Ajude a proteger a API Cloud Workstations usando o Chrome Enterprise Premium

Visão geral

O Chrome Enterprise Premium é a solução de confiança zero doGoogle Cloud que permite que a força de trabalho de uma organização acesse aplicativos da Web com segurança de qualquer lugar, sem a necessidade de VPN, e ajuda a evitar malware, phishing e perda de dados.

Com a tecnologia do Google Chrome, o Chrome Enterprise Premium permite que os usuários acessem aplicativos de qualquer dispositivo. O Chrome Enterprise Premium está ampliando os recursos para resolver alguns desafios importantes de segurança no ambiente de desenvolvimento. Usando o controle de acesso baseado no contexto para Google Cloud console e APIs, o Chrome Enterprise Premium oferece mais segurança para a API Cloud Workstations.

A tabela a seguir mostra se o Chrome Enterprise Premium oferece suporte ao controle de acesso sensível ao contexto para o método de acesso especificado do Cloud Workstations.

  • A marca de seleção indica que o Chrome Enterprise Premium limita esse método de acesso do Cloud Workstations.
  • O ícone não compatível indica que o Chrome Enterprise Premium não limita esse método de acesso Cloud Workstations.

Objetivos

Este documento descreve as etapas que um administrador segue para configurar o controle de acesso do Chrome Enterprise Premium para a API Cloud Workstations e fornecer mecanismos adicionais que ajudam a evitar a exfiltração de código-fonte de ambientes de desenvolvimento integrado (IDEs) do Cloud Workstations baseados em navegador.

Custos

Como parte deste tutorial, talvez seja necessário envolver outras equipes (para faturamento ou IAM) e testar o controle de acesso para demonstrar que os mecanismos de proteção do Chrome Enterprise Premium estão em vigor.

Neste documento, você vai usar os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços.

Novos usuários do Google Cloud podem estar qualificados para um teste sem custo financeiro.

Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Para mais informações, consulte Limpeza.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Acessar o IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, adicione-os clicando em Adicionar outro papel.
    7. Clique em Salvar.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Acessar o IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, adicione-os clicando em Adicionar outro papel.
    7. Clique em Salvar.

  10. Verifique se você atribuiu uma licença do Chrome Enterprise Premium Standard a cada um dos seus usuários. Somente usuários com uma licença têm controles de acesso aplicados. Para mais informações, consulte Atribuir, remover e reatribuir licenças.

    11. Parte 1: configurar o Chrome Enterprise Premium para os Cloud Workstations

    Nesta seção, você vai conferir as etapas para proteger o acesso baseado no contexto à API Cloud Workstations:

    1. Configure o Cloud Workstations.
    2. Crie um usuário e um grupo de demonstração.
    3. Crie um nível de acesso no Access Context Manager.
    4. Ative o CAA do Chrome Enterprise Premium.
    5. Adicione os Grupos do Google necessários com níveis de acesso.
    6. Testar o acesso de desenvolvedores ao Cloud Workstations.

    Configurar o Cloud Workstations

    Para fazer a integração com o Chrome Enterprise Premium, seu cluster do Cloud Workstations precisa usar o Identity-Aware Proxy (IAP). Pule esta seção se você já tiver esses recursos configurados.

    Para configurar Cloud Workstations:

    1. Crie um cluster de estações de trabalho com um domínio personalizado.
    2. Ative o IAP.
    3. Crie uma configuração de estação de trabalho no cluster.

    Se você não conhece o Cloud Workstations, consulte a Visão geral e a Arquitetura.

    Criar um usuário e um grupo de demonstração

    No Admin Console do Google Workspace, crie um usuário de demonstração e um novo grupo de usuários. Quando ativado, o acesso baseado no contexto (CAA) para o consoleGoogle Cloud se aplica a todos os usuários e grupos do Google porque é uma configuração global.

    1. Faça login no Google Workspace Admin Console com sua conta de administrador: Menu > Diretório > Usuários > Adicionar novo usuário.

    2. Crie um usuário de demonstração: demo-user@<domain>.

    3. Faça login no console doGoogle Cloud e navegue até Menu > IAM e administrador > Grupos.

    4. Crie um grupo do IAM para acesso aos Cloud Workstations, nomeie-o como Cloud Workstations Users e atribua o usuário de demonstração criado anteriormente, demo-user@<domain>.

    5. Clique em Salvar.

    6. Crie também um grupo de administradores do IAM e nomeie-o como Usuários administradores do Cloud. Atribua os administradores do projeto e da organização a esse grupo.

    7. Adicione o usuário de demonstração, demo-user@<domain>, ao grupo de usuários do Cloud Workstations que você criou:

      1. No Google Cloud console, acesse Cloud Workstations > Workstations.
      2. Selecione a estação de trabalho e clique em more_vertMais > Adicionar usuários.
      3. Selecione o usuário de demonstração, demo-user@<domain>, e escolha Cloud Workstations User como a Função.
      4. Para dar acesso à estação de trabalho ao usuário de demonstração, selecione demo-user@<domain>, escolha Cloud Workstations Users como o Papel e clique em Salvar.

    Criar um nível de acesso

    Volte ao console Google Cloud para criar um nível de acesso no Access Context Manager.

    Siga estas instruções para testar o acesso:

    1. No consoleGoogle Cloud , navegue até Segurança > Access Context Manager para configurar uma política de dispositivo gerenciado pela empresa.

    2. Clique em Criar nível de acesso e preencha os seguintes campos:

      1. No campo Título do nível de acesso, insira corpManagedDevice.
      2. Selecione o modo Básico.
      3. Em Condições, selecione Verdadeiro para ativar a condição.
      4. Clique em + Política de dispositivo para abrir as opções e marque Exigir dispositivo da empresa.
      5. Clique em Salvar para salvar a política de acesso.

    Ativar a CAA do Chrome Enterprise Premium para o console Google Cloud

    Para atribuir controles de acesso baseado no contexto (CAA) às estações de trabalho, comece ativando o CAA para o console Google Cloud :

    1. No consoleGoogle Cloud , acesse Segurança > BeyondCorp Enterprise.

    2. Clique em Gerenciar acesso ao Google Cloud console e à API. Isso direciona você para a página Nível da organização do Chrome Enterprise Premium.

    3. Na seção Console e APIs do Secure Google Cloud , clique em Ativar.

    Adicionar os grupos do Google necessários com níveis de acesso

    Adicione os grupos de administradores necessários com os membros relevantes e a política de acesso correta.

    Console

    1. Crie uma política de acesso de administrador chamada CloudAdminAccess com o local definido para as regiões em que seus administradores trabalham. Isso garante que os administradores possam acessar recursos mesmo quando outra política os bloqueia.

    2. Crie um grupo do IAM com acesso de administrador em IAM e administrador > Grupos.

      1. Selecione a organização.
      2. Crie um grupo e nomeie-o como Usuários administradores do Cloud.
      3. Atribua a si mesmo e a outros administradores a esse grupo.
      4. Clique em Salvar.

    3. Acesse Segurança > Chrome Enterprise Premium. Clique em Gerenciar acesso e revise a lista de grupos e níveis de acesso que aparece.

    4. Clique em Adicionar participantes ao console e às APIs do Google Cloud .

      1. Em Grupos do Google, selecione Usuários administradores do Cloud. Esse é o grupo do Google que você selecionou na etapa anterior.
      2. Selecione CloudAdminAccess, o nível de acesso que você criou para acesso de administrador.
      3. Clique em Salvar.

    gcloud e API

    Para ativar o teste sem execução, siga o tutorial de teste sem execução do Chrome Enterprise Premium.

    Atribuir nível de acesso ao grupo de usuários do Cloud Workstations

    Para atribuir o nível de acesso ao grupo de usuários dos Cloud Workstations:

    1. Acesse Segurança > Chrome Enterprise Premium e clique em Gerenciar acesso.

    2. Revise a lista de grupos e níveis de acesso que aparece.

    3. Clique em Adicionar participantes ao console e às APIs do Google Cloud .

      1. Em Grupos do Google, selecione Usuários do Cloud Workstations. Esse é o grupo do Google que você selecionou na etapa anterior.
      2. Selecione o nível de acesso que você criou anteriormente, corpManagedDevice.
      3. Clique em Salvar.

    Testar o acesso de desenvolvedores ao Cloud Workstations

    Teste o acesso do desenvolvedor à API Cloud Workstations de vários pontos de entrada. Em um dispositivo corporativo, verifique se os desenvolvedores podem acessar a API da estação de trabalho.

    • Teste se o acesso à API da estação de trabalho de um dispositivo não gerenciado está bloqueado:

      O Chrome Enterprise Premium bloqueia os usuários que tentam acessar a API Cloud Workstations. Quando os usuários tentam fazer login, uma mensagem de erro aparece, informando que eles não têm acesso ou que precisam verificar a conexão de rede e as configurações do navegador.

    • Teste se o acesso à API da estação de trabalho de um dispositivo corporativo está ativado:

      Os desenvolvedores com acesso ao Chrome Enterprise Premium e ao Cloud Workstations podem criar e iniciar a estação de trabalho.

    Parte 2: configurar os recursos de DLP do Chrome Enterprise Premium

    Esta seção inclui etapas para aproveitar o BeyondCorp Threat and Data Protection e integrar recursos de prevenção contra perda de dados (DLP). Isso ajuda a evitar a exfiltração de código-fonte do editor de base do Cloud Workstations (Code OSS para Cloud Workstations) baseado no Chrome.

    Siga estas etapas para configurar os recursos de DLP do Chrome Enterprise Premium e ajudar a impedir o download do código-fonte:

    1. Ative a proteção de dados e contra ameaças.
    2. Crie uma regra de DLP do BeyondCorp.
    3. Revise as configurações e crie a regra.
    4. Teste a regra da DLP.

    Ativação da proteção de dados e contra ameaças

    Para ativar a proteção contra ameaças e dados no Admin Console do Google Workspace, siga estas etapas:

    1. Acesse Dispositivos > Chrome > Configurações > Usuários e navegadores.

    2. Depois de selecionar o identificador da unidade organizacional (ID da UO), clique em Pesquisar ou adicionar um filtro em Configurações de usuário e navegador e selecione o subtipo Categoria.

    3. Pesquise o conector do Chrome Enterprise no subtipo Categoria.

    4. Em Análise de conteúdo transferido por download, selecione Google BeyondCorp Enterprise.

    5. Expanda Configurações adicionais.

      1. Selecione Atrasar o acesso ao arquivo até que a análise seja concluída.
      2. Em Verificar dados sensíveis > Modo, selecione Ativado por padrão, exceto para o seguinte padrão de URL.

    6. Clique em Salvar para salvar a configuração.

    Criar uma regra de DLP do Chrome Enterprise Premium

    Para criar uma regra de DLP, siga estas etapas:

    1. Acesse o Admin Console do Google Workspace e selecione Segurança > Controle de dados e acesso > Proteção de dados > Gerenciar regras.

    2. Para criar uma regra, clique em Adicionar regra e em Nova regra. A página Nome e escopo será aberta.

    3. Na seção Nome, insira um nome e uma descrição. Por exemplo, no campo Nome, insira CloudWorkstations-DLP-Rule1 e, no campo Descrição, insira Cloud Workstations Data Loss Prevention Rule 1.

    4. Na seção Escopo, configure o seguinte:

      1. Selecione Unidades organizacionais e/ou grupos.
      2. Clique em Incluir unidades organizacionais e selecione sua organização.
      3. Clique em Continuar.

    5. Na seção Apps, configure o seguinte:

      1. Nas opções do Chrome, selecione Arquivo enviado e Arquivo salvo.
      2. Clique em Continuar.

    6. Na página Condições, configure o seguinte:

      1. Clique em Adicionar condição para criar uma condição.
      2. Selecione Todo o conteúdo.
      3. Selecione Corresponde a um tipo de dados predefinido (recomendado).
      4. Em Selecionar tipo de dados, escolha Documentos — Arquivo de código-fonte.
      5. No campo Limite de probabilidade, selecione Alto.
      6. No campo Mínimo de correspondências exclusivas, insira 1.
      7. No campo Número mínimo de correspondências, insira 1.
      8. Clique em Continuar.

    7. Na página Ações, configure o seguinte:

      1. Nas opções de Ações, selecione Chrome > Bloquear conteúdo.
      2. Nas opções de Alertas, configure o seguinte:
        • Em gravidade, selecione Média.
        • Selecione Enviado para a Central de alertas.
      3. Clique em Continuar.

    Revisar as configurações e criar a regra

    Na página Revisar, revise as configurações definidas nas páginas anteriores:

    1. Verifique se as configurações estão corretas.
    2. Para continuar, clique em Criar.
    3. Na próxima página, verifique se a opção Ativo está selecionada.
    4. Para concluir a criação da regra, clique em Concluir.

    Testar a regra da DLP

    Agora que a regra da DLP foi adicionada, é possível testar nos Cloud Workstations no Chrome:

    1. Em uma nova guia do Chrome, digite chrome://policy e clique em Recarregar políticas para garantir que a política do Chrome seja atualizada.

    2. Role a tela para baixo para conferir uma lista de políticas. Se você encontrar essas informações, as políticas foram extraídas. Nesse caso, procure a política OnFileDownloadEnterpriseConnector.

    3. Navegue até o consoleGoogle Cloud e crie uma configuração do Cloud Workstations.

      Ao criar a configuração da estação de trabalho, selecione Editores de código em imagens de base e escolha a imagem de base pré-configurada do Editor de base (Code OSS para Cloud Workstations).

    4. Criar uma estação de trabalho.

    5. Inicie e abra sua estação de trabalho.

    6. Acesse o URL do Code OSS para Cloud Workstations que aparece depois de iniciar a estação de trabalho e se conectar à porta 80.

    7. Clone um repositório com a opção Clonar repositório Git no ambiente de desenvolvimento integrado. Depois que o repositório for clonado, tente baixar um arquivo com código-fonte.

      Para fazer o download de arquivos na visualização do Explorer do Code OSS para Cloud Workstations, use qualquer um dos seguintes métodos:

      • Arraste os arquivos da visualização do Explorer.

      • Navegue até os arquivos e diretórios que você quer usar, clique com o botão direito do mouse e escolha Fazer o download.

    8. Ao fazer o download, a política de DLP entra em vigor. Observe uma notificação de download bloqueado que informa que as políticas da sua organização não foram atendidas:

    Parabéns! Você ajudou a impedir o download de arquivos de código-fonte.

    Limpar

    Para evitar cobranças na sua conta do Google Cloud pelos recursos usados neste tutorial, exclua o projeto que os contém ou mantenha o projeto e exclua os recursos individuais. Para mais informações, consulte Excluir recursos.

    A seguir