概览
Chrome 企业进阶版是Google Cloud的零信任解决方案,可让组织员工随时随地安全地访问 Web 应用,而无需 VPN,并有助于防范恶意软件、钓鱼式攻击和数据丢失。
借助强大的 Google Chrome,Chrome 企业进阶版可让用户从任何设备访问应用。Chrome Enterprise 进阶版正在拓展其功能,以解决开发者环境中的一些关键安全挑战。 Chrome Enterprise 进阶版可为 Google Cloud 控制台和 API 使用情境感知访问控制,从而为 Cloud Workstations API 提供额外的安全防护。
下表列出了 Chrome Enterprise Premium 是否支持针对指定 Cloud Workstations 访问方法的上下文感知型访问控制。
- 对勾标记表示 Chrome Enterprise 进阶版限制了此 Cloud Workstations 访问方法。
- “不受支持”图标表示 Chrome Enterprise 高级版不会限制此 Cloud Workstations 访问方法。
目标
本文档介绍了管理员为 Cloud Workstations API 设置 Chrome Enterprise 进阶版访问控制的步骤,以及提供有助于防止从基于浏览器的 Cloud Workstations IDE 渗漏源代码的其他机制。
费用
在本教程中,您可能需要让其他团队参与(如结算团队或 IAM 团队),还需要测试访问控制,以证明已设置好 Chrome 企业版 Premium 防护措施。在本文档中,您将使用 Google Cloud 的以下收费组件:
您可使用价格计算器根据您的预计使用情况来估算费用。
完成本文档中描述的任务后,您可以通过删除所创建的资源来避免继续计费。如需了解详情,请参阅清理。
准备工作
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Workstations API.
-
Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
进入 IAM - 选择项目。
- 点击 授予访问权限。
-
在新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
-
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Workstations API.
-
Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
进入 IAM - 选择项目。
- 点击 授予访问权限。
-
在新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
-
-
请确保您已向每位用户分配了 Chrome 企业进阶版标准许可。只有拥有许可的用户才会受到访问权限控制。如需了解详情,请参阅分配、移除和重新分配许可。
第 1 部分:为云工作站设置 Chrome Enterprise Premium
本部分将引导您完成以下步骤,以帮助您安全地获得对 Cloud Workstations API 的情境感知访问权限:
- 设置 Cloud Workstations。
- 创建“受众特征”用户和“受众特征”群组。
- 在 Access Context Manager 中创建访问权限级别。
- 启用 Chrome Enterprise 进阶版 CAA。
- 添加具有访问权限级别的所需 Google 群组。
- 测试开发者对 Cloud Workstations 的访问权限。
设置 Cloud Workstations
在 Google Cloud 控制台中,创建工作站配置。
如果您不熟悉 Cloud Workstations,请参阅 Cloud Workstations 的概览和架构说明。
创建演示用户和演示群组
在 Google Workspace 管理控制台中,创建一个演示用户和一个新用户群组。启用后,Google Cloud 控制台的上下文感知型访问权限 (CAA) 会应用于所有用户和 Google 群组,因为它是一种全局设置。
使用管理员账号登录 Google Workspace 管理控制台,然后依次点击菜单 > 目录 > 用户 > 添加新用户。
创建演示版用户:
demo-user@<domain>
。登录 Google Cloud 控制台,然后依次前往菜单 > IAM 和管理 > 群组。
为 Cloud Workstations 访问权限创建一个 IAM 群组,并将其命名为
Cloud Workstations Users
,然后分配之前创建的演示版用户demo-user@<domain>
。点击保存。
此外,还要创建一个 IAM 管理员群组,并将其命名为 Cloud Admin Users。将您的项目和组织管理员分配到此群组。
将演示用户
demo-user@<domain>
添加到您创建的 Cloud Workstations 用户组:- 在 Google Cloud 控制台中,依次前往 Cloud Workstations > Workstations。
- 选择工作站,然后依次点击 more_vert更多 > 添加用户。
- 选择演示用户
demo-user@<domain>
,然后选择Cloud Workstations User
作为角色。 - 如需向演示版用户授予对工作站的访问权限,请选择
demo-user@<domain>
,选择Cloud Workstations Users
作为角色,然后点击保存。
创建访问权限级别
返回 Google Cloud 控制台,在 Access Context Manager 中创建访问权限级别。
请按照以下说明测试访问权限:
在 Google Cloud 控制台中,依次前往安全性 > Access Context Manager,以配置公司管理的设备政策。
点击创建访问权限级别,然后填写以下字段:
- 在访问权限级别标题字段中,输入
corpManagedDevice
。 - 选择基本 模式。
- 在条件下,选择正确以启用该条件。
- 点击 + 设备 政策以展开选项,然后选中需要公司自有设备。
- 点击保存以保存访问权限政策。
- 在访问权限级别标题字段中,输入
为 Google Cloud 控制台启用 Chrome Enterprise 进阶版 CAA
如需向工作站分配情境感知访问控制 (CAA),请先为 Google Cloud 控制台启用 CAA:
在 Google Cloud 控制台中,依次前往安全性 > BeyondCorp Enterprise。
点击管理对 Google Cloud 控制台和 API 的访问权限。 您将进入 Chrome Enterprise 进阶版的组织级页面。
在 Secure Google Cloud console & APIs(保护 Google Cloud 控制台和 API)部分,点击 Enable(启用)。
添加具有访问权限级别的所需 Google 群组
添加包含相关成员和正确访问权限政策的所需管理员群组。
控制台
创建一个名为 CloudAdminAccess 的管理员访问权限政策,并将位置设置为管理员工作的区域。这样,即使其他政策阻止管理员访问资源,他们也能访问资源。
依次前往 IAM 和管理 > 群组,创建具有管理员访问权限的 IAM 群组。
- 选择组织。
- 创建一个群组,并将其命名为 Cloud 管理员用户。
- 将您自己和任何其他管理员添加到此群组。
- 点击保存。
依次前往安全性 > Chrome 企业进阶版。 点击管理访问权限,然后查看随即显示的群组和访问权限级别列表。
点击向 Google Cloud 控制台和 API 添加主账号。
- 对于 Google 群组,选择 Cloud 管理员用户。这是您在上一步中选择的 Google 群组。
- 选择您为管理员访问权限创建的访问权限级别 CloudAdminAccess。
- 点击保存。
gcloud 和 API
如需启用模拟运行,请按照 Chrome Enterprise 进阶版模拟运行教程中的说明操作。
向 Cloud Workstations 用户群组分配访问权限级别
如需向 Cloud Workstations 用户群组分配访问权限级别,请执行以下操作:
依次前往安全性 > Chrome 企业进阶版,然后点击管理访问权限。
查看系统显示的群组和访问权限级别列表。
点击向 Google Cloud 控制台和 API 添加主账号。
- 对于 Google 群组,选择 Cloud Workstations 用户。 这是您在上一步中选择的 Google 群组。
- 选择您之前创建的访问权限级别
corpManagedDevice
。 - 点击保存。
测试开发者对 Cloud Workstations 的访问权限
测试开发者是否可以通过多个入口点访问 Cloud Workstations API。对于公司所有的设备,请确保开发者可以访问工作站 API。
测试是否禁止从非受管设备访问工作站 API:
Chrome Enterprise 进阶版会阻止用户尝试访问 Cloud Workstations API。当用户尝试登录时,系统会显示一条错误消息,告知用户他们没有访问权限或应检查网络连接和浏览器设置。
测试是否已启用对公司自有设备的访问权限:
拥有 Chrome Enterprise 进阶版和 Cloud Workstations 访问权限的开发者应该能够创建工作站,然后启动工作站。
第 2 部分:设置 Chrome Enterprise 进阶版 DLP 功能
本部分介绍了利用 BeyondCorp Threat and Data Protection 集成数据泄露防护 (DLP) 功能的步骤。这有助于防止从基于 Chrome 的 Cloud Workstations 基本编辑器(适用于 Cloud Workstations 的 Code OSS)渗漏源代码。
请按照以下步骤设置 Chrome Enterprise 进阶版 DLP 功能,以帮助防止下载源代码:
启用威胁防范和数据保护
如需通过 Google Workspace 管理控制台启用威胁防范和数据保护功能,请按以下步骤操作:
依次点击设备 > Chrome > 设置 > 用户和浏览器。
选择组织部门标识符 (OU ID) 后,点击用户和浏览器设置下的搜索或添加过滤条件,然后选择类别子类型。
在类别子类型中搜索 Chrome 企业版连接器。
在下载内容分析中,选择 Google BeyondCorp Enterprise。
展开其他设置。
- 选择分析结束后才能访问文件。
- 在检查敏感数据 > 模式中,选择默认为开启(下列网址格式除外)。
点击保存以保存配置。
创建 Chrome Enterprise 进阶版 DLP 规则
如需创建 DLP 规则,请按以下步骤操作:
前往 Google Workspace 管理控制台,然后依次选择安全性 > 访问权限和数据控件 > 数据保护 > 管理规则。
如需创建新规则,请点击添加规则,然后点击新建规则。此时,系统会打开名称和范围页面。
在名称部分,输入名称和说明。例如,在名称字段中输入
CloudWorkstations-DLP-Rule1
,在说明字段中输入Cloud Workstations Data Loss Prevention Rule 1
。在范围部分,配置以下内容:
- 选择组织部门和/或群组。
- 点击包含组织部门,然后选择您的组织。
- 点击继续。
在应用部分,配置以下内容:
- 在 Chrome 选项中,选择文件已上传和文件已下载。
- 点击继续。
在条件页面中,配置以下内容:
- 点击添加条件以创建新条件。
- 选择所有内容。
- 选择与预定义的数据类型匹配(推荐)。
- 在选择数据类型中,选择文档 - 源代码文件。
- 对于可能性阈值字段,选择高。
- 在不重复匹配数量下限字段中,输入 1。
- 在最低相符项目数字段中,输入 1。
- 点击继续。
在操作页面上,配置以下各项:
- 在操作选项中,依次选择 Chrome > 屏蔽内容。
- 在提醒选项中,配置以下各项:
- 在“严重程度”中,选择中。
- 选择发送至提醒中心。
- 点击继续。
查看设置并创建规则
在检查页面上,查看您在前面页面中配置的设置:
- 确保设置正确无误。
- 如需继续,请点击创建。
- 在下一页上,确保选择了有效。
- 点击完成以完成规则的创建。
测试数据泄露防护规则
现在,您已添加 DLP 规则,可以通过 Chrome 中的 Cloud Workstations 进行测试:
在新的 Chrome 标签页中,输入
chrome://policy
,然后点击重新加载政策,确保 Chrome 政策已更新。向下滚动,确保看到政策列表。如果您看到这些信息,则表示政策已成功移除。在本例中,请查找 OnFileDownloadEnterpriseConnector 政策。
前往 Google Cloud 控制台,然后创建 Cloud Workstations 配置。
创建工作站配置时,请务必选择基础映像上的代码编辑器,然后选择 Base Editor (Code OSS for Cloud Workstations)(Cloud Workstations 专用 Code OSS)预配置的基础映像。
访问在您启动工作站并连接到端口 80 后显示的 Code OSS for Cloud Workstations 网址。
在 IDE 中使用 Clone Git Repository 选项克隆代码库。克隆代码库后,请尝试下载文件,其中包含源代码。
如需在 Cloud Workstations 的 Code OSS Explorer 视图中下载文件,请使用以下任一方法:
从“资源管理器”视图中拖动文件。
前往要使用的文件和目录,右键点击,然后选择下载。
DLP 政策会在下载后生效。收到下载被阻止的通知,其中指出不符合贵组织的政策:
恭喜!您已成功阻止下载源代码文件。
清理
为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用,请删除包含这些资源的项目,或者保留项目但删除各个资源。如需了解详情,请参阅删除资源。
后续步骤
- 如需详细了解 Chrome 企业进阶版,请参阅 Chrome 企业进阶版概览。
- 了解将 Chrome 企业进阶版应用到云端和本地资源的简要步骤。 Google Cloud