Contribuisci a proteggere l'API Cloud Workstations utilizzando Chrome Enterprise Premium

Panoramica

Chrome Enterprise Premium è Soluzione Zero Trust di Google Cloud che consente alla forza lavoro di un'organizzazione di accedere alle applicazioni web in modo sicuro ovunque, senza la necessità di una VPN, e per prevenire malware, phishing, e perdita di dati.

Grazie alla potenza di Google Chrome, Chrome Enterprise Premium consente agli utenti di accedere le applicazioni da qualsiasi dispositivo. Chrome Enterprise Premium sta ampliando le sue funzionalità per affrontare alcune delle principali problematiche di sicurezza nell'ambiente di sviluppo. L'uso del controllo dell'accesso sensibile al contesto console Google Cloud e API. Chrome Enterprise Premium offre maggiore sicurezza per l'API Cloud Workstations.

Nella tabella seguente è indicato se Chrome Enterprise Premium supporta il controllo di accesso sensibile al contesto per il metodo di accesso alle stazioni di lavoro cloud specificato.

  • Il segno di spunta indica Chrome Enterprise Premium limita questo metodo di accesso a Cloud Workstations.
  • L'icona non supportata indica che Chrome Enterprise Premium non limita questo metodo di accesso a Cloud Workstations.

Obiettivi

Questo documento descrive i passaggi che un amministratore deve seguire per configurare il controllo degli accessi di Chrome Enterprise Premium per l'API Cloud Workstations e per fornire meccanismi aggiuntivi che aiutano a impedire l'esfiltrazione del codice sorgente dalle IDE Cloud Workstations basate su browser.

Costi

Nell'ambito di questo tutorial, potresti dover coinvolgere altri team (per la fatturazione o IAM) e testerai anche il controllo dell'accesso per dimostrare che Sono stati implementati i sistemi di protezione di Chrome Enterprise Premium.

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni altro ruolo.
    7. Fai clic su Salva.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni altro ruolo.
    7. Fai clic su Salva.

  10. Assicurati di aver assegnato un una licenza Chrome Enterprise Premium Standard per ciascuno dei tuoi utenti. Solo utenti con una licenza applichino i controlli dell'accesso. Per ulteriori informazioni, consulta Assegnare, rimuovere e riassegnare le licenze.

Parte 1: configurazione di Chrome Enterprise Premium per le workstation cloud

Questa sezione illustra i passaggi per proteggere l'accesso sensibile al contesto all'API Cloud Workstations:

  1. Configura Cloud Workstations.
  2. Crea un utente demo e un gruppo demo.
  3. Crea un livello di accesso in Gestore contesto accesso.
  4. Abilita l'accesso sensibile al contesto di Chrome Enterprise Premium.
  5. Aggiungi i gruppi Google richiesti con i livelli di accesso.
  6. Testare l'accesso degli sviluppatori a Cloud Workstations.

Configura Cloud Workstations

Dalla console Google Cloud, crea un'istanza configurazione della workstation.

Se non hai dimestichezza con Cloud Workstations, consulta il Cloud Workstations Panoramica e Architettura descrizioni.

Creare un utente demo e un gruppo demo

Nella Console di amministrazione di Google Workspace, crea un utente demo e un nuovo gruppo di utenti. Quando abilitato, l'accesso sensibile al contesto (CAA) per Google Cloud si applica a tutti gli utenti e gruppi Google perché è un le impostazioni globali.

  1. Accedi alla Console di amministrazione Google Workspace con il tuo account amministratore: Menu > Directory > Utenti > Aggiungi nuovo utente.

  2. Crea un utente demo: demo-user@<domain>.

  3. Accedi alla console Google Cloud e vai a Menu &gt; IAM e Amministratore &gt; Gruppi.

  4. Crea un gruppo IAM per l'accesso alle stazioni di lavoro Cloud, nominalo Cloud Workstations Users e assegna l'utente demo demo-user@<domain> creato in precedenza.

  5. Fai clic su Salva.

  6. Crea anche un gruppo di amministratori IAM e chiamalo Utenti amministratore cloud. Assegna gli amministratori del progetto e dell'organizzazione a questo gruppo.

  7. Aggiungi l'utente della demo demo-user@<domain> alla Gruppo di utenti Cloud Workstations che hai creato:

    1. Nella console Google Cloud, vai a Cloud Workstations &gt; Workstations.
    2. Seleziona la workstation e fai clic su more_vertAltro &gt; Aggiungi utenti.
    3. Seleziona l'utente della demo demo-user@<domain> e scegli Cloud Workstations User come Ruolo.
    4. Per concedere all'utente della demo l'accesso alla workstation, seleziona demo-user@<domain>, seleziona Cloud Workstations Users come Ruolo e fai clic su Salva.

Crea un livello di accesso

Torna alla console Google Cloud per creare un livello di accesso in Gestore contesto accesso.

Per testare l'accesso, segui queste istruzioni:

  1. Nella console Google Cloud, vai a Sicurezza > Gestore contesto accesso per configurare un criterio relativo ai dispositivi gestito dall'azienda.

  2. Fai clic su Crea livello di accesso e compila i seguenti campi:

    1. Nel campo Titolo livello di accesso, inserisci corpManagedDevice.
    2. Seleziona Modalità di base.
    3. In Condizioni, seleziona Vero per attivare la condizione.
    4. Fai clic su + Norme del dispositivo per espandere le opzioni e selezionare Richiedi dispositivo di proprietà dell'azienda.
    5. Fai clic su Salva per salvare il criterio di accesso.

Attivare la CAA di Chrome Enterprise Premium per la console Google Cloud

Per assegnare i controlli di accesso sensibile al contesto (CAA) alle workstation, inizia con Abilitazione dell'accesso sensibile al contesto per la console Google Cloud:

  1. Dalla console Google Cloud, vai a Sicurezza &gt; BeyondCorp Enterprise.

  2. Fai clic su Gestisci accesso alla console e all'API Google Cloud. Viene visualizzata la pagina Livello organizzazione di Chrome Enterprise Premium.

  3. Nella sezione Proteggi la console Google Cloud e API, fai clic su Abilita.

Aggiungi gruppi Google richiesti con livelli di accesso

Aggiungi i gruppi di amministratori richiesti con membri pertinenti e il criterio di accesso corretto.

Console

  1. Crea un criterio di accesso amministrativo denominato CloudAdminAccess con la località impostata sulle regioni in cui lavorano gli amministratori. Ciò rende assicurarti che gli amministratori possano accedere alle risorse anche quando un altro criterio li blocca.

  2. Crea un gruppo IAM con accesso amministrativo in IAM e amministrazione > Gruppi.

    1. Seleziona l'organizzazione.
    2. Crea un gruppo e chiamalo Utenti amministratore cloud.
    3. Assegna te stesso e tutti gli altri amministratori a questo gruppo.
    4. Fai clic su Salva.

  3. Vai a Sicurezza &gt; Chrome Enterprise Premium. Fai clic su Gestisci accesso ed esamina l'elenco di gruppi e livelli di accesso visualizzati.

  4. Fai clic su Aggiungi entità alla console Google Cloud e per le API.

    1. Per Google Gruppi, seleziona Cloud Admin Users (Utenti amministratori Cloud). Si tratta del gruppo Google selezionato nel passaggio precedente.
    2. Seleziona CloudAdminAccess, il livello di accesso che hai creato per l'accesso amministrativo.
    3. Fai clic su Salva.

gcloud e API

Per attivare la simulazione, segui il tutorial sulla simulazione di Chrome Enterprise Premium.

Assegnare il livello di accesso al gruppo di utenti di Cloud Workstations

Per assegnare il livello di accesso al gruppo di utenti di Cloud Workstations:

  1. Vai a Sicurezza > Chrome Enterprise Premium e fai clic su Gestisci accesso.

  2. Esamina l'elenco di gruppi e livelli di accesso visualizzato.

  3. Fai clic su Aggiungi entità alla console Google Cloud e per le API.

    1. Per Google Gruppi, seleziona Utenti Cloud Workstations. Si tratta del gruppo Google selezionato nel passaggio precedente.
    2. Seleziona il livello di accesso creato in precedenza, corpManagedDevice.
    3. Fai clic su Salva.

Testare l'accesso degli sviluppatori a Cloud Workstations

Testa l'accesso degli sviluppatori all'API Cloud Workstations da più punti di accesso. Per un dispositivo di proprietà aziendale, assicurati che gli sviluppatori possano accedere l'API workstation.

  • Verifica che l'accesso all'API della workstation da un dispositivo non gestito sia bloccato:

    Chrome Enterprise Premium blocca gli utenti che tentano di accedere a l'API Cloud Workstations. Quando gli utenti tentano di accedere, viene visualizzato un errore il messaggio di errore, rendendo l'utente a cui non ha accesso o che devi controllare la connessione di rete e le impostazioni del browser.

  • Verifica che l'accesso all'API Workstation da un dispositivo di proprietà dell'azienda sia attivo:

    Gli sviluppatori con accesso a Chrome Enterprise Premium e Cloud Workstations devono essere in grado di creare la propria workstation e poi avviarla.

Parte 2: configura le funzionalità DLP di Chrome Enterprise Premium

Questa sezione include i passaggi per sfruttare BeyondCorp Threat and Data Protection per integrare le funzionalità di prevenzione della perdita di dati (DLP). In questo modo, contribuisci a impedire l'esfiltrazione del codice sorgente dall'editor di base di Cloud Workstations (Code OSS per Cloud Workstations) basato su Chrome.

Segui questi passaggi per configurare le funzionalità DLP di Chrome Enterprise Premium Impedisci il download del codice sorgente:

  1. Attiva la protezione dei dati e dalle minacce.
  2. Crea una regola DLP BeyondCorp.
  3. Esamina le impostazioni e crea la regola.
  4. Testa la regola DLP.

Abilita la protezione dei dati e le minacce

Per abilitare la protezione dei dati e dalle minacce Nella Console di amministrazione Google Workspace, segui questi passaggi:

  1. Vai a Dispositivi > Chrome > Impostazioni > Utenti e browser.

  2. Dopo aver selezionato l'identificatore dell'unità organizzativa (ID OU), fai clic su Cerca o aggiungi un filtro in Impostazioni utente e del browser e seleziona il sottotipo Categoria.

  3. Cerca il connettore di Chrome Enterprise nel sottotipo Categoria.

  4. In Scarica analisi dei contenuti seleziona Google BeyondCorp Enterprise.

  5. Espandi Impostazioni aggiuntive.

    1. Seleziona Ritarda l'accesso al file fino al completamento dell'analisi.
    2. In Modalità Verifica la presenza di dati sensibili &gt;, seleziona Attivata per impostazione predefinita, tranne per il seguente pattern URL.

  6. Fai clic su Salva per salvare la configurazione.

Creare una regola DLP di Chrome Enterprise Premium

Per creare una regola DLP, segui questi passaggi:

  1. Vai alla Console di amministrazione Google Workspace e seleziona Sicurezza > Accesso e controllo dei dati > Protezione dei dati > Gestisci regole.

  2. Per creare una nuova regola, fai clic su Aggiungi regola e poi su Nuova regola. Si apre la pagina Nome e ambito.

  3. Nella sezione Nome, inserisci un nome e una descrizione. Ad esempio, per il campo Nome, inserisci CloudWorkstations-DLP-Rule1 e, per il Descrizione, inserisci Cloud Workstations Data Loss Prevention Rule 1.

  4. Nella sezione Ambito, configura quanto segue:

    1. Seleziona Unità organizzative e/o gruppi.
    2. Fai clic su Includi unità organizzative e seleziona la tua organizzazione.
    3. Fai clic su Continua.

  5. Nella sezione App, configura quanto segue:

    1. Nelle opzioni di Chrome, seleziona File caricato e File scaricati.
    2. Fai clic su Continua.

  6. Nella pagina Condizioni, configura quanto segue:

    1. Fai clic su Aggiungi condizione per creare una nuova condizione.
    2. Seleziona Tutti i contenuti.
    3. Seleziona Corrisponde al tipo di dati predefinito (consigliato).
    4. Per Seleziona il tipo di dati, seleziona Documenti: file di codice sorgente.
    5. Nel campo Soglia di probabilità, seleziona Alta.
    6. Nel campo Numero minimo di corrispondenze univoche, inserisci 1.
    7. Nel campo Numero di corrispondenze minimo, inserisci 1.
    8. Fai clic su Continua.

  7. Nella pagina Azioni, configura quanto segue:

    1. Nelle opzioni Azioni, seleziona Chrome > Blocca contenuti.
    2. Nelle opzioni Avvisi, configura quanto segue:
      • Per la gravità, seleziona Media.
      • Seleziona Inviati al Centro avvisi.
    3. Fai clic su Continua.

Rivedi le impostazioni e crea la regola

Nella pagina Rivedi, rivedi le impostazioni configurate in precedenza pagine:

  1. Assicurati che le impostazioni siano corrette.
  2. Per continuare, fai clic su Crea.
  3. Nella pagina successiva, assicurati che sia selezionata l'opzione Attivo.
  4. Per completare la creazione della regola, fai clic su Completa.

Testare la regola DLP

Ora che la regola DLP è stata aggiunta, puoi eseguire il test dalle stazioni di lavoro Cloud in Chrome:

  1. In una nuova scheda di Chrome, inserisci chrome://policy e fai clic su Ricarica criteri per assicurarti che il criterio di Chrome sia aggiornato.

  2. Scorri verso il basso per assicurarti di vedere un elenco di norme. Se le visualizzi, i criteri sono stati ritirati. In questo caso, cerca il criterio OnFileDownloadEnterpriseConnector.

  3. Vai alla console Google Cloud e crea una configurazione di Cloud Workstations.

    Quando crei la configurazione della workstation, assicurati di selezionare Editor di codice su immagini di base e poi l'editor di base (Code OSS per Cloud Workstations) immagine di base preconfigurata.

  4. Creare una workstation.

  5. Avvia e lancia la workstation.

  6. Accedi all'URL Code OSS for Cloud Workstations visualizzato dopo avvii la workstation e ti connetti alla porta 80.

  7. Clona un repository con l'opzione Clona repository Git nell'IDE. Dopo aver clonato il repository, prova a scaricare un file con il codice sorgente.

    Per scaricare i file nella visualizzazione Esplora di Code OSS per Cloud Workstations, utilizza uno dei seguenti metodi:

    • Trascina i file dalla visualizzazione Esplora.

    • Vai ai file e alle directory che vuoi utilizzare, fai clic con il tasto destro del mouse e scegli Scarica.

  8. Dopo il download, il criterio DLP entra in vigore. Visualizza una notifica di download bloccato che indica che i criteri della tua organizzazione non sono stati rispettati:

Complimenti! Hai contribuito a impedire il download dei file di codice sorgente.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse. Per ulteriori informazioni, consulta la sezione Eliminare le risorse.

Passaggi successivi