Ajude a proteger a API Cloud Workstations usando o Chrome Enterprise Premium

Visão geral

O Chrome Enterprise Premium é a solução de confiança zero doGoogle Cloud que permite que a força de trabalho de uma organização acesse aplicativos da Web com segurança de qualquer lugar, sem a necessidade de VPN, e ajuda a evitar malware, phishing e perda de dados.

Com o poder do Google Chrome, o Chrome Enterprise Premium permite que os usuários acessem aplicativos em qualquer dispositivo. O Chrome Enterprise Premium está ampliando os recursos para resolver alguns desafios de segurança importantes no ambiente de desenvolvedores. Usando o controle de acesso com base no contexto para o console do Google Cloud e as APIs, o Chrome Enterprise Premium oferece mais segurança para a API Cloud Workstations.

A tabela a seguir lista se o Chrome Enterprise Premium oferece suporte ao controle de acesso com base no contexto para o método de acesso especificado do Cloud Workstations.

  • A marca de seleção indica que o Chrome Enterprise Premium limita esse método de acesso do Cloud Workstations.
  • O ícone sem suporte indica que o Chrome Enterprise Premium não limita esse método de acesso do Cloud Workstations.

Objetivos

Este documento descreve as etapas que um administrador segue para configurar o controle de acesso do Chrome Enterprise Premium para a API Cloud Workstations e fornecer mecanismos adicionais que ajudam a impedir a exfiltração de código-fonte de IDEs do Cloud Workstations baseados em navegador.

Custos

Como parte deste tutorial, talvez seja necessário envolver outras equipes (para faturamento ou IAM) e também testar o controle de acesso para demonstrar que os limites do Chrome Enterprise Premium estão em vigor.

Neste documento, você usará os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços. Novos usuários do Google Cloud podem estar qualificados para uma avaliação gratuita.

Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Saiba mais em Limpeza.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Acessar o IAM
    2. Selecionar um projeto.
    3. Clique em CONCEDER ACESSO.
    4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Salvar.
    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Make sure that billing is enabled for your Google Cloud project.

    10. Enable the Workstations API.

      Enable the API

    11. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.
      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Acessar o IAM
      2. Selecionar um projeto.
      3. Clique em CONCEDER ACESSO.
      4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

      5. Na lista Selecionar um papel, escolha um.
      6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
      7. Clique em Salvar.
      8. Verifique se você atribuiu uma licença do Chrome Enterprise Premium Standard a cada um dos seus usuários. Somente os usuários com uma licença têm os controles de acesso aplicados. Para saber mais, consulte Atribuir, remover e reatribuir licenças.

      Parte 1: configurar o Chrome Enterprise Premium para estações de trabalho em nuvem

      Nesta seção, você vai conferir as etapas para proteger o acesso baseado no contexto à API Cloud Workstations:

      1. Configure o Cloud Workstations.
      2. Crie um usuário e um grupo de demonstração.
      3. Crie um nível de acesso no Access Context Manager.
      4. Ative o CAA do Chrome Enterprise Premium.
      5. Adicione grupos do Google obrigatórios com níveis de acesso.
      6. Testar o acesso do desenvolvedor ao Cloud Workstations.

      Configurar o Cloud Workstations

      No console do Google Cloud, crie uma configuração de estação de trabalho.

      Se você não conhece o Cloud Workstations, consulte a Visão geral e as descrições da arquitetura do Cloud Workstations.

      Criar um usuário e um grupo de demonstração

      No Admin Console do Google Workspace, crie um usuário de demonstração e um novo grupo de usuários. Quando ativado, o acesso com base no contexto (CAA, na sigla em inglês) para o console do Google Cloud é aplicado a todos os usuários e grupos do Google porque é uma configuração global.

      1. Faça login no Google Workspace Admin Console com sua conta de administrador: Menu > Diretório > Usuários > Adicionar novo usuário.

      2. Crie um usuário de demonstração: demo-user@<domain>.

      3. Faça login no console do Google Cloud e navegue até Menu > IAM e administrador > Grupos.

      4. Crie um grupo de IAM para o acesso às estações de trabalho do Cloud, dê a ele o nome Cloud Workstations Users e atribua o usuário de demonstração criado anteriormente, demo-user@<domain>.

      5. Clique em Salvar.

      6. Crie também um grupo de administradores do IAM e nomeie-o como Usuários administradores do Cloud. Atribua os administradores do projeto e da organização a esse grupo.

      7. Adicione o usuário de demonstração, demo-user@<domain>, ao grupo de usuários das estações de trabalho do Cloud que você criou:

        1. No console do Google Cloud, acesse Cloud Workstations > Workstations.
        2. Selecione a estação de trabalho e clique em more_vertMais > Adicionar usuários.
        3. Selecione o usuário de demonstração, demo-user@<domain>, e selecione Cloud Workstations User como Função.
        4. Para conceder ao usuário de demonstração acesso à estação de trabalho, selecione demo-user@<domain>, selecione Cloud Workstations Users como Função e clique em Salvar.

      Criar um nível de acesso

      Volte ao console do Google Cloud para criar um nível de acesso no Access Context Manager.

      Siga estas instruções para testar o acesso:

      1. No console do Google Cloud, navegue até Segurança > Gerenciador de contexto de acesso para configurar uma política de dispositivo gerenciada pela empresa.

      2. Clique em Criar nível de acesso e preencha os seguintes campos:

        1. No campo Título do nível de acesso, insira corpManagedDevice.
        2. Selecione o Modo básico.
        3. Em Condições, selecione Verdadeiro para ativar a condição.
        4. Clique em + Dispositivo política para expandir as opções e marque Exigir dispositivo da empresa.
        5. Clique em Salvar para salvar a política de acesso.

      Ativar a CAA do Chrome Enterprise Premium para o console do Google Cloud

      Para atribuir controles de acesso baseados no contexto (CAA, na sigla em inglês) a estações de trabalho, comece ativando o CAA no console do Google Cloud:

      1. No console do Google Cloud, acesse Segurança > BeyondCorp Enterprise.

      2. Clique em Gerenciar o acesso ao console e à API do Google Cloud. Isso leva você à página Nível da organização do Chrome Enterprise Premium.

      3. Na seção Console e APIs do Google Cloud Secure, clique em Ativar.

      Adicionar grupos do Google obrigatórios com níveis de acesso

      Adicione os grupos de administradores necessários com membros relevantes e a política de acesso correta.

      Console

      1. Crie uma política de acesso de administrador chamada CloudAdminAccess com o local definido para as regiões em que os administradores trabalham. Isso garante que os administradores possam acessar os recursos mesmo quando outra política os bloqueia.

      2. Crie um grupo do IAM com acesso de administrador em IAM e Admin > Grupos.

        1. Selecione a organização.
        2. Crie um grupo e nomeie-o como Usuários administradores do Cloud.
        3. Atribua a você e a outros administradores a este grupo.
        4. Clique em Salvar.
      3. Acesse Segurança > Chrome Enterprise Premium. Clique em Gerenciar acesso e analise a lista de grupos e níveis de acesso que aparecem.

      4. Clique em Adicionar participantes ao Google Cloud console e às APIs.

        1. Em Grupos do Google, selecione Usuários administradores do Cloud. Esse é o grupo do Google que você selecionou na etapa anterior.
        2. Selecione CloudAdminAccess, o nível de acesso que você criou para acesso de administrador.
        3. Clique em Salvar.

      gcloud e API

      Para ativar o teste, siga o tutorial de teste do Chrome Enterprise Premium.

      Atribuir o nível de acesso ao grupo de usuários do Cloud Workstations

      Para atribuir o nível de acesso ao grupo de usuários do Cloud Workstations:

      1. Acesse Segurança > Chrome Enterprise Premium e clique em Gerenciar acesso.

      2. Confira a lista de grupos e níveis de acesso que aparece.

      3. Clique em Adicionar participantes ao Google Cloud console e às APIs.

        1. Em Grupos do Google, selecione Usuários do Cloud Workstations. Esse é o grupo do Google que você selecionou na etapa anterior.
        2. Selecione o nível de acesso que você criou anteriormente, corpManagedDevice.
        3. Clique em Salvar.

      Testar o acesso de desenvolvedores ao Cloud Workstations

      Teste o acesso do desenvolvedor à API Cloud Workstations em vários pontos de entrada. Para um dispositivo de propriedade corporativa, verifique se os desenvolvedores podem acessar a API da estação de trabalho.

      • Teste se o acesso à API da estação de trabalho de um dispositivo não gerenciado está bloqueado:

        O Chrome Enterprise Premium bloqueia usuários que tentam acessar a API Cloud Workstations. Quando os usuários tentam fazer login, uma mensagem de erro aparece, informando que o usuário não tem acesso ou que ele precisa verificar a conexão de rede e as configurações do navegador.

      • Teste se o acesso à API da estação de trabalho em um dispositivo de propriedade corporativa está ativado:

        Os desenvolvedores com acesso ao Chrome Enterprise Premium e ao Cloud Workstations podem criar a estação de trabalho e, em seguida, iniciar a estação de trabalho.

      Parte 2: configurar os recursos de DLP do Chrome Enterprise Premium

      Esta seção inclui etapas para aproveitar o BeyondCorp Threat and Data Protection para integrar recursos de Prevenção contra a perda de dados (DLP). Isso ajuda a evitar a exfiltração do código-fonte do editor de base do Cloud Workstations (Code OSS for Cloud Workstations) baseado no Chrome.

      Siga estas etapas para configurar os recursos de DLP do Chrome Enterprise Premium e evitar o download do código-fonte:

      1. Ative a proteção de dados e contra ameaças.
      2. Crie uma regra de DLP do BeyondCorp.
      3. Revise as configurações e crie a regra.
      4. Teste a regra da DLP.

      Ativação da proteção de dados e contra ameaças

      Para ativar a proteção contra ameaças e de dados no Admin Console do Google Workspace, siga estas etapas:

      1. Acesse Dispositivos > Chrome > Configurações > Usuários e navegadores.

      2. Depois de selecionar o identificador de unidade organizacional (ID da OU), clique em Pesquisar ou adicionar um filtro em Configurações do usuário e do navegador e selecione o subtipo Categoria.

      3. Pesquise o conector do Chrome Enterprise no subtipo Categoria.

      4. Em Análise de conteúdo transferido por download, selecione Google BeyondCorp Enterprise.

      5. Expanda Configurações adicionais.

        1. Selecione Atrasar o acesso ao arquivo até que a análise seja concluída.
        2. Em Verificar dados sensíveis > Modo, selecione Ativada por padrão, exceto para o seguinte padrão de URL.
      6. Clique em Salvar para salvar a configuração.

      Criar uma regra de DLP do Chrome Enterprise Premium

      Para criar uma regra de DLP, siga estas etapas:

      1. Acesse o Admin Console do Google Workspace e selecione Segurança > Controle de acesso e dados > Proteção de dados > Gerenciar regras.

      2. Para criar uma regra, clique em Adicionar regra e em Nova regra. A página Nome e escopo será aberta.

      3. Na seção Nome, digite um nome e uma descrição. Por exemplo, no campo Nome, insira CloudWorkstations-DLP-Rule1 e, no campo Descrição, insira Cloud Workstations Data Loss Prevention Rule 1.

      4. Na seção Escopo, configure o seguinte:

        1. Selecione Unidades organizacionais e/ou grupos.
        2. Clique em Incluir unidades organizacionais e selecione sua organização.
        3. Clique em Continuar.
      5. Na seção Apps, configure o seguinte:

        1. Nas opções do Chrome, selecione Arquivo enviado e Arquivo transferido por download.
        2. Clique em Continuar.
      6. Na página Condições, configure o seguinte:

        1. Clique em Adicionar condição para criar uma nova.
        2. Selecione Todo o conteúdo.
        3. Selecione Corresponde ao tipo de dados predefinido (recomendado).
        4. Em Selecionar tipo de dados, selecione Documentos: arquivo de código-fonte.
        5. No campo Limite de probabilidade, selecione Alto.
        6. No campo Mínimo de correspondências exclusivas, insira 1.
        7. No campo Número mínimo de correspondências, insira 1.
        8. Clique em Continuar.
      7. Na página Ações, configure o seguinte:

        1. Nas opções Ações, selecione Chrome > Bloquear conteúdo.
        2. Nas opções de Alerta, configure o seguinte:
          • Em "Gravidade", selecione Média.
          • Selecione Enviada para a Central de alertas.
        3. Clique em Continuar.

      Revise as configurações e crie a regra

      Na página Revisar, revise as configurações que você configurou nas páginas anteriores:

      1. Verifique se as configurações estão corretas.
      2. Para continuar, clique em Criar.
      3. Na próxima página, verifique se a opção Ativo está selecionada.
      4. Para concluir a criação da regra, clique em Concluir.

      Testar a regra da DLP

      Agora que a regra da DLP foi adicionada, você pode testar em Estações de trabalho do Cloud no Chrome:

      1. Em uma nova guia do Chrome, digite chrome://policy e clique em Recarregar políticas para garantir que a política do Chrome seja atualizada.

      2. Role a tela para baixo e confira uma lista de políticas. Se você vir essas mensagens, as políticas foram removidas. Nesse caso, procure a política OnFileDownloadEnterpriseConnector.

      3. Acesse o console do Google Cloud e crie uma configuração de estações de trabalho do Cloud.

        Ao criar a configuração da estação de trabalho, selecione Editores de código em imagens de base e, em seguida, selecione a Imagem de base preconfigurada do Editor de base (Code OSS para Cloud Workstations) .

      4. Criar uma estação de trabalho.

      5. Iniciar e lançar a estação de trabalho.

      6. Acesse o URL do Code OSS para estações de trabalho do Cloud que aparece depois de iniciar a estação de trabalho e se conectar à porta 80.

      7. Clone um repositório com a opção Clone Git Repository no ambiente de desenvolvimento integrado. Depois que o repositório for clonado, tente fazer o download de um arquivo com código-fonte.

        Para fazer o download de arquivos na visualização do Code OSS para o Cloud Workstations Explorer, use um dos seguintes métodos:

        • Arraste arquivos da visualização do Explorer.

        • Navegue até os arquivos e diretórios que você quer usar, clique com o botão direito do mouse e escolha Fazer o download.

      8. Após o download, a política de DLP entra em vigor. Uma notificação de download bloqueado informa que as políticas da sua organização não foram atendidas:

      Parabéns! Você ajudou a impedir o download de arquivos de código-fonte.

      Limpar

      Para evitar cobranças na sua conta Google Cloud pelos recursos usados neste tutorial, exclua o projeto que contém os recursos ou mantenha o projeto e exclua os recursos individuais. Para mais informações, consulte Excluir recursos.

      A seguir