Membantu mengamankan Cloud Workstations API menggunakan Chrome Enterprise Premium

Ringkasan

Chrome Enterprise Premium adalah solusi zero trustGoogle Cloud yang memungkinkan tenaga kerja organisasi mengakses aplikasi web dengan aman dari mana saja, tanpa perlu VPN, dan untuk membantu mencegah malware, phishing, dan kehilangan data.

Dengan kecanggihan Google Chrome, Chrome Enterprise Premium memungkinkan pengguna mengakses aplikasi dari perangkat apa pun. Chrome Enterprise Premium memperluas kemampuannya untuk mengatasi beberapa tantangan keamanan utama di lingkungan developer. Dengan menggunakan kontrol akses kontekstual untuk konsolGoogle Cloud dan API, Chrome Enterprise Premium mengaktifkan keamanan tambahan untuk Cloud Workstations API.

Tabel berikut mencantumkan apakah Chrome Enterprise Premium mendukung kontrol akses berbasis konteks untuk metode akses Cloud Workstations yang ditentukan.

• Tanda centang menunjukkan bahwa Chrome Enterprise Premium membatasi metode akses Cloud Workstations ini.
• Ikon tidak didukung menunjukkan bahwa Chrome Enterprise Premium tidak membatasi metode akses Cloud Workstation ini.

Akses Cloud Workstations	Kontrol akses kontekstual Chrome Enterprise Premium
Konsol Google Cloud
gcloud CLI: Membuat, Mengedit, Menghapus resource
gcloud CLI: SSH
API: REST
API: RPC
API: Library Klien
API: akses browser
HTTP: akses browser
HTTP: SSH
HTTP: IDE JetBrains lokal
HTTP: VS Code lokal

Tujuan

Dokumen ini menjelaskan langkah-langkah yang diikuti administrator untuk menyiapkan kontrol akses Chrome Enterprise Premium untuk Cloud Workstations API dan menyediakan mekanisme tambahan yang membantu mencegah eksfiltrasi kode sumber dari IDE Cloud Workstations berbasis browser.

Biaya

Sebagai bagian dari tutorial ini, Anda mungkin perlu melibatkan tim lain (untuk penagihan atau IAM) dan Anda juga menguji kontrol akses untuk menunjukkan bahwa pembatasan Chrome Enterprise Premium sudah diterapkan.

Dalam dokumen ini, Anda akan menggunakan komponen Google Cloud yang dapat ditagih berikut: Google Cloud:

• Chrome Enterprise Premium
• Cloud Workstations

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna Google Cloud baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Workstations API.

   Enable the API

5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

   Check for the roles

   1. In the Google Cloud console, go to the IAM page.

      Go to IAM
   2. Select the project.

   3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

   4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

   Grant the roles

   1. In the Google Cloud console, go to the IAM page.

      Buka IAM
   2. Pilih project.
   3. Klik person_add Berikan akses.

   4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

   5. Di daftar Pilih peran, pilih peran.
   6. Untuk memberikan peran tambahan, klik add Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
   7. Klik Simpan.

   8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

   9. Make sure that billing is enabled for your Google Cloud project.

   10. Enable the Workstations API.

       Enable the API

   11. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

       Check for the roles

       1. In the Google Cloud console, go to the IAM page.

          Go to IAM
       2. Select the project.

       3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

       4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

       Grant the roles

       1. In the Google Cloud console, go to the IAM page.

          Buka IAM
       2. Pilih project.
       3. Klik person_add Berikan akses.

       4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

       5. Di daftar Pilih peran, pilih peran.
       6. Untuk memberikan peran tambahan, klik add Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
       7. Klik Simpan.

       8. Pastikan Anda telah menetapkan lisensi Chrome Enterprise Premium Standard kepada setiap pengguna. Hanya pengguna dengan lisensi yang memiliki kontrol akses yang diterapkan. Untuk informasi selengkapnya, lihat Menetapkan, menghapus, dan menetapkan ulang lisensi.

       Bagian 1: Menyiapkan Chrome Enterprise Premium untuk Workstation Cloud

       Bagian ini akan memandu Anda melalui langkah-langkah untuk membantu Anda mengamankan akses kontekstual ke Cloud Workstations API:

       1. Menyiapkan Cloud Workstation.
       2. Buat pengguna demo dan grup demo.
       3. Membuat tingkat akses di Access Context Manager.
       4. Aktifkan CAA Chrome Enterprise Premium.
       5. Tambahkan Google Grup yang diperlukan dengan level akses.
       6. Menguji akses developer ke Cloud Workstations.

       Menyiapkan Cloud Workstations

       Dari konsolGoogle Cloud , buat konfigurasi workstation.

       Jika Anda belum memahami Cloud Workstations, lihat penjelasan Ringkasan dan Arsitektur Cloud Workstations.

       Membuat pengguna demo dan grup demo

       Dari konsol Admin Google Workspace, buat pengguna demo dan grup pengguna baru. Jika diaktifkan, akses kontekstual (CAA) untuk konsol Google Cloud berlaku untuk semua pengguna dan grup Google karena merupakan setelan global.

       1. Login ke konsol Google Workspace Admin dengan akun administrator Anda: Menu > Direktori > Pengguna > Tambahkan Pengguna Baru.

       2. Buat pengguna demo: demo-user@<domain>.

       3. Login ke konsolGoogle Cloud dan buka Menu > IAM & Admin > Groups.

       4. Buat grup IAM untuk akses Cloud Workstations, beri nama Cloud Workstations Users, dan tetapkan pengguna demo yang dibuat sebelumnya, demo-user@<domain>.

       5. Klik Simpan.

       6. Buat juga grup administrator IAM, dan beri nama Cloud Admin Users. Tetapkan administrator project dan organisasi Anda ke grup ini.

       7. Tambahkan pengguna demo, demo-user@<domain>, ke grup pengguna Cloud Workstations yang Anda buat:

          1. Di konsolGoogle Cloud , buka Cloud Workstations > Workstations.
          2. Pilih workstation, lalu klik more_vertLainnya > Tambahkan Pengguna.
          3. Pilih pengguna demo, demo-user@<domain>, lalu pilih Cloud Workstations User sebagai Peran.
          4. Untuk memberi pengguna demo akses ke workstation, pilih demo-user@<domain>, pilih Cloud Workstations Users sebagai Peran, lalu klik Simpan.

       Membuat tingkat akses

       Kembali ke konsol Google Cloud untuk membuat tingkat akses di Access Context Manager.

       Ikuti petunjuk berikut untuk menguji akses:

       1. Dari konsolGoogle Cloud , buka Security > Access Context Manager untuk mengonfigurasi kebijakan perangkat yang dikelola perusahaan.

       2. Klik Buat tingkat akses dan isi kolom berikut:

          1. Di kolom Access level title, masukkan corpManagedDevice.
          2. Pilih mode Dasar.
          3. Di bagian Conditions, pilih True untuk mengaktifkan kondisi.
          4. Klik + Kebijakan perangkat untuk meluaskan opsi dan centang Wajibkan perangkat milik perusahaan.
          5. Klik Simpan untuk menyimpan kebijakan akses.

       Mengaktifkan CAA Chrome Enterprise Premium untuk konsol Google Cloud

       Untuk menetapkan kontrol akses berbasis konteks (CAA) ke workstation, mulai dengan mengaktifkan CAA untuk konsol Google Cloud :

       1. Dari konsolGoogle Cloud , buka Keamanan > BeyondCorp Enterprise.

       2. Klik Kelola akses ke konsol dan API Google Cloud . Tindakan ini akan mengarahkan Anda ke halaman Tingkat organisasi Chrome Enterprise Premium.

       3. Di bagian Konsol & API Google Cloud yang aman, klik Aktifkan.

       Menambahkan grup Google yang diperlukan dengan tingkat akses

       Tambahkan grup administrator yang diperlukan dengan anggota yang relevan dan kebijakan akses yang benar.

       Konsol

       1. Buat kebijakan akses administrator bernama CloudAdminAccess dengan lokasi yang ditetapkan ke region tempat administrator Anda bekerja. Hal ini memastikan bahwa administrator dapat mengakses resource meskipun kebijakan lain memblokirnya.

       2. Buat grup IAM dengan akses administrator di IAM & Admin > Grup.

          1. Pilih organisasi.
          2. Buat grup, beri nama Cloud Admin Users.
          3. Tetapkan diri Anda dan administrator lain ke grup ini.
          4. Klik Simpan.

       3. Buka Keamanan > Chrome Enterprise Premium. Klik Kelola akses dan tinjau daftar grup dan tingkat akses yang muncul.

       4. Klik Tambahkan akun utama ke konsol & API Google Cloud .

          1. Untuk Google Grup, pilih Cloud Admin Users. Ini adalah Grup Google yang Anda pilih di langkah sebelumnya.
          2. Pilih CloudAdminAccess, tingkat akses yang Anda buat untuk akses administrator.
          3. Klik Simpan.

       gcloud dan API

       Untuk mengaktifkan uji coba, ikuti tutorial uji coba Chrome Enterprise Premium.

       Menetapkan tingkat akses ke grup pengguna Cloud Workstations

       Untuk menetapkan tingkat akses ke grup pengguna Cloud Workstations:

       1. Buka Keamanan > Chrome Enterprise Premium, lalu klik Kelola akses.

       2. Tinjau daftar grup dan tingkat akses yang muncul.

       3. Klik Tambahkan akun utama ke konsol & API Google Cloud .

          1. Untuk Google Grup, pilih Pengguna Cloud Workstations. Ini adalah Grup Google yang Anda pilih di langkah sebelumnya.
          2. Pilih tingkat akses yang Anda buat sebelumnya, corpManagedDevice.
          3. Klik Simpan.

       Menguji akses developer ke Cloud Workstations

       Menguji akses developer ke Cloud Workstations API dari beberapa titik entri. Untuk perangkat milik perusahaan, pastikan developer dapat mengakses API workstation.

       • Uji apakah akses ke API workstation dari perangkat yang tidak dikelola diblokir:

         Chrome Enterprise Premium memblokir pengguna yang mencoba mengakses Cloud Workstations API. Saat pengguna mencoba login, pesan error akan muncul, yang memberi tahu pengguna bahwa mereka tidak memiliki akses atau harus memeriksa koneksi jaringan dan setelan browser.

       • Uji apakah akses ke workstation API dari perangkat milik perusahaan telah diaktifkan:

         Developer dengan akses Chrome Enterprise Premium dan Cloud Workstations harus dapat membuat workstation lalu meluncurkan workstation.

       Bagian 2: Menyiapkan kemampuan DLP Chrome Enterprise Premium

       Bagian ini mencakup langkah-langkah untuk memanfaatkan BeyondCorp Threat and Data Protection untuk mengintegrasikan fitur pencegahan kebocoran data (DLP). Hal ini membantu mencegah pemindahan kode sumber dari editor dasar Cloud Workstations (Code OSS untuk Cloud Workstations) berbasis Chrome.

       Ikuti langkah-langkah berikut untuk menyiapkan kemampuan DLP Chrome Enterprise Premium guna membantu mencegah download kode sumber:

       1. Aktifkan perlindungan data dan perlindungan terhadap ancaman.
       2. Buat aturan DLP BeyondCorp.
       3. Tinjau setelan dan buat aturan.
       4. Uji aturan DLP.

       Aktifkan perlindungan data dan perlindungan terhadap ancaman lanjutan

       Untuk mengaktifkan perlindungan data dan ancaman dari konsol Admin Google Workspace, ikuti langkah-langkah berikut:

       1. Buka Perangkat > Chrome > Setelan > Pengguna & browser.

       2. Setelah memilih ID unit organisasi (ID OU), klik Telusuri atau tambahkan filter di bagian Setelan Pengguna dan Browser, lalu pilih subjenis Kategori.

       3. Telusuri Chrome Enterprise Connectors di subjenis Kategori.

       4. Di Download analisis konten, pilih Google BeyondCorp Enterprise.

       5. Luaskan Setelan Tambahan.

          1. Pilih Tunda akses file hingga analisis selesai.
          2. Di Periksa data sensitif > Mode, pilih Aktif secara default, kecuali untuk pola URL berikut.

       6. Klik Simpan untuk menyimpan konfigurasi.

       Membuat aturan DLP Chrome Enterprise Premium

       Untuk membuat aturan DLP, ikuti langkah-langkah berikut:

       1. Buka konsol Google Workspace Admin, lalu pilih Security > Access and data control > Data protection > Manage Rules.

       2. Untuk membuat aturan baru, klik Tambahkan aturan, lalu Aturan baru. Tindakan ini akan membuka halaman Nama dan cakupan.

       3. Di bagian Nama, masukkan nama dan deskripsi. Misalnya, untuk kolom Name, masukkan CloudWorkstations-DLP-Rule1 dan, untuk kolom Description, masukkan Cloud Workstations Data Loss Prevention Rule 1.

       4. Di bagian Scope, konfigurasikan hal berikut:

          1. Pilih Unit organisasi dan/atau grup.
          2. Klik Sertakan unit organisasi, lalu pilih organisasi Anda.
          3. Klik Lanjutkan.

       5. Di bagian Apps, konfigurasikan hal berikut:

          1. Di opsi Chrome, pilih File diupload dan File didownload.
          2. Klik Lanjutkan.

       6. Di halaman Conditions, konfigurasikan hal berikut:

          1. Klik Tambahkan kondisi untuk membuat kondisi baru.
          2. Pilih Semua konten.
          3. Pilih Cocok dengan jenis data yang telah ditentukan (direkomendasikan).
          4. Untuk Pilih jenis data, pilih Dokumen—File kode sumber.
          5. Untuk kolom Nilai minimum kemungkinan, pilih Tinggi.
          6. Untuk kolom Kecocokan unik minimum, masukkan 1.
          7. Untuk kolom Jumlah kecocokan minimum, masukkan 1.
          8. Klik Lanjutkan.

       7. Di halaman Actions, konfigurasikan hal berikut:

          1. Di opsi Tindakan, pilih Chrome > Blokir konten.
          2. Di opsi Pemberitahuan, konfigurasikan hal berikut:
             • Untuk tingkat keparahan, pilih Sedang.
             • Pilih Terkirim ke pusat notifikasi.
          3. Klik Lanjutkan.

       Meninjau setelan dan membuat aturan

       Dari halaman Tinjau, tinjau setelan yang Anda konfigurasikan di halaman sebelumnya:

       1. Pastikan setelan sudah benar.
       2. Untuk melanjutkan, klik Buat.
       3. Di halaman berikutnya, pastikan Aktif dipilih.
       4. Untuk menyelesaikan pembuatan aturan, klik Selesai.

       Menguji aturan DLP

       Setelah aturan DLP ditambahkan, Anda dapat menguji dari Cloud Workstations di Chrome:

       1. Di tab Chrome baru, masukkan chrome://policy dan klik Muat ulang kebijakan untuk memastikan kebijakan Chrome diperbarui.

       2. Scroll ke bawah untuk memastikan Anda melihat daftar kebijakan. Jika Anda melihatnya, kebijakan telah berhasil dihapus. Dalam hal ini, cari kebijakan OnFileDownloadEnterpriseConnector.

       3. Buka konsolGoogle Cloud dan buat konfigurasi Cloud Workstations.

          Saat membuat konfigurasi workstation, pastikan untuk memilih Code editor on base images, lalu pilih Base Editor (Code OSS for Cloud Workstations) image dasar yang telah dikonfigurasi sebelumnya.

       4. Buat workstation.

       5. Mulai dan luncurkan workstation Anda.

       6. Akses URL Code OSS for Cloud Workstations yang muncul setelah Anda meluncurkan workstation dan terhubung ke port 80.

       7. Clone repositori dengan opsi Clone Git Repository di IDE. Setelah repositori di-clone, coba download file dengan kode sumber.

          Untuk mendownload file di tampilan Code OSS for Cloud Workstations Explorer, gunakan salah satu metode berikut:

          • Tarik file dari tampilan Explorer.

          • Buka file dan direktori yang ingin Anda gunakan, klik kanan, lalu pilih Download.

       8. Setelah didownload, kebijakan DLP akan diterapkan. Perhatikan notifikasi download diblokir yang menyatakan bahwa kebijakan organisasi Anda tidak terpenuhi:

          

       Selamat! Anda telah berhasil membantu mencegah file kode sumber didownload.

       Pembersihan

       Agar tidak dikenai biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource. Untuk mengetahui informasi selengkapnya, lihat Menghapus resource.

       Langkah selanjutnya

       • Untuk mempelajari Chrome Enterprise Premium lebih lanjut, lihat ringkasan Chrome Enterprise Premium.
       • Baca langkah-langkah umum untuk menerapkan Chrome Enterprise Premium ke Google Cloud dan resource lokal Anda.