yang muncul setelah Anda meluncurkan workstation dan terhubung ke port 80.

    7. Clone repositori dengan opsi Clone Git Repository di IDE. Setelah repositori di-clone, coba download file dengan kode sumber.

      Untuk mendownload file di tampilan Code OSS for Cloud Workstations Explorer, gunakan salah satu metode berikut:

      • Tarik file dari tampilan Explorer.

      • Buka file dan direktori yang ingin Anda gunakan, klik kanan, lalu pilih Download.

    8. Setelah didownload, kebijakan DLP akan berlaku. Melihat notifikasi download diblokir yang menyatakan bahwa kebijakan organisasi Anda tidak terpenuhi:

    Selamat! Anda telah berhasil membantu mencegah file kode sumber didownload.

    Pembersihan

    Agar tidak dikenai biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource. Untuk mengetahui informasi selengkapnya, lihat Menghapus resource.

    Langkah berikutnya