Contribuire a proteggere l'API Cloud Workstations utilizzando Chrome Enterprise Premium

Panoramica

Chrome Enterprise Premium è la soluzione Zero Trust diGoogle Cloudche consente agli utenti di un'organizzazione di accedere alle applicazioni web in tutta sicurezza ovunque, senza bisogno di una VPN, e di contribuire a prevenire malware, phishing e perdita di dati.

Grazie alla potenza di Google Chrome, Chrome Enterprise Premium consente agli utenti di accedere alle applicazioni da qualsiasi dispositivo. Chrome Enterprise Premium sta ampliando le proprie funzionalità per risolvere alcune importanti sfide di sicurezza nell'ambiente di sviluppo. Utilizzando il controllo dell'accesso sensibile al contesto per la console Google Cloud e le API, Chrome Enterprise Premium abilita una maggiore sicurezza per l'API Cloud Workstations.

Nella tabella seguente è indicato se Chrome Enterprise Premium supporta il controllo dell'accesso basato sul contesto per il metodo di accesso a Cloud Workstations specificato.

  • Il segno di spunta indica che Chrome Enterprise Premium limita questo metodo di accesso a Cloud Workstations.
  • L'icona non supportata indica che Chrome Enterprise Premium non limita questo metodo di accesso alle stazioni di lavoro cloud.

Obiettivi

Questo documento descrive i passaggi che un amministratore deve seguire per configurare il controllo degli accessi di Chrome Enterprise Premium per l'API Cloud Workstations e per fornire meccanismi aggiuntivi che aiutano a impedire l'esfiltrazione del codice sorgente dalle IDE Cloud Workstations basate su browser.

Costi

Nell'ambito di questo tutorial, potrebbe essere necessario coinvolgere altri team (per la fatturazione o l'IAM) e testare anche il controllo dell'accesso per dimostrare che sono presenti i guardrail di Chrome Enterprise Premium.

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi Google Cloud utenti potrebbero avere diritto a una prova gratuita.

Al termine delle attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la sezione Pulizia.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi accesso.

    4. Nel campo Nuovi principali, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Make sure that billing is enabled for your Google Cloud project.

    10. Enable the Workstations API.

      Enable the API

    11. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Vai a IAM
      2. Seleziona il progetto.
      3. Fai clic su Concedi accesso.

      4. Nel campo Nuovi principali, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

      5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
      6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
      7. Fai clic su Salva.

      8. Assicurati di aver assegnato una licenza Chrome Enterprise Premium Standard a ogni utente. Solo per gli utenti con una licenza vengono applicati i controlli di accesso. Per ulteriori informazioni, consulta Assegnare, rimuovere e riassegnare le licenze.

      Parte 1: configurazione di Chrome Enterprise Premium per le workstation cloud

      Questa sezione illustra i passaggi per aiutarti a proteggere l'accesso sensibile al contesto all'API Cloud Workstations:

      1. Configura Cloud Workstations.
      2. Crea un utente demo e un gruppo demo.
      3. Crea un livello di accesso in Gestore contesto accesso.
      4. Abilita l'accesso sensibile al contesto di Chrome Enterprise Premium.
      5. Aggiungi i gruppi Google richiesti con i livelli di accesso.
      6. Testa l'accesso degli sviluppatori a Cloud Workstations.

      Configurare Cloud Workstations

      Dalla console Google Cloud, crea una configurazione della workstation.

      Se non hai dimestichezza con Cloud Workstations, consulta le descrizioni della panoramica e dell'architettura di Cloud Workstations.

      Creare un utente demo e un gruppo demo

      Nella Console di amministrazione Google Workspace, crea un utente demo e un nuovo gruppo di utenti. Se abilitato, l'accesso sensibile al contesto (CAA) per la console Google Cloud si applica a tutti gli utenti e ai gruppi Google perché si tratta di un'impostazione globale.

      1. Accedi alla Console di amministrazione Google Workspace con il tuo account amministratore: Menu > Directory > Utenti > Aggiungi nuovo utente.

      2. Crea un utente demo: demo-user@<domain>.

      3. Accedi alla console Google Cloud e vai a Menu > IAM e amministrazione > Gruppi.

      4. Crea un gruppo IAM per l'accesso alle stazioni di lavoro Cloud, nominalo Cloud Workstations Users e assegna l'utente demo demo-user@<domain> creato in precedenza.

      5. Fai clic su Salva.

      6. Crea anche un gruppo di amministratori IAM e chiamalo Utenti amministratore cloud. Assegna gli amministratori del progetto e dell'organizzazione a questo gruppo.

      7. Aggiungi l'utente demo demo-user@<domain> al gruppo di utenti Cloud Workstations che hai creato:

        1. Nella console Google Cloud, vai a Cloud Workstations > Workstations.
        2. Seleziona la workstation, quindi fai clic su more_vertAltro > Aggiungi utenti.
        3. Seleziona l'utente demo demo-user@<domain> e Cloud Workstations User come Ruolo.
        4. Per concedere all'utente demo l'accesso alla workstation, seleziona demo-user@<domain>, seleziona Cloud Workstations Users come Ruolo e fai clic su Salva.

      Crea un livello di accesso

      Torna alla console Google Cloud per creare un livello di accesso in Gestore contesto accesso.

      Per testare l'accesso, segui queste istruzioni:

      1. Nella console Google Cloud, vai a Sicurezza > Gestore contesto accesso per configurare un criterio relativo ai dispositivi gestito dall'azienda.

      2. Fai clic su Crea livello di accesso e compila i seguenti campi:

        1. Nel campo Titolo livello di accesso, inserisci corpManagedDevice.
        2. Seleziona la modalità Di base.
        3. In Condizioni, seleziona Vero per attivare la condizione.
        4. Fai clic su + Norme relative ai dispositivi per espandere le opzioni e selezionare Richiedi dispositivo di proprietà dell'azienda.
        5. Fai clic su Salva per salvare il criterio di accesso.

      Attivare la CAA di Chrome Enterprise Premium per la console Google Cloud

      Per assegnare i controlli di accesso sensibili al contesto (CAA) alle workstation, inizia attivandoli per la console Google Cloud:

      1. Nella console Google Cloud, vai a Sicurezza > BeyondCorp Enterprise.

      2. Fai clic su Gestisci l'accesso alla console e all'API Google Cloud. Viene visualizzata la pagina A livello di organizzazione di Chrome Enterprise Premium.

      3. Nella sezione Proteggi la console e le API Google Cloud, fai clic su Abilita.

      Aggiungi i gruppi Google richiesti con i livelli di accesso

      Aggiungi i gruppi di amministratori richiesti con membri pertinenti e il criterio di accesso corretto.

      Console

      1. Crea un criterio di accesso amministrativo denominato CloudAdminAccess con la località impostata sulle regioni in cui lavorano gli amministratori. In questo modo, gli amministratori possono accedere alle risorse anche quando un altro criterio le blocca.

      2. Crea un gruppo IAM con accesso amministrativo in IAM e amministrazione > Gruppi.

        1. Seleziona l'organizzazione.
        2. Crea un gruppo e chiamalo Utenti amministratore cloud.
        3. Assegna te stesso e gli altri amministratori a questo gruppo.
        4. Fai clic su Salva.

      3. Vai a Sicurezza > Chrome Enterprise Premium. Fai clic su Gestisci accesso ed esamina l'elenco dei gruppi e dei livelli di accesso visualizzati.

      4. Fai clic su Aggiungi entità a Google Cloud console e API.

        1. Per Google Gruppi, seleziona Utenti amministratore cloud. Si tratta del gruppo Google selezionato nel passaggio precedente.
        2. Seleziona CloudAdminAccess, il livello di accesso che hai creato per l'accesso amministrativo.
        3. Fai clic su Salva.

      gcloud e API

      Per attivare la simulazione, segui il tutorial sulla simulazione di Chrome Enterprise Premium.

      Assegnare il livello di accesso al gruppo di utenti di Cloud Workstations

      Per assegnare il livello di accesso al gruppo di utenti di Cloud Workstations:

      1. Vai a Sicurezza > Chrome Enterprise Premium e fai clic su Gestisci accesso.

      2. Esamina l'elenco di gruppi e livelli di accesso visualizzato.

      3. Fai clic su Aggiungi entità a Google Cloud console e API.

        1. Per Google Gruppi, seleziona Utenti Cloud Workstations. Si tratta del gruppo Google selezionato nel passaggio precedente.
        2. Seleziona il livello di accesso creato in precedenza, corpManagedDevice.
        3. Fai clic su Salva.

      Testare l'accesso degli sviluppatori a Cloud Workstations

      Testa l'accesso degli sviluppatori all'API Cloud Workstations da più punti di accesso. Per un dispositivo di proprietà dell'azienda, assicurati che gli sviluppatori possano accedere all'API della workstation.

      • Verifica che l'accesso all'API della workstation da un dispositivo non gestito sia bloccato:

        Chrome Enterprise Premium blocca gli utenti che tentano di accedere all'API Cloud Workstations. Quando gli utenti tentano di accedere, viene visualizzato un messaggio di errore che indica che non hanno accesso o che devono controllare la connessione di rete e le impostazioni del browser.

      • Verifica che l'accesso all'API Workstation da un dispositivo di proprietà dell'azienda sia attivo:

        Gli sviluppatori con accesso a Chrome Enterprise Premium e Cloud Workstations devono essere in grado di creare la propria workstation e poi avviarla.

      Parte 2: configurare le funzionalità DLP di Chrome Enterprise Premium

      Questa sezione include i passaggi per sfruttare BeyondCorp Threat and Data Protection per integrare le funzionalità di prevenzione della perdita di dati (DLP). In questo modo, contribuisci a impedire l'esfiltrazione del codice sorgente dall'editor di base di Cloud Workstations (Code OSS per Cloud Workstations) basato su Chrome.

      Per configurare le funzionalità DLP di Chrome Enterprise Premium al fine di contribuire a impedire il download del codice sorgente, segui questi passaggi:

      1. Attiva la protezione dei dati e dalle minacce.
      2. Crea una regola DLP BeyondCorp.
      3. Rivedi le impostazioni e crea la regola.
      4. Testa la regola DLP.

      Attivare la protezione dei dati e dalle minacce

      Per attivare la protezione dalle minacce e dei dati dalla Console di amministrazione di Google Workspace:

      1. Vai a Dispositivi > Chrome > Impostazioni > Utenti e browser.

      2. Dopo aver selezionato l'identificatore dell'unità organizzativa (ID OU), fai clic su Cerca o aggiungi un filtro in Impostazioni utente e del browser e seleziona il sottotipo Categoria.

      3. Cerca il connettore Chrome Enterprise nel sottotipo Categoria.

      4. In Scarica analisi dei contenuti, seleziona Google BeyondCorp Enterprise.

      5. Espandi Impostazioni aggiuntive.

        1. Seleziona Ritarda l'accesso al file fino al completamento dell'analisi.
        2. In Verifica la presenza di dati sensibili > Modalità, seleziona Attivata per impostazione predefinita, esclusi i seguenti pattern URL.

      6. Fai clic su Salva per salvare la configurazione.

      Creare una regola DLP di Chrome Enterprise Premium

      Per creare una regola DLP:

      1. Vai alla Console di amministrazione Google Workspace e seleziona Sicurezza > Accesso e controllo dei dati > Protezione dei dati > Gestisci regole.

      2. Per creare una nuova regola, fai clic su Aggiungi regola e poi su Nuova regola. Si aprirà la pagina Nome e ambito.

      3. Nella sezione Nome, inserisci un nome e una descrizione. Ad esempio, per il campo Nome, inserisci CloudWorkstations-DLP-Rule1 e, per il Descrizione, inserisci Cloud Workstations Data Loss Prevention Rule 1.

      4. Nella sezione Ambito, configura quanto segue:

        1. Seleziona Unità organizzative e/o gruppi.
        2. Fai clic su Includi unità organizzative e seleziona la tua organizzazione.
        3. Fai clic su Continua.

      5. Nella sezione App, configura quanto segue:

        1. Nelle opzioni di Chrome, seleziona File caricato e File scaricato.
        2. Fai clic su Continua.

      6. Nella pagina Condizioni, configura quanto segue:

        1. Fai clic su Aggiungi condizione per creare una nuova condizione.
        2. Seleziona Tutti i contenuti.
        3. Seleziona Corrisponde al tipo di dati predefinito (consigliato).
        4. In Seleziona il tipo di dati, seleziona Documenti - File di codice sorgente.
        5. Per il campo Soglia di probabilità, seleziona Alta.
        6. Nel campo Numero minimo di corrispondenze univoche, inserisci 1.
        7. Nel campo Numero di corrispondenze minimo, inserisci 1.
        8. Fai clic su Continua.

      7. Nella pagina Azioni, configura quanto segue:

        1. Nelle opzioni Azioni, seleziona Chrome > Blocca contenuti.
        2. Nelle opzioni Avvisi, configura quanto segue:
          • Per la gravità, seleziona Media.
          • Seleziona Inviati al Centro avvisi.
        3. Fai clic su Continua.

      Rivedi le impostazioni e crea la regola

      Nella pagina Rivedi, controlla le impostazioni configurate nelle pagine precedenti:

      1. Assicurati che le impostazioni siano corrette.
      2. Per continuare, fai clic su Crea.
      3. Nella pagina successiva, assicurati che sia selezionata l'opzione Attivo.
      4. Per completare la creazione della regola, fai clic su Completa.

      Testare la regola DLP

      Ora che la regola DLP è stata aggiunta, puoi eseguire il test dalle stazioni di lavoro Cloud in Chrome:

      1. In una nuova scheda di Chrome, inserisci chrome://policy e fai clic su Ricarica criteri per assicurarti che il criterio di Chrome sia aggiornato.

      2. Scorri verso il basso per assicurarti di vedere un elenco di norme. Se vedi questi messaggi, significa che i criteri sono stati scaricati correttamente. In questo caso, cerca il criterio OnFileDownloadEnterpriseConnector.

      3. Vai alla console Google Cloud e crea una configurazione di Cloud Workstations.

        Quando crei la configurazione della workstation, assicurati di selezionare Editor di codice su immagini di base e poi l'editor di base (Code OSS per Cloud Workstations) immagine di base preconfigurata.

      4. Creare una workstation.

      5. Avvia e lancia la workstation.

      6. Accedi all'URL Code OSS per Cloud Workstations visualizzato dopo aver avviato la workstation e connettiti alla porta 80.

      7. Clona un repository con l'opzione Clona repository Git nell'IDE. Dopo aver clonato il repository, prova a scaricare un file con il codice sorgente.

        Per scaricare i file nella visualizzazione Esplora di Code OSS per Cloud Workstations, utilizza uno dei seguenti metodi:

        • Trascina i file dalla visualizzazione Esplora.

        • Vai ai file e alle directory che vuoi utilizzare, fai clic con il tasto destro del mouse e scegli Scarica.

      8. Al termine del download, il criterio DLP viene applicato. Visualizza una notifica di download bloccato che indica che i criteri della tua organizzazione non sono stati rispettati:

      Complimenti! Hai contribuito a impedire il download dei file di codice sorgente.

      Esegui la pulizia

      Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse. Per ulteriori informazioni, consulta la sezione Eliminare le risorse.

      Passaggi successivi