סקירה כללית על הגנה על הגישה ב-Chrome Enterprise Premium

‫Chrome Enterprise Premium מבוסס על מודל האבטחה BeyondCorp, והוא גישה שמשתמשת במגוון מוצרים כדי לאכוף בקרת גישה מפורטת על סמך זהות המשתמש וההקשר של הבקשה. Google Cloud

לדוגמה, בהתאם להגדרת המדיניות, אפשר:

  • להעניק גישה לכל העובדים אם הם משתמשים במכשיר ארגוני מהימן מהרשת הארגונית.
  • נותנים גישה לעובדים בקבוצת הגישה מרחוק אם הם משתמשים במכשיר ארגוני מהימן עם סיסמה מאובטחת ורמת תיקון עדכנית, מכל רשת.
  • צריך להעניק לאדמינים גישה למסוף Google Cloud (דרך ממשק המשתמש או ה-API) רק אם הם מגיעים מרשת ארגונית.
  • נותנים למפתחים גישת SSH למכונות וירטואליות.

מתי כדאי להשתמש ב-Chrome Enterprise Premium

כדאי להשתמש ב-Chrome Enterprise Premium כשרוצים להגדיר בקרת גישה מפורטת שמבוססת על מגוון רחב של מאפיינים ותנאים, כולל סוג המכשיר שבו משתמשים וכתובת ה-IP שממנה מתבצעת הגישה. הפיכת המשאבים הארגוניים למודעים להקשר משפרת את מצב האבטחה.

אפשר גם להחיל את Chrome Enterprise Premium על אפליקציות של Google Workspace. מידע נוסף על הטמעה של Chrome Enterprise Premium עם Google Workspace זמין במאמר סקירה כללית של Google Workspace.

איך Chrome Enterprise Premium פועל

הטמעה של Chrome Enterprise Premium יוצרת מודל של אפס אמון. אף אחד לא יכול לגשת למשאבים שלכם אלא אם הוא עומד בכל הכללים והתנאים. במקום לאבטח את המשאבים ברמת הרשת, בקרות הגישה מוגדרות למשתמשים ולמכשירים בודדים.

‫IAP הוא הבסיס של Chrome Enterprise Premium, והוא מאפשר לכם להעניק גישה לאפליקציות ולמשאבים שלכם ב-HTTPS. אחרי שתאבטחו את האפליקציות והמשאבים באמצעות IAP, הארגון יוכל להרחיב בהדרגה את השימוש ב-Chrome Enterprise Premium ככל שיידרשו כללים מורכבים יותר. משאבים של Chrome Enterprise Premium יכולים להגביל את הגישה על סמך מאפיינים כמו מאפייני המכשיר של המשתמש, השעה ביום ונתיב הבקשה.

‫Chrome Enterprise Premium פועל באמצעות ארבעה Google Cloud מוצרים:

תהליך העבודה ב-Chrome Enterprise Premium

איסוף מידע על המכשיר

בדיקת נקודות קצה אוספת מידע על המכשירים של העובדים, כולל סטטוס ההצפנה, מערכת ההפעלה ופרטי המשתמש. אחרי שמפעילים את התוסף באמצעות מסוף Google Admin, אפשר לפרוס את התוסף ל-Chrome של אימות נקודות קצה במכשירי החברה. עובדים יכולים גם להתקין אותה במכשירים האישיים המנוהלים שלהם. התוסף הזה אוסף מידע על המכשיר ומדווח עליו, ומסנכרן אותו כל הזמן עם Google Workspace. התוצאה הסופית היא מלאי של כל המכשירים של החברה ושל כל המכשירים האישיים שיש להם גישה למשאבים של החברה.

הגבלת הגישה

באמצעות Access Context Manager, אפשר ליצור רמות גישה כדי להגדיר כללי גישה. רמות הגישה שמוחלות על המשאבים באמצעות תנאים ב-IAM מאפשרות לאכוף בקרת גישה פרטנית שמבוססת על מגוון מאפיינים.

רמות הגישה מגבילות את הגישה על סמך המאפיינים הבאים:

כשיוצרים רמת גישה שמבוססת על מכשיר, Access Context Manager מתייחס למלאי המכשירים שנוצר על ידי אימות בנקודת קצה (Endpoint). לדוגמה, רמת גישה יכולה להגביל את הגישה רק לעובדים שמשתמשים במכשירים מוצפנים. בנוסף לתנאי IAM, אפשר להגדיר את רמת הגישה הזו בצורה מפורטת יותר על ידי הגבלת הגישה לשעות 9:00 עד 17:00.

אבטחת משאבים באמצעות IAP

IAP מאפשר לכם לקשור את הכול יחד על ידי החלת תנאים של IAM על Google Cloud משאבים. ‫IAP מאפשר לכם ליצור שכבת הרשאה מרכזית למשאביGoogle Cloud שאליהם יש גישה באמצעות תעבורת נתונים מסוג HTTPS ו-SSH/TCP. בעזרת IAP, אתם יכולים ליצור מודל של בקרת גישה ברמת המשאב במקום להסתמך על חומות אש ברמת הרשת. אחרי שהמשאבים מוגנים, כל עובד יכול לגשת אליהם מכל מכשיר ובכל רשת, אם הוא עומד בכללי הגישה ובתנאים.

החלת תנאים לניהול הזהויות והרשאות הגישה

תנאי IAM מאפשרים להגדיר ולאכוף בקרת גישה מותנית למשאבים ב- Google Cloud , על סמך מאפיינים.

באמצעות IAM Conditions, אתם יכולים לבחור להעניק הרשאות לישויות מורשות רק אם התנאים שהגדרתם מתקיימים. תנאים ב-IAM יכולים להגביל את הגישה באמצעות מגוון מאפיינים, כולל רמות גישה.

התנאים נקבעים בקישורים בין התפקידים ב-IAP, שנמצאים במדיניות ה-IAM של המשאב. כשקיים תנאי, התפקיד מוקצה רק אם ביטוי התנאי שווה ל-True. כל אחד מביטויי התנאי מוגדר כקבוצה של הצהרות לוגיות שמאפשרות לכם לציין מאפיין אחד או יותר לבדיקה.

המאמרים הבאים