Ajude a proteger a API Cloud Workstations usando o Chrome Enterprise Premium

Visão geral

O Chrome Enterprise Premium é a solução de confiança zero do Google Cloud que permite que a força de trabalho de uma organização acesse aplicativos da Web com segurança de qualquer lugar, sem a necessidade de uma VPN, e ajuda a evitar malware, phishing e perda de dados.

Com a tecnologia do Google Chrome, o Chrome Enterprise Premium permite que os usuários acessem aplicativos em qualquer dispositivo. O Chrome Enterprise Premium está expandindo seus recursos para lidar com alguns dos principais desafios de segurança no ambiente de desenvolvimento. Ao usar o controle de acesso baseado no contexto para o console do Google Cloud e para APIs, o Chrome Enterprise Premium oferece mais segurança para a API Cloud Workstations.

A tabela a seguir mostra se o Chrome Enterprise Premium oferece suporte ao controle de acesso baseado no contexto para o método de acesso especificado do Cloud Workstations.

  • A marca de seleção indica que o Chrome Enterprise Premium limita esse método de acesso ao Cloud Workstations.
  • O ícone sem suporte indica que o Chrome Enterprise Premium não limita esse método de acesso do Cloud Workstations.

Objetivos

Este documento descreve as etapas que um administrador segue para configurar o controle de acesso do Chrome Enterprise Premium para a API Cloud Workstations e fornecer outros mecanismos que ajudam a evitar a exfiltração de código-fonte de ambientes de desenvolvimento integrado do Cloud Workstations baseados em navegador.

Custos

Como parte deste tutorial, talvez seja necessário envolver outras equipes (de faturamento ou IAM) e também testar o controle de acesso para demonstrar que as proteções do Chrome Enterprise Premium estão em vigor.

Neste documento, você usará os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços. Novos usuários do Google Cloud podem estar qualificados para uma avaliação gratuita.

Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Saiba mais em Limpeza.

Antes de começar

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  4. Ative a Workstations API.

    Ative a API

  5. Verifique se você tem os seguintes papéis no projeto: Cloud Workstations > Cloud Workstations Admin.

    Verificar os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acessar IAM
    2. Selecionar um projeto.

    3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

      Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

    4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

    Conceder os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acesse o IAM
    2. Selecionar um projeto.
    3. Clique em CONCEDER ACESSO.
    4. No campo Novos participantes, digite seu endereço de e-mail.
    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Save.

  6. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  7. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  8. Ative a Workstations API.

    Ative a API

  9. Verifique se você tem os seguintes papéis no projeto: Cloud Workstations > Cloud Workstations Admin.

    Verificar os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acessar IAM
    2. Selecionar um projeto.

    3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

      Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

    4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

    Conceder os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acesse o IAM
    2. Selecionar um projeto.
    3. Clique em CONCEDER ACESSO.
    4. No campo Novos participantes, digite seu endereço de e-mail.
    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Save.

  10. Verifique se você atribuiu uma licença do Chrome Enterprise Premium Standard a cada um dos seus usuários. Somente usuários com uma licença têm controles de acesso aplicados. Para mais informações, acesse Atribuir, remover e reatribuir licenças.

Parte 1: configurar o Chrome Enterprise Premium para Cloud Workstations

Esta seção mostra as etapas para proteger o acesso baseado no contexto à API Cloud Workstations:

  1. Configurar o Cloud Workstations.
  2. Crie um usuário e um grupo de demonstração.
  3. Crie um nível de acesso no Access Context Manager.
  4. Ative o CAA do Chrome Enterprise Premium.
  5. Adicione os Grupos do Google necessários com níveis de acesso.
  6. Testar o acesso do desenvolvedor ao Cloud Workstations.

Configurar o Cloud Workstations

No Console do Google Cloud, crie uma configuração de estação de trabalho.

Se você não conhece o Cloud Workstations, consulte a Visão geral e as descrições da Arquitetura do Cloud Workstations.

Criar um usuário e um grupo de demonstração

No Admin Console do Google Workspace, crie um usuário de demonstração e um novo grupo de usuários. Quando ativado, o acesso baseado no contexto (CAA, na sigla em inglês) para o console do Google Cloud se aplica a todos os usuários e Grupos do Google porque é uma configuração global.

  1. Faça login no Admin Console do Google Workspace com sua conta de administrador: Menu > Diretório > Usuários > Adicionar novo usuário.

  2. Crie um usuário de demonstração: demo-user@<domain>.

  3. Faça login no Console do Google Cloud e navegue até Menu > IAM e administrador > Grupos.

  4. Crie um grupo do IAM para acesso ao Cloud Workstations, nomeie-o como Cloud Workstations Users e atribua o usuário de demonstração criado anteriormente, demo-user@<domain>.

  5. Clique em Salvar.

  6. Crie também um grupo de administradores do IAM com o nome Cloud Admin Users. Atribua os administradores do projeto e da organização a este grupo.

  7. Adicione o usuário de demonstração, demo-user@<domain>, ao grupo de usuários do Cloud Workstations que você criou:

    1. No console do Google Cloud, acesse Cloud Workstations > Workstations.
    2. Selecione a estação de trabalho e clique em more_vertMore > Add Users.
    3. Selecione o usuário de demonstração, demo-user@<domain>, e selecione Cloud Workstations User como o Papel.
    4. Para conceder ao usuário de demonstração acesso à estação de trabalho, selecione demo-user@<domain>, selecione Cloud Workstations Users como o Papel e clique em Salvar.

Criar um nível de acesso

Volte ao console do Google Cloud para criar um nível de acesso no Access Context Manager.

Siga estas instruções para testar o acesso:

  1. No console do Google Cloud, acesse Segurança > Access Context Manager para configurar uma política de dispositivo gerenciado pela empresa.

  2. Clique em Criar nível de acesso e preencha os seguintes campos:

    1. No campo Título do nível de acesso, insira corpManagedDevice.
    2. Selecione Modo básico.
    3. Em Condições, selecione Verdadeiro para ativar a condição.
    4. Clique em + Política do dispositivo para expandir as opções e marque Exigir dispositivo corporativo.
    5. Clique em Salvar para salvar a política de acesso.

Ativar o CAA do Chrome Enterprise Premium para o console do Google Cloud

Para atribuir controles de acesso baseado no contexto (CAA, na sigla em inglês) a estações de trabalho, ative o CAA para o console do Google Cloud:

  1. No console do Google Cloud, acesse Segurança > BeyondCorp Enterprise.

  2. Clique em Gerenciar acesso ao console do Google Cloud e à API. Você será direcionado para a página Nível da organização do Chrome Enterprise Premium.

  3. Na seção Proteger o console e as APIs do Google Cloud, clique em Ativar.

Adicionar os Grupos do Google necessários com níveis de acesso

Adicione os grupos de administradores necessários com membros relevantes e a política de acesso correta.

Console

  1. Crie uma política de acesso de administrador chamada CloudAdminAccess com o local definido para as regiões em que os administradores trabalham. Isso garante que os administradores possam acessar recursos mesmo quando outra política os bloquear.

  2. Crie um grupo do IAM com acesso de administrador em IAM e administrador > Grupos.

    1. Selecione a organização.
    2. Crie um grupo com o nome Cloud Admin Users.
    3. Atribua você e outros administradores a este grupo.
    4. Clique em Salvar.

  3. Acesse Segurança > Chrome Enterprise Premium. Clique em Gerenciar acesso e analise a lista de grupos e níveis de acesso que aparecem.

  4. Clique em Adicionar participantes ao console e às APIs do Google Cloud.

    1. Em Grupos do Google, selecione Usuários Admin do Cloud. Esse é o Grupo do Google que você selecionou na etapa anterior.
    2. Selecione CloudAdminAccess, o nível de acesso que você criou para acesso de administrador.
    3. Clique em Salvar.

gcloud e API

Para ativar a simulação, siga o tutorial de simulação do Chrome Enterprise Premium.

Atribuir nível de acesso ao grupo de usuários do Cloud Workstations

Para atribuir o nível de acesso ao grupo de usuários do Cloud Workstations:

  1. Acesse Segurança > Chrome Enterprise Premium e clique em Gerenciar acesso.

  2. Analise a lista de grupos e os níveis de acesso que aparecem.

  3. Clique em Adicionar participantes ao console e às APIs do Google Cloud.

    1. Em Grupos do Google, selecione Usuários do Cloud Workstations. Esse é o Grupo do Google que você selecionou na etapa anterior.
    2. Selecione o nível de acesso criado anteriormente, corpManagedDevice.
    3. Clique em Salvar.

Testar o acesso do desenvolvedor ao Cloud Workstations

Testar o acesso do desenvolvedor à API Cloud Workstations a partir de vários pontos de entrada. No caso de um dispositivo corporativo, verifique se os desenvolvedores podem acessar a API da estação de trabalho.

  • Teste se o acesso à API da estação de trabalho em um dispositivo não gerenciado está bloqueado:

    O Chrome Enterprise Premium bloqueia usuários que tentam acessar a API Cloud Workstations. Quando os usuários tentam fazer login, uma mensagem de erro aparece, informando que eles não têm acesso ou que precisam verificar a conexão de rede e as configurações do navegador.

  • Teste se o acesso à API da estação de trabalho a partir de um dispositivo corporativo está ativado:

    Os desenvolvedores com acesso ao Chrome Enterprise Premium e ao Cloud Workstations podem criar e iniciar a estação de trabalho.

Parte 2: configurar os recursos da DLP Premium do Chrome Enterprise

Esta seção inclui etapas para aproveitar o BeyondCorp Threat and Data Protection e integrar os recursos de Prevenção contra perda de dados (DLP). Isso ajuda a evitar a exfiltração de código-fonte do editor de base do Cloud Workstations (código OSS para Cloud Workstations) baseado no Chrome.

Siga estas etapas para configurar os recursos da DLP do Chrome Enterprise Premium e impedir o download do código-fonte:

  1. Ative a proteção de dados e contra ameaças.
  2. Crie uma regra de DLP do BeyondCorp.
  3. Revise as configurações e crie a regra.
  4. Teste a regra da DLP.

Ativação da proteção de dados e contra ameaças

Para ativar a proteção de dados e contra ameaças no Admin Console do Google Workspace, siga estas etapas:

  1. Acesse Dispositivos > Chrome > Configurações > Usuários e navegadores.

  2. Depois de selecionar o identificador da unidade organizacional (ID da UO), clique em Pesquisar ou adicionar um filtro em Configurações do usuário e do navegador e selecione o subtipo Categoria.

  3. Pesquise o Chrome Enterprise Connector no subtipo Categoria.

  4. Em Fazer download da análise de conteúdo, selecione Google BeyondCorp Enterprise.

  5. Abra Outras configurações.

    1. Selecione Atrasar o acesso ao arquivo até que a análise seja concluída.
    2. Em Verificar dados confidenciais > Modo, selecione Ativado por padrão, exceto para o seguinte padrão de URL.

  6. Clique em Salvar para salvar a configuração.

Criar uma regra de DLP do Chrome Enterprise Premium

Para criar uma regra de DLP, siga estas etapas:

  1. Acesse o Admin Console do Google Workspace e selecione Segurança > Acesso e controle de dados > Proteção de dados > Gerenciar regras.

  2. Para criar uma nova regra, clique em Adicionar regra e Nova regra. A página Nome e escopo será aberta.

  3. Na seção Nome, digite um nome e uma descrição. Por exemplo, no campo Nome, insira CloudWorkstations-DLP-Rule1 e, no campo Descrição, insira Cloud Workstations Data Loss Prevention Rule 1.

  4. Na seção Escopo, configure o seguinte:

    1. Selecione Unidades organizacionais e/ou grupos.
    2. Clique em Incluir unidades organizacionais e selecione sua organização.
    3. Clique em Continuar.

  5. Na seção Apps, configure o seguinte:

    1. Nas opções do Chrome, selecione Arquivo enviado e Arquivo transferido.
    2. Clique em Continuar.

  6. Na página Condições, configure o seguinte:

    1. Clique em Adicionar condição para criar uma condição.
    2. Selecione Todo o conteúdo.
    3. Selecione Corresponde ao tipo de dados predefinido (recomendado).
    4. Em Selecionar tipo de dados, escolha Documentos: arquivo de código-fonte.
    5. No campo Limite de probabilidade, selecione Alto.
    6. No campo Mínimo de correspondências exclusivas, digite 1.
    7. No campo Número mínimo de correspondências, digite 1.
    8. Clique em Continuar.

  7. Na página Ações, configure o seguinte:

    1. Nas opções de Ações, selecione Chrome > Bloquear conteúdo.
    2. Nas opções de Alertas, configure o seguinte:
      • Em "Gravidade", selecione Média.
      • Selecione Enviado para a Central de alertas.
    3. Clique em Continuar.

Revisar as configurações e criar a regra

Na página Revisar, revise as configurações que você definiu nas páginas anteriores:

  1. Verifique se as configurações estão corretas.
  2. Para continuar, clique em Criar.
  3. Na próxima página, verifique se a opção Ativo está selecionada.
  4. Para finalizar a criação da regra, clique em Concluir.

Testar a regra da DLP

Agora que a regra de DLP foi adicionada, teste no Cloud Workstations no Chrome:

  1. Em uma nova guia do Chrome, digite chrome://policy e clique em Atualizar políticas para garantir que a política do Chrome seja atualizada.

  2. Role para baixo e verifique se você vê uma lista de políticas. Se você os encontrar, as políticas foram retiradas com sucesso. Nesse caso, procure a política OnFileDownloadEnterpriseConnector.

  3. Navegue até o console do Google Cloud e crie uma configuração do Cloud Workstations.

    Ao criar a configuração da estação de trabalho, selecione Editores de código em imagens de base e, em seguida, a imagem de base pré-configurada do Editor básico (código OSS para Cloud Workstations).

  4. Criar uma estação de trabalho.

  5. Inicie e inicie sua estação de trabalho.

  6. Acesse o URL Code OSS for Cloud Workstations que aparece depois que você inicia a estação de trabalho e se conecta à porta 80.

  7. Clone um repositório com a opção Clone Git Repository no ambiente de desenvolvimento integrado. Após a clonagem do repositório, tente fazer o download de um arquivo com o código-fonte.

    Para fazer o download de arquivos na visualização Code OSS do Cloud Workstations Explorer, use um dos seguintes métodos:

    • Arraste arquivos da visualização do Explorador.

    • Navegue até os arquivos e diretórios que você quer usar, clique com o botão direito do mouse e escolha Fazer o download.

  8. Após o download, a política de DLP entra em vigor. Observe uma notificação de download bloqueado informando que as políticas da sua organização não foram atendidas:

Parabéns! Você ajudou a evitar o download de arquivos de código-fonte.

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados no tutorial, exclua o projeto que os contém ou mantenha o projeto e exclua os recursos individuais. Para mais informações, consulte Excluir recursos.

A seguir