Ajude a proteger a API Cloud Workstations com o Chrome Enterprise Premium

Vista geral

O Chrome Enterprise Premium é a solução de confiança zero que permite que o pessoal de uma organização aceda às aplicações Web em segurança a partir de qualquer lugar, sem precisar de uma VPN, e ajuda a evitar software malicioso, phishing e perda de dados.Google Cloud

Com o poder do Google Chrome, o Chrome Enterprise Premium permite que os utilizadores acedam a aplicações a partir de qualquer dispositivo. O Chrome Enterprise Premium está a expandir as suas capacidades para resolver alguns desafios de segurança importantes no ambiente do programador. A utilização do controlo de acesso sensível ao contexto para a Google Cloud consola e APIs, o Chrome Enterprise Premium permite uma segurança adicional para a API Cloud Workstations.

A tabela seguinte indica se o Chrome Enterprise Premium suporta o controlo de acesso sensível ao contexto para o método de acesso especificado das Cloud Workstations.

  • A marca de verificação indica que o Chrome Enterprise Premium limita este método de acesso às estações de trabalho na nuvem.
  • O ícone não suportado indica que o Chrome Enterprise Premium não limita este método de acesso às estações de trabalho na nuvem.

Objetivos

Este documento descreve os passos que um administrador segue para configurar o controlo de acesso do Chrome Enterprise Premium para a API Cloud Workstations e para fornecer mecanismos adicionais que ajudam a impedir a exfiltração de código fonte de IDEs Cloud Workstations baseados no navegador.

Custos

Como parte deste tutorial, pode ter de envolver outras equipas (para faturação ou IAM) e também testar o controlo de acesso para demonstrar que as restrições do Chrome Enterprise Premium estão em vigor.

Neste documento, usa os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custos com base na sua utilização projetada, use a calculadora de preços.

Os novos Google Cloud utilizadores podem ser elegíveis para uma avaliação gratuita.

Quando terminar as tarefas descritas neste documento, pode evitar a faturação contínua eliminando os recursos que criou. Para mais informações, consulte o artigo Limpe.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Aceder ao IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

    5. Na lista Selecionar uma função, selecione uma função.
    6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
    7. Clique em Guardar.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Aceder ao IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

    5. Na lista Selecionar uma função, selecione uma função.
    6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
    7. Clique em Guardar.

  10. Certifique-se de que atribuiu uma licença do Chrome Enterprise Premium Standard a cada um dos seus utilizadores. Apenas os utilizadores com uma licença têm controlos de acesso aplicados. Para mais informações, consulte o artigo Atribua, remova e reatribua licenças.

    11. Parte 1: configure o Chrome Enterprise Premium para as estações de trabalho na nuvem

    Esta secção explica os passos para ajudar a proteger o acesso sensível ao contexto à API Cloud Workstations:

    1. Configure as estações de trabalho na nuvem.
    2. Crie um utilizador de demonstração e um grupo de demonstração.
    3. Crie um nível de acesso no Gestor de acesso sensível ao contexto.
    4. Ative o CAA do Chrome Enterprise Premium.
    5. Adicione os grupos Google necessários com níveis de acesso.
    6. Teste o acesso de programador às estações de trabalho na nuvem.

    Configure as Cloud Workstations

    Na Google Cloud consola, crie uma configuração de estação de trabalho.

    Se não estiver familiarizado com as Cloud Workstations, consulte as descrições Vista geral e Arquitetura das Cloud Workstations.

    Crie um utilizador de demonstração e um grupo de demonstração

    Na consola do administrador do Google Workspace, crie um utilizador de demonstração e um novo grupo de utilizadores. Quando ativado, o acesso sensível ao contexto (CAA) para a consola aplica-se a todos os utilizadores e grupos Google porque é uma definição global.Google Cloud

    1. Inicie sessão na consola do administrador do Google Workspace com a sua conta de administrador: Menu > Diretório > Utilizadores > Adicionar novo utilizador.

    2. Crie um utilizador de demonstração: demo-user@<domain>.

    3. Inicie sessão na Google Cloud consola e navegue para Menu > IAM e administração > Grupos.

    4. Crie um grupo do IAM para acesso às estações de trabalho na nuvem, dê-lhe o nome Cloud Workstations Users e atribua o utilizador de demonstração criado anteriormente, demo-user@<domain>.

    5. Clique em Guardar.

    6. Crie também um grupo de administradores do IAM e atribua-lhe o nome Utilizadores administradores da nuvem. Atribua os administradores do projeto e da organização a este grupo.

    7. Adicione o utilizador de demonstração, demo-user@<domain>, ao grupo de utilizadores do Cloud Workstations que criou:

      1. Na Google Cloud consola, aceda a Cloud Workstations > Estações de trabalho.
      2. Selecione a estação de trabalho e, de seguida, clique em more_vertMais > Adicionar utilizadores.
      3. Selecione o utilizador de demonstração demo-user@<domain> e selecione Cloud Workstations User como a função.
      4. Para conceder ao utilizador de demonstração acesso à estação de trabalho, selecione demo-user@<domain>, selecione Cloud Workstations Users como a Função e clique em Guardar.

    Crie um nível de acesso

    Volte à Google Cloud consola para criar um nível de acesso no Gestor de acesso sensível ao contexto.

    Siga estas instruções para testar o acesso:

    1. Na Google Cloud consola, navegue para Segurança > Gestor de contexto de acesso para configurar uma política de dispositivos geridos pela empresa.

    2. Clique em Criar nível de acesso e preencha os seguintes campos:

      1. No campo Título de nível de acesso, introduza corpManagedDevice.
      2. Selecione o modo básico.
      3. Em Condições, selecione Verdadeiro para ativar a condição.
      4. Clique em + Política de dispositivo para expandir as opções e selecione Exigir dispositivo pertencente à empresa.
      5. Clique em Guardar para guardar a política de acesso.

    Ative o CAA do Chrome Enterprise Premium para a Google Cloud consola

    Para atribuir controlos de acesso sensível ao contexto (CAA) a estações de trabalho, comece por ativar o CAA para a Google Cloud consola:

    1. Na Google Cloud consola, navegue até Segurança > BeyondCorp Enterprise.

    2. Clique em Gerir acesso à Google Cloud consola e à API. Esta ação direciona para a página Nível da organização do Chrome Enterprise Premium.

    3. Na secção Consola e APIs seguras Google Cloud , clique em Ativar.

    Adicione os grupos Google necessários com níveis de acesso

    Adicione grupos de administradores necessários com membros relevantes e a política de acesso correta.

    Consola

    1. Crie uma política de acesso de administrador denominada CloudAdminAccess com a localização definida para as regiões onde os seus administradores trabalham. Isto garante que os administradores podem aceder aos recursos mesmo quando outra política os bloqueia.

    2. Crie um grupo do IAM com acesso de administrador em IAM e administrador > Grupos.

      1. Selecione a organização.
      2. Crie um grupo e atribua-lhe o nome Utilizadores administradores da nuvem.
      3. Atribuir-se a si e a outros administradores a este grupo.
      4. Clique em Guardar.

    3. Aceda a Segurança > Chrome Enterprise Premium. Clique em Gerir acesso e reveja a lista de grupos e níveis de acesso apresentados.

    4. Clique em Adicionar diretores à Google Cloud consola e às APIs.

      1. Para o Google Groups, selecione Utilizadores administradores do Google Cloud. Este é o grupo Google que selecionou no passo anterior.
      2. Selecione CloudAdminAccess, o nível de acesso que criou para o acesso de administrador.
      3. Clique em Guardar.

    gcloud e API

    Para ativar o teste de execução, siga o tutorial de teste de execução do Chrome Enterprise Premium.

    Atribua o nível de acesso ao grupo de utilizadores do Cloud Workstations

    Para atribuir o nível de acesso ao grupo de utilizadores do Cloud Workstations:

    1. Aceda a Segurança > Chrome Enterprise Premium e clique em Gerir acesso.

    2. Reveja a lista de grupos e níveis de acesso apresentada.

    3. Clique em Adicionar diretores à Google Cloud consola e às APIs.

      1. Para Grupos do Google, selecione Utilizadores das estações de trabalho na nuvem. Este é o grupo Google que selecionou no passo anterior.
      2. Selecione o nível de acesso que criou anteriormente, corpManagedDevice.
      3. Clique em Guardar.

    Teste o acesso de programador ao Cloud Workstations

    Teste o acesso de programadores à API Cloud Workstations a partir de vários pontos de entrada. Para um dispositivo pertencente à empresa, certifique-se de que os programadores podem aceder à API Workstation.

    • Teste se o acesso à API Workstation a partir de um dispositivo não gerido está bloqueado:

      O Chrome Enterprise Premium bloqueia os utilizadores que tentam aceder à API Cloud Workstations. Quando os utilizadores tentam iniciar sessão, é apresentada uma mensagem de erro a alertá-los de que não têm acesso ou que devem verificar a ligação de rede e as definições do navegador.

    • Teste se o acesso à API Workstation a partir de um dispositivo pertencente à empresa está ativado:

      Os programadores com acesso ao Chrome Enterprise Premium e às Cloud Workstations devem conseguir criar a sua estação de trabalho e, em seguida, iniciá-la.

    Parte 2: configure as capacidades de DLP do Chrome Enterprise Premium

    Esta secção inclui passos para tirar partido da proteção de dados e contra ameaças do BeyondCorp para integrar funcionalidades de prevenção contra a perda de dados (DLP). Isto ajuda a impedir a exfiltração do código fonte do editor base das estações de trabalho na nuvem (Code OSS para estações de trabalho na nuvem) baseadas no Chrome.

    Siga estes passos para configurar as capacidades de DLP do Chrome Enterprise Premium para ajudar a impedir a transferência do código fonte:

    1. Ative a proteção de dados e contra ameaças.
    2. Crie uma regra de DLP do BeyondCorp.
    3. Reveja as definições e crie a regra.
    4. Teste a regra de DLP.

    Ative a proteção de dados e contra ameaças

    Para ativar a proteção de dados e contra ameaças a partir da consola do administrador do Google Workspace, siga estes passos:

    1. Aceda a Dispositivos > Chrome > Definições > Utilizadores e navegadores.

    2. Depois de selecionar o identificador da unidade organizacional (ID da UO), clique em Pesquisar ou adicionar um filtro em Definições do utilizador e do navegador e selecione o subtipo Categoria.

    3. Pesquise o conector do Chrome Enterprise no subtipo Categoria.

    4. Em Transferir análise de conteúdo, selecione Google BeyondCorp Enterprise.

    5. Expanda Definições adicionais.

      1. Selecione Atrasar o acesso ao ficheiro até a análise estar concluída.
      2. Em Verificar dados confidenciais > Modo, selecione Ativada por predefinição, exceto para o seguinte padrão de URL.

    6. Clique em Guardar para guardar a configuração.

    Crie uma regra de DLP do Chrome Enterprise Premium

    Para criar uma regra de DLP, siga estes passos:

    1. Aceda à consola do administrador do Google Workspace e selecione Segurança > Controlo de acesso e dados > Proteção de dados > Gerir regras.

    2. Para criar uma nova regra, clique em Adicionar regra e, de seguida, em Nova regra. É apresentada a página Nome e âmbito.

    3. Na secção Nome, introduza um nome e uma descrição. Por exemplo, para o campo Nome, introduza CloudWorkstations-DLP-Rule1 e, para o campo Descrição, introduza Cloud Workstations Data Loss Prevention Rule 1.

    4. Na secção Âmbito, configure o seguinte:

      1. Selecione Unidades organizacionais e/ou grupos.
      2. Clique em Incluir unidades organizacionais e selecione a sua organização.
      3. Clique em Continuar.

    5. Na secção Apps, configure o seguinte:

      1. Nas opções do Chrome, selecione Ficheiro carregado e Ficheiro transferido.
      2. Clique em Continuar.

    6. Na página Condições, configure o seguinte:

      1. Clique em Adicionar condição para criar uma nova condição.
      2. Selecione Todo o conteúdo.
      3. Selecione Corresponde ao tipo de dados predefinido (recomendado).
      4. Em Selecionar tipo de dados, selecione Documentos – Ficheiro de código fonte.
      5. No campo Limite de probabilidade, selecione Alto.
      6. No campo Mínimo de correspondências únicas, introduza 1.
      7. No campo Contagem mínima de correspondências, introduza 1.
      8. Clique em Continuar.

    7. Na página Ações, configure o seguinte:

      1. Nas opções de Ações, selecione Chrome > Bloquear conteúdo.
      2. Nas opções de Alertas, configure o seguinte:
        • Para a gravidade, selecione Média.
        • Selecione Enviado para o Centro de alertas.
      3. Clique em Continuar.

    Reveja as definições e crie a regra

    Na página Rever, reveja as definições que configurou nas páginas anteriores:

    1. Certifique-se de que as definições estão corretas.
    2. Para continuar, clique em Criar.
    3. Na página seguinte, certifique-se de que a opção Ativo está selecionada.
    4. Para concluir a criação da regra, clique em Concluir.

    Teste a regra de DLP

    Agora que a regra de DLP foi adicionada, pode testá-la a partir das estações de trabalho na nuvem no Chrome:

    1. Num novo separador do Chrome, introduza chrome://policy e clique em Recarregar políticas para se certificar de que a política do Chrome é atualizada.

    2. Desloque a página para baixo para se certificar de que vê uma lista de políticas. Se vir estas mensagens, as políticas foram retiradas com êxito. Neste caso, procure a política OnFileDownloadEnterpriseConnector.

    3. Navegue para a Google Cloud consola e crie uma configuração de estações de trabalho na nuvem.

      Quando criar a configuração da estação de trabalho, certifique-se de que seleciona Editores de código em imagens base e, de seguida, selecione a imagem base pré-configurada do Base Editor (Code OSS para Cloud Workstations) .

    4. Crie uma estação de trabalho.

    5. Inicie e lance a sua estação de trabalho.

    6. Aceda ao URL do Code OSS para estações de trabalho do Google Cloud que aparece depois de iniciar a estação de trabalho e estabelecer ligação à porta 80.

    7. Clonar um repositório com a opção Clonar repositório Git no IDE. Depois de clonar o repositório, experimente transferir um ficheiro com código-fonte.

      Para transferir ficheiros na vista do explorador do Code OSS para o Cloud Workstations, use qualquer um dos seguintes métodos:

      • Arraste ficheiros a partir da vista do Explorador.

      • Navegue para os ficheiros e diretórios que quer usar, clique com o botão direito do rato e, de seguida, escolha Transferir.

    8. Após a transferência, a política de DLP entra em vigor. Receber uma notificação de download bloqueado que indica que as políticas da sua organização não foram cumpridas:

    Parabéns! Ajudou com êxito a impedir a transferência de ficheiros de código-fonte.

    Limpar

    Para evitar incorrer em custos na sua Google Cloud conta pelos recursos usados neste tutorial, elimine o projeto que contém os recursos ou mantenha o projeto e elimine os recursos individuais. Para mais informações, consulte o artigo Elimine recursos.

    O que se segue?