Contribuire a proteggere l'API Cloud Workstations utilizzando Chrome Enterprise Premium

Panoramica

Chrome Enterprise Premium è la soluzione Zero Trust di Google Cloudche consente agli utenti di un'organizzazione di accedere alle applicazioni web in tutta sicurezza ovunque, senza bisogno di una VPN, e di contribuire a prevenire malware, phishing e perdita di dati.

Grazie alla potenza di Google Chrome, Chrome Enterprise Premium consente agli utenti di accedere alle applicazioni da qualsiasi dispositivo. Chrome Enterprise Premium sta ampliando le sue funzionalità per affrontare alcune sfide di sicurezza chiave nell'ambiente di sviluppo. Utilizzando controllo dell'accesso sensibile al contesto per Google Cloud console e API, Chrome Enterprise Premium consente una maggiore sicurezza per l'API Cloud Workstations.

La tabella seguente indica se Chrome Enterprise Premium supporta il controllo dell'accesso sensibile al contesto per il metodo di accesso a Cloud Workstations specificato.

  • Il segno di spunta indica che Chrome Enterprise Premium limita questo metodo di accesso a Cloud Workstations.
  • L'icona non supportata indica che Chrome Enterprise Premium non limita questo metodo di accesso a Cloud Workstations.

Obiettivi

Questo documento descrive i passaggi che un amministratore segue per configurare il controllo dell'accesso a Chrome Enterprise Premium per l'API Cloud Workstations e per fornire meccanismi aggiuntivi che aiutano a impedire l'esfiltrazione del codice sorgente dagli IDE Cloud Workstations basati su browser.

Costi

Nell'ambito di questo tutorial, potrebbe essere necessario coinvolgere altri team (per la fatturazione o IAM) e testare anche il controllo dell'accesso per dimostrare che sono in vigore le misure di protezione di Chrome Enterprise Premium.

In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il calcolatore prezzi.

I nuovi utenti di Google Cloud potrebbero avere diritto a una prova senza costi.

Al termine delle attività descritte in questo documento, puoi evitare l'addebito di ulteriori costi eliminando le risorse che hai creato. Per ulteriori informazioni, vedi Pulizia.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci il tuo identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci il tuo identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

  10. Assicurati di aver assegnato una licenza Chrome Enterprise Premium Standard a ciascuno dei tuoi utenti. Solo gli utenti con licenza hanno controlli di accesso applicati. Per ulteriori informazioni, vedi Assegnare, rimuovere e riassegnare le licenze.

    11. Parte 1: configura Chrome Enterprise Premium per Cloud Workstations

    Questa sezione descrive i passaggi per proteggere l'accesso sensibile al contesto all'API Cloud Workstations:

    1. Configura Cloud Workstations.
    2. Crea un utente demo e un gruppo demo.
    3. Crea un livello di accesso in Gestore contesto accesso.
    4. Abilita l'accesso sensibile al contesto di Chrome Enterprise Premium.
    5. Aggiungi i gruppi Google richiesti con i livelli di accesso.
    6. Testa l'accesso degli sviluppatori a Cloud Workstations.

    Configura Cloud Workstations

    Per l'integrazione con Chrome Enterprise Premium, il cluster Cloud Workstations deve utilizzare Identity-Aware Proxy (IAP). Salta questa sezione se hai già configurato queste risorse.

    Per configurare Cloud Workstations:

    1. Crea un cluster di workstation con un dominio personalizzato.
    2. Abilita IAP.
    3. Crea una configurazione della workstation nel cluster.

    Se non hai mai utilizzato Cloud Workstations, consulta la panoramica e l'architettura.

    Crea un utente demo e un gruppo demo

    Nella Console di amministrazione Google Workspace, crea un utente demo e un nuovo gruppo di utenti. Se attivato, l'accesso sensibile al contesto (CAA) per la consoleGoogle Cloud si applica a tutti gli utenti e ai gruppi Google perché è un'impostazione globale.

    1. Accedi alla Console di amministrazione Google Workspace con il tuo account amministratore: Menu > Directory > Utenti > Aggiungi nuovo utente.

    2. Crea un utente demo: demo-user@<domain>.

    3. Accedi alla Google Cloud console e vai a Menu > IAM e amministrazione > Gruppi.

    4. Crea un gruppo IAM per l'accesso a Cloud Workstations, assegnagli il nome Cloud Workstations Users e assegna l'utente demo creato in precedenza, demo-user@<domain>.

    5. Fai clic su Salva.

    6. Crea anche un gruppo di amministratori IAM e chiamalo Cloud Admin Users. Assegna a questo gruppo gli amministratori del progetto e dell'organizzazione.

    7. Aggiungi l'utente demo, demo-user@<domain>, al gruppo di utenti Cloud Workstations che hai creato:

      1. Nella Google Cloud console, vai a Cloud Workstations > Workstations.
      2. Seleziona la workstation, quindi fai clic su more_vertAltro > Aggiungi utenti.
      3. Seleziona l'utente demo demo-user@<domain> e seleziona Cloud Workstations User come Ruolo.
      4. Per concedere all'utente demo l'accesso alla workstation, seleziona demo-user@<domain>, seleziona Cloud Workstations Users come Ruolo e fai clic su Salva.

    Crea un livello di accesso

    Torna alla console Google Cloud per creare un livello di accesso in Gestore contesto accesso.

    Per testare l'accesso, segui queste istruzioni:

    1. Dalla consoleGoogle Cloud , vai a Sicurezza > Gestore contesto accesso per configurare un criterio per i dispositivi gestiti dall'azienda.

    2. Fai clic su Crea livello di accesso e compila i seguenti campi:

      1. Nel campo Titolo livello di accesso, inserisci corpManagedDevice.
      2. Seleziona la modalità Di base.
      3. In Condizioni, seleziona Vero per attivare la condizione.
      4. Fai clic su + Policy dispositivo per espandere le opzioni e seleziona Richiedi dispositivo di proprietà aziendale.
      5. Fai clic su Salva per salvare la policy di accesso.

    Attiva Chrome Enterprise Premium CAA per la console Google Cloud

    Per assegnare controlli di accesso sensibile al contesto (CAA) alle workstation, inizia attivando CAA per la Google Cloud console:

    1. Dalla Google Cloud console, vai a Sicurezza > BeyondCorp Enterprise.

    2. Fai clic su Gestisci l'accesso alla Google Cloud console e all'API. Viene visualizzata la pagina Livello organizzazione di Chrome Enterprise Premium.

    3. Nella sezione Console e API Google Cloud sicure, fai clic su Abilita.

    Aggiungere i gruppi Google richiesti con i livelli di accesso

    Aggiungi i gruppi di amministratori richiesti con i membri pertinenti e il criterio di accesso corretto.

    Console

    1. Crea un criterio di accesso amministratore denominato CloudAdminAccess con la località impostata sulle regioni in cui lavorano gli amministratori. In questo modo, gli amministratori possono accedere alle risorse anche quando un altro criterio le blocca.

    2. Crea un gruppo IAM con accesso amministratore in IAM e amministrazione > Gruppi.

      1. Seleziona l'organizzazione.
      2. Crea un gruppo, chiamalo Cloud Admin Users.
      3. Assegna a te e a tutti gli altri amministratori questo gruppo.
      4. Fai clic su Salva.

    3. Vai a Sicurezza > Chrome Enterprise Premium. Fai clic su Gestisci accesso ed esamina l'elenco dei gruppi e dei livelli di accesso visualizzati.

    4. Fai clic su Aggiungi entità a console di Google Cloud e API.

      1. Per Google Gruppi, seleziona Utenti amministratore cloud. Questo è il gruppo Google che hai selezionato nel passaggio precedente.
      2. Seleziona CloudAdminAccess, il livello di accesso che hai creato per l'accesso amministratore.
      3. Fai clic su Salva.

    gcloud e API

    Per abilitare la prova generale, segui il tutorial sulla prova generale di Chrome Enterprise Premium.

    Assegnare il livello di accesso al gruppo di utenti di Cloud Workstations

    Per assegnare il livello di accesso al gruppo di utenti di Cloud Workstations:

    1. Vai a Sicurezza > Chrome Enterprise Premium e fai clic su Gestisci accesso.

    2. Esamina l'elenco di gruppi e livelli di accesso visualizzati.

    3. Fai clic su Aggiungi entità a console di Google Cloud e API.

      1. Per Google Gruppi, seleziona Utenti Cloud Workstations. Questo è il gruppo Google che hai selezionato nel passaggio precedente.
      2. Seleziona il livello di accesso che hai creato in precedenza, corpManagedDevice.
      3. Fai clic su Salva.

    Testare l'accesso degli sviluppatori a Cloud Workstations

    Testa l'accesso degli sviluppatori all'API Cloud Workstations da più punti di accesso. Per un dispositivo di proprietà aziendale, assicurati che gli sviluppatori possano accedere all'API workstation.

    • Verifica che l'accesso all'API workstation da un dispositivo non gestito sia bloccato:

      Chrome Enterprise Premium blocca gli utenti che tentano di accedere all'API Cloud Workstations. Quando gli utenti tentano di accedere, viene visualizzato un messaggio di errore che li avvisa che non hanno accesso o che devono controllare la connessione di rete e le impostazioni del browser.

    • Verifica che l'accesso all'API workstation da un dispositivo di proprietà aziendale sia attivato:

      Gli sviluppatori con accesso a Chrome Enterprise Premium e Cloud Workstations devono essere in grado di creare la propria workstation e poi avviarla.

    Parte 2: configura le funzionalità DLP di Chrome Enterprise Premium

    Questa sezione include i passaggi per sfruttare le funzionalità di protezione dei dati e dalle minacce di BeyondCorp per integrare le funzionalità di prevenzione della perdita di dati (DLP). In questo modo si impedisce l'esfiltrazione del codice sorgente dall'editor di base di Cloud Workstations (Code OSS per Cloud Workstations) basato su Chrome.

    Segui questi passaggi per configurare le funzionalità DLP di Chrome Enterprise Premium per impedire il download del codice sorgente:

    1. Abilita la protezione dei dati e dalle minacce.
    2. Crea una regola DLP BeyondCorp.
    3. Rivedi le impostazioni e crea la regola.
    4. Testa la regola DLP.

    Abilitare la protezione dei dati e dalle minacce

    Per attivare la protezione dalle minacce e dei dati dalla Console di amministrazione Google Workspace, segui questi passaggi:

    1. Vai a Dispositivi > Chrome > Impostazioni > Utenti e browser.

    2. Dopo aver selezionato l'identificatore dell'unità organizzativa (ID unità organizzativa), fai clic su Cerca o aggiungi un filtro in Impostazioni utente e browser e seleziona il sottotipo Categoria.

    3. Cerca il connettore Chrome Enterprise nel sottotipo Categoria.

    4. In Scarica analisi dei contenuti, seleziona Google BeyondCorp Enterprise.

    5. Espandi Impostazioni aggiuntive.

      1. Seleziona Ritarda l'accesso al file fino al completamento dell'analisi.
      2. In Modalità Verifica dati sensibili >, seleziona Attivata per impostazione predefinita, esclusi i seguenti pattern URL.

    6. Fai clic su Salva per salvare la configurazione.

    Creare una regola DLP di Chrome Enterprise Premium

    Per creare una regola DLP:

    1. Vai alla Console di amministrazione Google Workspace e seleziona Sicurezza > Accesso e controllo dei dati > Protezione dei dati > Gestisci regole.

    2. Per creare una nuova regola, fai clic su Aggiungi regola e poi su Nuova regola. Si apre la pagina Nome e ambito.

    3. Nella sezione Nome, inserisci un nome e una descrizione. Ad esempio, per il campo Nome, inserisci CloudWorkstations-DLP-Rule1 e, per il campo Descrizione, inserisci Cloud Workstations Data Loss Prevention Rule 1.

    4. Nella sezione Ambito, configura quanto segue:

      1. Seleziona Unità organizzative e/o gruppi.
      2. Fai clic su Includi unità organizzative e seleziona la tua organizzazione.
      3. Fai clic su Continua.

    5. Nella sezione App, configura quanto segue:

      1. Nelle opzioni di Chrome, seleziona File caricato e File scaricato.
      2. Fai clic su Continua.

    6. Nella pagina Condizioni, configura quanto segue:

      1. Fai clic su Aggiungi condizione per creare una nuova condizione.
      2. Seleziona Tutti i contenuti.
      3. Seleziona Corrisponde al tipo di dati predefinito (consigliato).
      4. Per Seleziona tipo di dati, seleziona Documenti - File di codice sorgente.
      5. Nel campo Soglia di probabilità, seleziona Alta.
      6. Nel campo Numero minimo di corrispondenze univoche, inserisci 1.
      7. Nel campo Numero di corrispondenze minimo, inserisci 1.
      8. Fai clic su Continua.

    7. Nella pagina Azioni, configura quanto segue:

      1. Nelle opzioni Azioni, seleziona Chrome > Blocca contenuti.
      2. Nelle opzioni Avvisi, configura quanto segue:
        • Per la gravità, seleziona Media.
        • Seleziona Inviato al Centro avvisi.
      3. Fai clic su Continua.

    Rivedi le impostazioni e crea la regola

    Nella pagina Rivedi, controlla le impostazioni che hai configurato nelle pagine precedenti:

    1. Assicurati che le impostazioni siano corrette.
    2. Per continuare, fai clic su Crea.
    3. Nella pagina successiva, assicurati che l'opzione Attivo sia selezionata.
    4. Per completare la creazione della regola, fai clic su Completa.

    Testare la regola DLP

    Ora che la regola DLP è stata aggiunta, puoi eseguire il test da Cloud Workstations in Chrome:

    1. In una nuova scheda di Chrome, inserisci chrome://policy e fai clic su Ricarica criteri per assicurarti che i criteri di Chrome siano aggiornati.

    2. Scorri verso il basso per assicurarti di visualizzare un elenco di norme. Se le vedi, le norme sono state scaricate correttamente. In questo caso, cerca la norma OnFileDownloadEnterpriseConnector.

    3. Vai alla consoleGoogle Cloud e crea una configurazione di Cloud Workstations.

      Quando crei la configurazione della workstation, assicurati di selezionare Editor di codice su immagini di base e poi seleziona l'immagine di base preconfigurata dell'editor di base (Code OSS per Cloud Workstations).

    4. Creare una workstation.

    5. Avvia la workstation.

    6. Accedi all'URL Code OSS per Cloud Workstations visualizzato dopo aver avviato la workstation e connesso alla porta 80.

    7. Clona un repository con l'opzione Clona repository Git nell'IDE. Dopo aver clonato il repository, prova a scaricare un file con il codice sorgente.

      Per scaricare i file nella visualizzazione Explorer di Code OSS per Cloud Workstations, utilizza uno dei seguenti metodi:

      • Trascina i file dalla visualizzazione Explorer.

      • Vai ai file e alle directory che vuoi utilizzare, fai clic con il tasto destro del mouse e scegli Scarica.

    8. Al momento del download, il criterio DLP entra in vigore. Visualizza una notifica di download bloccato che indica che i criteri della tua organizzazione non sono stati rispettati:

    Complimenti! Hai contribuito a impedire il download dei file di codice sorgente.

    Esegui la pulizia

    Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse. Per saperne di più, consulta la sezione Eliminare le risorse.

    Passaggi successivi