概览
Chrome 企业进阶版是 Google Cloud 的零信任解决方案,可让组织的员工随时随地安全地访问 Web 应用,而无需 VPN,并有助于防范恶意软件、钓鱼式攻击和数据丢失。
借助强大的 Google Chrome,Chrome Enterprise 进阶版可让用户通过任何设备访问应用。Chrome Enterprise 进阶版正在拓展其功能,以解决开发者环境中的一些关键安全问题。 针对以下项目使用情境感知访问权限控制 Google Cloud 控制台和 API; Chrome Enterprise Premium 可为 Cloud Workstations API 提升安全性。
下表列出了 Chrome Enterprise Premium 是否支持针对指定 Cloud Workstations 访问方法的上下文感知型访问控制。
- 对勾标记表示 Chrome Enterprise 进阶版限制了此 Cloud Workstations 访问方法。
- “不受支持”图标表示 Chrome Enterprise 高级版不会限制此 Cloud Workstations 访问方法。
目标
本文档介绍了管理员要执行的设置步骤 针对 Cloud Workstations API 的 Chrome Enterprise Premium 访问权限控制 并提供有助于防止源代码渗漏的其他机制 Cloud Workstations IDE 中。
费用
在本教程中,您可能需要让其他团队参与进来(以便结算 (即 IAM)并测试访问权限控制以证明 已实施 Chrome Enterprise Premium 安全措施。在本文档中,您将使用 Google Cloud 的以下收费组件:
您可使用价格计算器根据您的预计使用情况来估算费用。
完成本文档中描述的任务后,您可以通过删除所创建的资源来避免继续计费。如需了解详情,请参阅清理。
准备工作
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Workstations API.
-
Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
前往 IAM - 选择项目。
- 点击 授予访问权限。
-
在新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击保存。
-
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Workstations API.
-
Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
前往 IAM - 选择项目。
- 点击 授予访问权限。
-
在新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击保存。
-
-
确保您已将 为每位用户授予 Chrome Enterprise Premium Standard 许可。只有拥有许可的用户才会受到访问权限控制的约束。如需了解详情,请参阅 分配、移除和重新分配许可。
第 1 部分:为 Cloud Workstations 设置 Chrome Enterprise Premium
本部分介绍了有助于保护情境感知访问权限的步骤 连接到 Cloud Workstations API:
- 设置 Cloud Workstations。
- 创建演示用户和演示群组。
- 在 Access Context Manager 中创建访问权限级别。
- 启用 Chrome Enterprise Premium CAA。
- 添加所需的 Google 群组及访问权限级别。
- 测试开发者对 Cloud Workstations 的访问权限。
设置 Cloud Workstations
在 Google Cloud 控制台中, 工作站配置。
如果您不熟悉 Cloud Workstations,请参阅 Cloud Workstations 概览 和 架构 信息。
创建演示用户和演示群组
在 Google Workspace 管理控制台中,创建一个演示用户和一个新用户群组。启用后,Google Cloud 控制台的上下文感知型访问权限 (CAA) 会应用于所有用户和 Google 群组,因为它是一种全局设置。
使用管理员账号登录 Google Workspace 管理控制台,然后依次点击菜单 > 目录 > 用户 > 添加新用户。
创建演示版用户:
demo-user@<domain>。登录 Google Cloud 控制台,然后依次前往菜单 > IAM 和管理 > 群组。
创建一个用于访问 Cloud Workstations 的 IAM 群组。 将其命名为
Cloud Workstations Users,并将之前的 已创建演示用户demo-user@<domain>。点击保存。
此外,还要创建一个 IAM 管理员群组,并将其命名为 Cloud Admin Users。将您的项目和组织管理员分配到此群组。
将演示用户
demo-user@<domain>添加到您创建的 Cloud Workstations 用户组:- 在 Google Cloud 控制台中,依次前往 Cloud Workstations > Workstations。
- 选择工作站,然后点击 more_vert更多 > 添加用户。
- 选择演示用户
demo-user@<domain>,然后选择Cloud Workstations User作为 Role。 - 如需向演示用户授予对工作站的访问权限,请选择
demo-user@<domain>,请选择Cloud Workstations Users作为 角色,然后点击保存。
创建访问权限级别
返回 Google Cloud 控制台,在以下位置创建访问权限级别: Access Context Manager。
请按照以下说明测试访问权限:
在 Google Cloud 控制台中,前往 安全性 > Access Context Manager 配置企业管理的设备政策。
点击创建访问权限级别,然后填写以下字段:
- 在访问权限级别标题字段中,输入
corpManagedDevice。 - 选择基本模式。
- 在条件下,选择正确以启用该条件。
- 点击 + 设备政策以展开选项,然后选中需要公司自有设备。
- 点击保存以保存访问权限政策。
- 在访问权限级别标题字段中,输入
为 Google Cloud 控制台启用 Chrome Enterprise 进阶版 CAA
如需向工作站分配情境感知访问控制 (CAA),请先为 Google Cloud 控制台启用 CAA:
在 Google Cloud 控制台中,依次前往安全性 > BeyondCorp Enterprise。
点击管理对 Google Cloud 控制台和 API 的访问权限。 您将转到 Chrome Enterprise Premium 组织层级页面。
在 Secure Google Cloud console & APIs(保护 Google Cloud 控制台和 API)部分,点击 Enable(启用)。
添加所需的 Google 群组及访问权限级别
添加包含相关成员和正确访问权限政策的所需管理员群组。
控制台
创建一个名为 CloudAdminAccess 的管理员访问权限政策,并将位置设置为管理员工作的区域。这使得 即使有其他政策, 屏蔽它们。
依次前往 IAM 和管理 > 群组,创建具有管理员访问权限的 IAM 群组。
- 选择组织。
- 创建一个群组,将其命名为 Cloud Admin Users。
- 将您自己和任何其他管理员添加到此群组。
- 点击保存。
转到安全性 > Chrome Enterprise Premium。 点击管理访问权限,然后查看随即显示的群组和访问权限级别列表。
点击向 Google Cloud 控制台添加主账号,API。
- 对于 Google 群组,选择 Cloud Admin 用户。这是您在上一步中选择的 Google 群组。
- 选择 CloudAdminAccess,即您为相应存储分区创建的访问权限级别 管理员权限。
- 点击保存。
gcloud 和 API
如需启用试运行,请按照 Chrome Enterprise Premium 试运行教程。
向 Cloud Workstations 用户群组分配访问权限级别
如需向 Cloud Workstations 用户群组分配访问权限级别,请执行以下操作:
依次前往安全性 > Chrome Enterprise 进阶版,然后点击管理访问权限。
查看系统显示的群组和访问权限级别列表。
点击向 Google Cloud 控制台添加主账号,API。
- 对于 Google 群组,选择 Cloud Workstations 用户。 这是您在上一步中选择的 Google 群组。
- 选择您之前创建的访问权限级别:
corpManagedDevice。 - 点击保存。
测试开发者对 Cloud Workstations 的访问权限
测试开发者通过多个条目对 Cloud Workstations API 的访问权限 积分。对于公司自有设备,请确保开发者可以访问 使用工作站 API。
测试是否禁止从非受管设备访问工作站 API:
Chrome Enterprise 进阶版会阻止用户尝试访问 Cloud Workstations API。用户尝试登录时,发生错误 消息,使用户确认他们没有访问权限,或者他们 应检查网络连接和浏览器设置。
测试是否已启用对公司自有设备的访问权限:
使用 Chrome Enterprise Premium 和 Cloud Workstations 的开发者 应该能够 创建工作站 接着点击 启动其工作站。
第 2 部分:设置 Chrome Enterprise 进阶版 DLP 功能
本部分介绍了利用 BeyondCorp Threat and Data Protection 集成数据泄露防护 (DLP) 功能的步骤。这有助于防止从基于 Chrome 的 Cloud Workstations 基本编辑器(适用于 Cloud Workstations 的 Code OSS)渗漏源代码。
请按照以下步骤设置 Chrome Enterprise 进阶版 DLP 功能,以帮助防止下载源代码:
启用威胁防护和数据保护
为了从 Google Workspace 管理控制台中,请按以下步骤操作:
依次点击设备 > Chrome > 设置 > 用户和浏览器。
选择组织部门标识符 (OU ID) 后,请点击 在用户和浏览器设置下搜索或添加过滤器,然后选择 Category 子类型。
在 Category 子类型中搜索 Chrome 企业版接口。
在下载内容分析中,选择 Google BeyondCorp Enterprise。
展开其他设置。
- 选择分析结束后才能访问文件。
- 在检查敏感数据 > 模式中,选择 默认处于开启状态,但下列网址格式除外。
点击 Save 以保存配置。
创建 Chrome Enterprise 进阶版 DLP 规则
如需创建 DLP 规则,请按以下步骤操作:
前往 Google Workspace 管理控制台,然后选择 安全性 > 访问权限和数据控制 > 数据保护 > 管理规则。
如需创建新规则,请点击添加规则,然后点击新建规则。系统随即会打开名称和范围页面。
在名称部分,输入名称和说明。例如: 对于名称字段,请输入
CloudWorkstations-DLP-Rule1;对于 说明字段中,输入Cloud Workstations Data Loss Prevention Rule 1。在范围部分,配置以下内容:
- 选择组织部门和/或群组。
- 点击包含组织部门,然后选择您的组织。
- 点击继续。
在应用部分,配置以下内容:
- 在 Chrome 选项中,选择文件已上传和文件 下载。
- 点击继续。
在条件页面中,配置以下内容:
- 点击添加条件以创建新条件。
- 选择所有内容。
- 选择与预定义数据类型匹配(推荐)。
- 在选择数据类型中,选择文档 - 源代码文件。
- 对于可能性阈值字段,选择高。
- 在不重复匹配数量下限字段中,输入 1。
- 对于最低相符项目数字段,请输入 1。
- 点击继续。
在操作页面上,配置以下内容:
- 在操作选项中,依次选择 Chrome > 屏蔽内容。
- 在提醒选项中,配置以下各项:
- 在“严重程度”中,选择中。
- 选择已发送至提醒中心。
- 点击继续。
查看设置并创建规则
在检查页面上,查看您在前面页面中配置的设置:
- 确保设置正确无误。
- 如要继续,请点击创建。
- 在下一页中,确保已选择 Active(有效)。
- 点击完成以完成规则的创建。
测试 DLP 规则
现在,您已添加 DLP 规则,可以通过 Chrome 中的 Cloud Workstations 进行测试:
在新的 Chrome 标签页中,输入
chrome://policy,然后点击重新加载政策,确保 Chrome 政策已更新。向下滚动,确保看到政策列表。如果有的话 已成功拉取政策。在本例中,请查找 OnFileDownloadEnterpriseConnector 政策。
前往 Google Cloud 控制台,然后 创建 Cloud Workstations 配置。
创建工作站配置时,请务必选择基础映像上的代码编辑器,然后选择基本编辑器(适用于 Cloud Workstations 的 Code OSS)预配置的基础映像。
访问 Code OSS for Cloud Workstations 网址(位于 您将启动工作站并连接到端口 80。
在 IDE 中使用 Clone Git Repository 选项克隆代码库。克隆代码库后,请尝试下载文件,其中包含源代码。
如需在 Code OSS for Cloud Workstations Explorer 视图中下载文件,请使用 以下任意方法:
从“资源管理器”视图中拖动文件。
前往要使用的文件和目录,右键点击,然后选择下载。
DLP 政策下载后即会生效。发现一项下载已被阻止 一条通知,指出您不符合贵组织的政策:
恭喜!您已成功阻止下载源代码文件。
清理
为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用,请删除包含这些资源的项目,或者保留项目但删除各个资源。如需了解详情,请参阅删除资源。
后续步骤
- 如需详细了解 Chrome Enterprise Premium,请参阅 Chrome Enterprise Premium 概览。
- 了解将 Chrome 企业进阶版应用到 Google Cloud 资源和本地资源的简要步骤。