使用 Chrome Enterprise Premium 帮助保护 Cloud Workstations API

概览

Chrome Enterprise Premium 是 Google Cloud 的零信任解决方案,可让组织的员工随时随地安全地访问 Web 应用(无需 VPN),并且有助于防范恶意软件、钓鱼式攻击和数据丢失。

借助 Google Chrome 的强大功能,Chrome Enterprise Premium 可让用户从任何设备访问应用。Chrome Enterprise Premium 正在扩展其功能,以解决开发者环境中的一些关键安全挑战。 Chrome Enterprise Premium 针对 Google Cloud 控制台和 API 使用情境感知访问权限控制,从而为 Cloud Workstations API 提供额外的安全性。

下表列出了 Chrome Enterprise Premium 是否支持对指定的 Cloud Workstations 访问方法进行情境感知访问权限控制。

  • 对勾标记表示 Chrome Enterprise Premium 限制了此 Cloud Workstations 访问方式。
  • “不支持”图标 表示 Chrome Enterprise Premium 不限制这种 Cloud Workstations 访问方法。

目标

本文档介绍了管理员为 Cloud Workstations API 设置 Chrome Enterprise Premium 访问权限控制以及提供其他机制来防止基于浏览器的 Cloud Workstations IDE 发生源代码渗漏的步骤。

费用

在本教程中,您可能需要让其他团队参与进来(涉及结算或 IAM),您还需要测试访问权限控制,以证明已实施 Chrome Enterprise Premium 安全措施。

在本文档中,您将使用 Google Cloud 的以下收费组件:

您可使用价格计算器根据您的预计使用情况来估算费用。 Google Cloud 新用户可能有资格申请免费试用

完成本文档中描述的任务后,您可以通过删除所创建的资源来避免继续计费。如需了解详情,请参阅清理

准备工作

  1. 登录您的 Google Cloud 账号。如果您是 Google Cloud 新手,请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. 确保您的 Google Cloud 项目已启用结算功能

  4. 启用 Workstations API。

    启用 API

  5. 确保您拥有项目的以下一个或多个角色: Cloud Workstations > Cloud Workstations Admin.

    检查角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择项目。

    3. 主账号列中,找到您的电子邮件地址所在的行。

      如果您的电子邮件地址不在此列,则表示您没有任何角色。

    4. 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。

    授予角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择项目。
    3. 点击 授予访问权限
    4. 新的主账号字段中,输入您的电子邮件地址。
    5. 选择角色列表中,选择一个角色。
    6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
    7. 点击 Save(保存)。

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. 确保您的 Google Cloud 项目已启用结算功能

  8. 启用 Workstations API。

    启用 API

  9. 确保您拥有项目的以下一个或多个角色: Cloud Workstations > Cloud Workstations Admin.

    检查角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择项目。

    3. 主账号列中,找到您的电子邮件地址所在的行。

      如果您的电子邮件地址不在此列,则表示您没有任何角色。

    4. 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。

    授予角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择项目。
    3. 点击 授予访问权限
    4. 新的主账号字段中,输入您的电子邮件地址。
    5. 选择角色列表中,选择一个角色。
    6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
    7. 点击 Save(保存)。

  10. 请确保您已为每位用户分配 Chrome Enterprise Premium Standard 许可。只有拥有许可的用户才会强制执行访问权限控制。如需了解详情,请参阅分配、移除和重新分配许可

第 1 部分:为 Cloud Workstations 设置 Chrome Enterprise Premium

本部分逐步介绍了有助于保护对 Cloud Workstations API 的情境感知访问权限的步骤:

  1. 设置 Cloud Workstations
  2. 创建演示用户和演示群组
  3. 在 Access Context Manager 中创建访问权限级别
  4. 启用 Chrome Enterprise Premium CAA
  5. 添加所需的 Google 群组及访问权限级别
  6. 测试开发者对 Cloud Workstations 的访问权限

设置 Cloud Workstations

Google Cloud 控制台中,创建工作站配置

如果您不熟悉 Cloud Workstations,请参阅 Cloud Workstations 概览架构说明。

创建演示用户和演示群组

在 Google Workspace 管理控制台中,创建演示用户和新的用户群组。启用后,Google Cloud 控制台的情境感知访问权限 (CAA) 将应用于所有用户和 Google 群组,因为它是一项全局设置。

  1. 使用您的管理员帐号登录 Google Workspace 管理控制台:菜单 > 目录 > 用户 > 添加新用户

  2. 创建演示用户:demo-user@<domain>

  3. 登录 Google Cloud 控制台,然后依次点击菜单 > IAM 和管理 > 群组

  4. 为 Cloud Workstations 访问权限创建一个 IAM 群组,将其命名为 Cloud Workstations Users,并分配之前创建的演示用户 demo-user@<domain>

  5. 点击保存

  6. 此外,创建一个 IAM 管理员组,并将其命名为 Cloud Admin Users。将您的项目和组织管理员分配给此群组。

  7. 将演示用户 demo-user@<domain> 添加到您创建的 Cloud Workstations 用户群组:

    1. Google Cloud 控制台中,转到 Cloud Workstations > Workstations
    2. 选择工作站,然后点击 more_vertMore > Add Users
    3. 选择演示用户 demo-user@<domain>,然后选择 Cloud Workstations User 作为角色
    4. 如需向演示用户授予对工作站的访问权限,请选择 demo-user@<domain>,选择 Cloud Workstations Users 作为角色,然后点击保存

创建访问权限级别

返回 Google Cloud 控制台,在 Access Context Manager 中创建访问权限级别。

请按照以下说明测试访问权限:

  1. Google Cloud 控制台中,导航到安全 > Access Context Manager,以配置企业管理的设备政策。

  2. 点击创建访问权限级别并填写以下字段:

    1. 访问权限级别标题字段中,输入 corpManagedDevice
    2. 选择基本 模式
    3. 条件下,选择 True 以启用条件。
    4. 点击 + Device 政策以展开选项并勾选需要公司拥有的设备
    5. 点击保存以保存访问权限政策。

为 Google Cloud 控制台启用 Chrome Enterprise Premium CAA

如需为工作站分配情境感知访问权限控制 (CAA),请先为 Google Cloud 控制台启用 CAA:

  1. Google Cloud 控制台中,导航到安全 > BeyondCorp Enterprise

  2. 点击管理对 Google Cloud 控制台和 API 的访问权限。 您将转到 Chrome Enterprise Premium 组织层级页面。

  3. 安全的 Google Cloud 控制台和 API 部分中,点击启用

添加所需的 Google 群组及访问权限级别

添加所需的管理员群组,其中包含相关成员和正确的访问权限政策。

控制台

  1. 创建名为 CloudAdminAccess 的管理员访问权限政策,将位置设置为管理员工作的区域。这样可以确保管理员即使有其他政策禁止访问资源,也可以访问这些资源。

  2. IAM 和管理 > 群组中创建具有管理员访问权限的 IAM 群组。

    1. 选择组织。
    2. 创建一个群组,将其命名为 Cloud Admin Users
    3. 将您自己和其他任何管理员分配到此群组。
    4. 点击保存

  3. 转到安全性 > Chrome Enterprise Premium。 点击管理访问权限,然后查看显示的群组和访问权限级别列表。

  4. 点击向 Google Cloud 控制台和 API 添加主帐号

    1. 对于 Google 网上论坛,选择 Cloud Admin 用户。这是您在上一步中选择的 Google 群组。
    2. 选择 CloudAdminAccess,这是您为管理员访问权限创建的访问权限级别。
    3. 点击保存

gcloud 和 API

如需启用试运行,请按照 Chrome Enterprise Premium 试运行教程操作。

为 Cloud Workstations 用户群组分配访问权限级别

如需为 Cloud Workstations 用户群组分配访问权限级别,请执行以下操作:

  1. 前往安全性 > Chrome Enterprise Premium,然后点击管理访问权限

  2. 查看显示的群组和访问权限级别列表。

  3. 点击向 Google Cloud 控制台和 API 添加主帐号

    1. 对于 Google 网上论坛,选择 Cloud Workstations Users。 这是您在上一步中选择的 Google 群组。
    2. 选择您之前创建的访问权限级别:corpManagedDevice
    3. 点击保存

测试开发者对 Cloud Workstations 的访问权限

测试开发者从多个入口点对 Cloud Workstations API 的访问权限。对于公司自有设备,请确保开发者可以访问工作站 API。

  • 测试是否禁止从非受管设备访问工作站 API:

    Chrome Enterprise Premium 会阻止尝试访问 Cloud Workstations API 的用户。当用户尝试登录时,系统会显示错误消息,告知他们没有访问权限或应检查网络连接和浏览器设置。

  • 测试是否已启用公司自有设备对工作站 API 的访问权限:

    拥有 Chrome Enterprise Premium 和 Cloud Workstations 访问权限的开发者应该能够创建工作站,然后启动其工作站

第 2 部分:设置 Chrome Enterprise Premium DLP 功能

本部分包含利用 BeyondCorp Threat and Data Protection 集成数据泄露防护 (DLP) 功能的步骤。这有助于防止基于 Chrome 的 Cloud Workstations 基本编辑器 (Code OSS for Cloud Workstations) 渗漏源代码。

请按照以下步骤设置 Chrome Enterprise Premium DLP 功能,以防止下载源代码:

  1. 启用威胁防范和数据保护
  2. 创建 BeyondCorp DLP 规则
  3. 查看设置并创建规则
  4. 测试 DLP 规则

启用威胁防范和数据保护

如需通过 Google Workspace 管理控制台启用威胁和数据防护,请按以下步骤操作:

  1. 依次前往设备 > Chrome > 设置 > 用户和浏览器

  2. 选择组织部门标识符 (OU ID) 后,点击用户和浏览器设置下的搜索或添加过滤条件,然后选择类别子类型。

  3. Category 子类型中搜索 Chrome 企业版接口

  4. 下载内容分析中,选择 Google BeyondCorp Enterprise

  5. 展开其他设置

    1. 选择分析结束后再访问文件
    2. 检查敏感数据 > 模式中,选择默认处于开启状态,但以下网址格式除外

  6. 点击 Save 以保存配置。

创建 Chrome Enterprise Premium DLP 规则

如需创建 DLP 规则,请按以下步骤操作:

  1. 前往 Google Workspace 管理控制台,然后依次选择安全性 > 访问权限和数据控制 > 数据保护 > 管理规则

  2. 如需创建新规则,请点击添加规则,然后点击新规则。 系统随即会打开名称和范围页面。

  3. 名称部分中,输入名称和说明。例如,对于名称字段,输入 CloudWorkstations-DLP-Rule1;对于说明字段,请输入 Cloud Workstations Data Loss Prevention Rule 1

  4. 范围部分中,配置以下内容:

    1. 选择组织部门和/或群组
    2. 点击包含组织部门,然后选择您的组织
    3. 点击继续

  5. 应用部分,配置以下内容:

    1. Chrome 选项中,选择文件已上传已下载文件
    2. 点击继续

  6. Conditions 页面中,配置以下内容:

    1. 点击添加条件以创建新条件。
    2. 选择所有内容
    3. 选择与预定义数据类型匹配(推荐)
    4. 对于选择数据类型,选择文档 - 源代码文件
    5. 对于可能性阈值字段,选择
    6. 对于不重复匹配数量下限字段,请输入 1
    7. 最低相符项目数字段中,输入 1
    8. 点击继续

  7. 操作页面上,配置以下内容:

    1. 操作选项中,依次选择 Chrome > 屏蔽内容
    2. Alerting 选项中,配置以下内容:
      • 对于严重程度,请选择
      • 选择已发送至提醒中心
    3. 点击继续

查看设置并创建规则

审核页面中,查看您在之前的页面中配置的设置:

  1. 确保设置正确无误。
  2. 如要继续,请点击创建
  3. 在下一页中,确保已选择 Active(有效)。
  4. 要完成规则的创建,请点击完成

测试 DLP 规则

现在已添加 DLP 规则,您可以在 Chrome 中通过 Cloud Workstations 进行测试:

  1. 在新的 Chrome 标签页中,输入 chrome://policy,然后点击重新加载政策,以确保 Chrome 政策已更新。

  2. 向下滚动,确保看到政策列表。如果您看到这些内容,则表明政策已成功拉取。在这种情况下,请查找 OnFileDownloadEnterpriseConnector 政策。

  3. 前往 Google Cloud 控制台创建 Cloud Workstations 配置

    创建工作站配置时,请务必选择基础映像上的代码编辑器,然后选择 Base Editor (Code OSS for Cloud Workstations) 预配置的基础映像

  4. 创建工作站

  5. 启动和启动工作站

  6. 访问启动工作站并连接到端口 80 后显示的 Code OSS for Cloud Workstations 网址。

  7. 使用 IDE 中的克隆 Git 代码库选项克隆代码库。克隆代码库后,尝试下载包含源代码的文件

    如需在 Code OSS for Cloud Workstations Explorer 视图中下载文件,请使用以下任一方法:

    • 从“资源管理器”视图中拖动文件。

    • 导航到您要使用的文件和目录,右键点击,然后选择 Download

  8. DLP 政策下载后即会生效。请注意下载已阻止的通知,其中指出不符合贵组织的政策:

恭喜!您已成功阻止下载源代码文件。

清理

为避免系统因本教程中使用的资源向您的 Google Cloud 帐号收取费用,请删除包含这些资源的项目,或者保留项目而删除各个资源。如需了解详情,请参阅删除资源

后续步骤