Chrome Enterprise Premium を使用して Cloud Workstations API を保護できるようにする

概要

Chrome Enterprise Premium は、Google Cloud のゼロトラスト ソリューションです。これにより、組織の従業員は VPN を必要とせずにどこからでもウェブ アプリケーションに安全にアクセスでき、マルウェア、フィッシング、データの損失を防ぐことができます。

Chrome Enterprise Premium では、Google Chrome の機能により、ユーザーはどのデバイスからでもアプリケーションにアクセスできます。Chrome Enterprise Premium は、デベロッパー環境におけるいくつかの重要なセキュリティ課題に対処できるように機能を拡張しています。Google Cloud コンソールと API のコンテキストアウェア アクセス制御を使用することで、Chrome Enterprise Premium は Cloud Workstations API のセキュリティを強化できます。

次の表は、Chrome Enterprise Premium が、指定した Cloud Workstations のアクセス方法に対するコンテキストアウェア アクセス制御をサポートしているかどうかを示しています。

  • チェックマークは、Chrome Enterprise Premium がこの Cloud Workstations のアクセス方法を制限していることを示します。
  • サポート対象外アイコンは、Chrome Enterprise Premium がこの Cloud Workstations のアクセス方法を制限していないことを示しています。

目標

このドキュメントでは、管理者が Cloud Workstations API の Chrome Enterprise Premium アクセス制御を設定し、ブラウザベースの Cloud Workstations IDE からのソースコードの引き出しを防ぐための追加のメカニズムを提供するための手順について説明します。

費用

このチュートリアルの一環として、(課金または IAM のため)他のチームの参加を求める必要がある場合があります。また、Chrome Enterprise Premium ガードレールが配置され機能していることを確認するためアクセス制御をテストする必要もあります。

このドキュメントでは、Google Cloud の次の課金対象のコンポーネントを使用します。

料金計算ツールを使うと、予想使用量に基づいて費用の見積もりを生成できます。 新しい Google Cloud ユーザーは無料トライアルをご利用いただける場合があります。

このドキュメントに記載されているタスクの完了後、作成したリソースを削除すると、それ以上の請求は発生しません。詳細については、クリーンアップをご覧ください。

始める前に

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      [IAM] に移動
    2. プロジェクトを選択します。
    3. [ アクセスを許可] をクリックします。

    4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

    5. [ロールを選択] リストでロールを選択します。
    6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
    7. [保存] をクリックします。

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Make sure that billing is enabled for your Google Cloud project.

    10. Enable the Workstations API.

      Enable the API

    11. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        [IAM] に移動
      2. プロジェクトを選択します。
      3. [ アクセスを許可] をクリックします。

      4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

      5. [ロールを選択] リストでロールを選択します。
      6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
      7. [保存] をクリックします。

      8. Chrome Enterprise Premium Standard ライセンスが各ユーザーに割り当てられていることを確認してください。ライセンスを持つユーザーにのみアクセス制御が適用されます。詳しくは、ライセンスの割り当て、削除、再割り当てをご覧ください。

      パート 1: Cloud Workstations 向けに Chrome Enterprise Premium を設定する

      このセクションでは、Cloud Workstations API へのコンテキストアウェア アクセスを保護する手順について説明します。

      1. Cloud Workstations を設定します
      2. デモユーザーとデモグループを作成します
      3. Access Context Manager でアクセスレベルを作成します
      4. Chrome Enterprise Premium CAA を有効にします
      5. アクセスレベルで必要な Google グループを追加します
      6. Cloud Workstations に対するデベロッパーのアクセスをテストします

      Cloud Workstations を設定する

      Google Cloud コンソールで、ワークステーション構成を作成します。

      Cloud Workstations を使い慣れていない場合は、Cloud Workstations の概要アーキテクチャの説明をご覧ください。

      デモユーザーとデモグループを作成する

      Google Workspace 管理コンソールで、デモユーザーと新しいユーザー グループを作成します。有効にすると、Google Cloud コンソールのコンテキストアウェア アクセス(CAA)はグローバル設定であるため、すべてのユーザーと Google グループに CAA が適用されます。

      1. 管理者アカウントを使用して、Google Workspace 管理者コンソールにログインします: [メニュー] > [ディレクトリ] > [ユーザー] > [新しいユーザーの追加]

      2. デモユーザーの作成: demo-user@<domain>

      3. Google Cloud コンソールにログインし、メニュー > [IAM と管理] > [グループ] に移動します。

      4. Cloud Workstations アクセス用の IAM グループを作成し、Cloud Workstations Users という名前を付けて、以前に作成したデモユーザー demo-user@<domain> を割り当てます。

      5. [保存] をクリックします。

      6. また、IAM 管理者グループを作成し、Cloud 管理者ユーザーという名前を付けます。このグループのプロジェクト管理者と組織管理者を割り当てます。

      7. 作成した Cloud Workstations ユーザー グループにデモユーザー demo-user@<domain> を追加します。

        1. Google Cloud コンソールで、[Cloud Workstations] > [ワークステーション] に移動します
        2. ワークステーションを選択し、 more_vert その他 > [ユーザーを追加] をクリックします。
        3. デモユーザー demo-user@<domain> を選択し、ロールとして Cloud Workstations User を選択します。
        4. デモユーザーにワークステーションへのアクセス権を付与するには、[demo-user@<domain>] を選択し、[ロール] として Cloud Workstations Users を選択して、[保存] をクリックします。

      アクセスレベルを作成する

      Google Cloud コンソールに戻り、Access Context Manager でアクセスレベルを作成します。

      アクセスをテストする手順は次のとおりです。

      1. まず、Google Cloud コンソール、次の場所に移動します。[セキュリティ] > [Access Context Manager] 会社管理のデバイス ポリシーを構成します。

      2. [アクセスレベルを作成] をクリックし、次のフィールドに入力します。

        1. [アクセスレベルのタイトル] フィールドに、「corpManagedDevice」と入力します。
        2. [基本 モード] を選択します。
        3. [条件] で [True] を選択して条件を有効にします。
        4. [+ デバイス ポリシー] をクリックしてオプションを開き、[会社所有のデバイスが必要] をオンにします。
        5. [保存] をクリックしてアクセス ポリシーを保存します。

      Google Cloud コンソールで Chrome Enterprise Premium CAA を有効にする

      ワークステーションにコンテキストアウェア アクセス制御(CAA)を割り当てるには、まず Google Cloud コンソールで CAA を有効にします。

      1. Google Cloud コンソールから、[セキュリティ] > [BeyondCorp Enterprise] に移動します。

      2. [Google Cloud コンソールと API へのアクセスを管理する] をクリックします。 Chrome Enterprise Premium の [組織レベル] ページが表示されます。

      3. [Google Cloud コンソールと API を保護する] セクションで、[有効にする] をクリックします。

      アクセスレベルで必要な Google グループを追加する

      関連するメンバーと正しいアクセス ポリシーを使用して、必要な管理者グループを追加します。

      Console

      1. CloudAdminAccess という名前の管理者アクセス ポリシーを作成し、ロケーションを管理者が働くリージョンに設定します。これにより、別のポリシーでブロックされている場合でも、管理者がリソースにアクセスできるようになります。

      2. [IAM と管理] > [グループ] で、管理者権限を持つ IAM グループを作成します。

        1. 組織を選択します。
        2. グループを作成し、Cloud 管理者ユーザーという名前を付けます。
        3. 自分自身と他の管理者をこのグループに割り当てます。
        4. [保存] をクリックします。

      3. [セキュリティ] > [Chrome Enterprise Premium] に移動します。[アクセスを管理] をクリックし、表示されるグループとアクセスレベルのリストを表示します。

      4. [Google Cloud コンソールと API にプリンシパルを追加] をクリックします。

        1. [Google グループ] で [Cloud 管理者ユーザー] を選択します。これは、前のステップで選択した Google グループです。
        2. 管理者アクセス用に作成したアクセスレベルである CloudAdminAccess を選択します。
        3. [保存] をクリックします。

      gcloud と API

      ドライランを有効にするには、Chrome Enterprise Premium のドライラン チュートリアルに沿って進めてください。

      Cloud Workstations ユーザー グループにアクセスレベルを割り当てる

      アクセスレベルを Cloud Workstations ユーザー グループに割り当てるには:

      1. [セキュリティ] > [Chrome Enterprise Premium] に移動し、[アクセスを管理] をクリックします。

      2. 表示されるグループとアクセスレベルのリストを確認します。

      3. [Google Cloud コンソールと API にプリンシパルを追加] をクリックします。

        1. [Google グループ] で [Cloud Workstations ユーザー] を選択します。これは、前のステップで選択した Google グループです。
        2. 先ほど作成したアクセスレベル corpManagedDevice を選択します。
        3. [保存] をクリックします。

      Cloud Workstations に対するデベロッパーのアクセスをテストする

      複数のエントリ ポイントから Cloud Workstations API へのデベロッパー アクセスをテストします。会社所有のデバイスの場合は、デベロッパーがワークステーション API にアクセスできることを確認します。

      • 管理対象外のデバイスからのワークステーション API へのアクセスがブロックされていることをテストします。

        Chrome Enterprise Premium では、Cloud Workstations API にアクセスしようとするユーザーがブロックされます。ユーザーがログインしようとすると、エラー メッセージが表示され、ユーザーにアクセス権がない、またはネットワーク接続とブラウザの設定を確認するよう警告されます。

      • 会社所有のデバイスからのワークステーション API へのアクセスが有効になっていることをテストします。

        Chrome Enterprise Premium と Cloud Workstations にアクセスできるデベロッパーは、ワークステーションを作成してから、ワークステーションを起動できる必要があります。

      パート 2: Chrome Enterprise Premium の DLP 機能を設定する

      このセクションでは、BeyondCorp Threat and Data Protection を利用してデータ損失防止(DLP)機能を統合する手順について説明します。これにより、Chrome ベースの Cloud Workstations ベース エディタ(Cloud Workstations 用 Code OSS)からソースコードが引き出されるのを防ぐことができます。

      ソースコードのダウンロードを防止するため、Chrome Enterprise Premium の DLP 機能を設定する手順は次のとおりです。

      1. 脅威対策とデータ保護を有効化
      2. BeyondCorp DLP ルールを作成する
      3. 設定を確認し、ルールを作成する
      4. DLP ルールをテストする

      脅威対策とデータ保護を有効化

      Google Workspace 管理コンソールから脅威対策とデータ保護を有効にする手順は次のとおりです。

      1. [デバイス] > [Chrome] > [設定] > [ユーザーとブラウザ] に移動する。

      2. 組織部門 ID(OU ID)を選択したら、ユーザーとブラウザの設定配下のフィルタを検索または追加するをクリックし、次にカテゴリサブタイプを選択します。

      3. [カテゴリ] サブタイプで「Chrome Enterprise Connector」を検索します。

      4. [コンテンツ分析をダウンロード] で [Google BeyondCorp Enterprise] を選択します。

      5. [追加の設定] を開きます。

        1. 分析が完了するまでファイルへのアクセスを遅らせるを選択します。
        2. [機密データを確認] > [モード] で、[次の URL パターンを除き、デフォルトでオン] を選択します。

      6. [保存] をクリックして、構成を保存します。

      Chrome Enterprise Premium の DLP ルールを作成する

      ファイアウォール ルールを作成する手順は次のとおりです。

      1. Google Workspace 管理者コンソールに移動し、[セキュリティ] > [アクセスとデータ管理] > [データ保護] > [ルールを管理] を選択します。

      2. 新しいルールを作成するには、[ルールを追加]、[新しいルール] の順にクリックします。[名前とスコープ] ページが開きます。

      3. [名前] セクションに名前と説明を入力します。たとえば、[名前] フィールドに「CloudWorkstations-DLP-Rule1」、[説明] フィールドに「Cloud Workstations Data Loss Prevention Rule 1」と入力します。

      4. [スコープ] セクションで、以下の構成を行います。

        1. [組織部門またはグループ] を選択します。
        2. [組織部門を含める] をクリックし、組織を選択します。
        3. [続行] をクリックします。

      5. [アプリ] セクションで、以下の構成を行います。

        1. Chrome のオプションで、[ファイルがアップロードされました] と [ファイルがダウンロードされました] を選択します。
        2. [続行] をクリックします。

      6. [条件] ページで、次の構成を行います。

        1. [条件を追加] をクリックして新しい条件を作成します。
        2. [すべてのコンテンツ] を選択します。
        3. [事前定義されたデータの種類と一致する(推奨)] を選択します。
        4. [データの種類を選択] で [ドキュメント - ソースコード ファイル] を選択します。
        5. [可能性のしきい値] フィールドで、[] を選択します。
        6. [一意に一致するテキストの最低数] フィールドに「1」と入力します。
        7. [最小一致数] フィールドに「1」と入力します。
        8. [続行] をクリックします。

      7. [アクション] ページで、次のように構成します。

        1. [操作] オプションで、[Chrome > コンテンツをブロック] を選択します。
        2. [アラート] オプションで、次のように構成します。
          • 重大度には [] を選択します。
          • [アラート センターに送信] を選択します。
        3. [続行] をクリックします。

      設定を確認してルールを作成する

      [確認] ページで、前のページで構成した設定を確認します。

      1. 設定が正しいことを確認します。
      2. 続行するには、[作成] をクリックします。
      3. 次のページで、[有効] が選択されていることを確認します。
      4. ルールの作成を完了するには、[完了] をクリックします。

      DLP ルールをテストする

      これで DLP ルールが追加されたので、Chrome で Cloud Workstations からテストできるようになりました。

      1. 新しい Chrome タブで、「chrome://policy」と入力し、[ポリシーの再読み込み] をクリックして、Chrome ポリシーを更新します。

      2. 下にスクロールして、ポリシーのリストが表示されていることを確認します。これらが表示されているのであれば、ポリシーの取得は正常に完了しています。この場合、OnFileDownloadEnterpriseConnector ポリシーを探します。

      3. Google Cloud コンソールに移動し、Cloud Workstations の構成を作成します。

        ワークステーション構成を作成する際は、必ず[ベースイメージのコードエディタ] を選択してから、事前構成されたベースイメージの [ベースエディタ(Cloud Workstations 用 Code OSS)] を選択してください。

      4. ワークステーションを作成する

      5. ワークステーションを開始して起動します

      6. ワークステーションを起動してポート 80 に接続した後に表示される Cloud Workstations 用 Code OSS の URL にアクセスします。

      7. IDE の [Clone Git リポジトリ] オプションを使用してリポジトリのクローンを作成します。リポジトリのクローンを作成したら、ソースコードを使用してファイルをダウンロードしてみてください。

        Cloud Workstations 用 Code OSS のエクスプローラ ビューでファイルをダウンロードするには、次のいずれかの方法を使用します。

        • エクスプローラ ビューからファイルをドラッグします。

        • 使用するファイルとディレクトリに移動し、右クリックして [ダウンロード] を選択します。

      8. ダウンロードすると、DLP ポリシーが有効になります。組織のポリシーに違反しているためにダウンロードがブロックされたという通知が表示されます。

      これで完了です。ソースコード ファイルのダウンロードの防止に成功しました。

      クリーンアップ

      このチュートリアルで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、リソースを含むプロジェクトを削除するか、プロジェクトを維持して個々のリソースを削除します。詳しくは、リソースの削除をご覧ください。

      次のステップ