Applica Chrome Enterprise Premium alle risorse cloud

Prima di iniziare

Prima di rendere le tue app e le tue risorse sensibili al contesto, devi:

1. Se non hai ancora account utente Cloud Identity nella tua organizzazione, creane alcuni.

2. Determina una risorsa che vuoi proteggere. Configura una delle seguenti opzioni se non hai una risorsa.

   • Un'app web in esecuzione dietro un bilanciatore del carico HTTPS su Google Cloud. Sono incluse le app web come le app App Engine, le app in esecuzione on-premise e le app in esecuzione in un altro cloud.
   • Una macchina virtuale su Google Cloud.

3. Determina le entità a cui vuoi concedere e limitare l'accesso.

Se ti interessa proteggere le app Google Workspace, consulta la panoramica di Google Workspace Chrome Enterprise Premium.

Proteggere le app e le risorse con IAP

Identity-Aware Proxy (IAP) stabilisce un livello centrale di riconoscimento dell'identità per le app e le risorse a cui si accede tramite HTTPS e TCP. Ciò significa che puoi controllare l'accesso a ogni singola app e risorsa anziché utilizzare firewall a livello di rete.

Proteggi la tua app Google Cloud e tutte le sue risorse selezionando una delle seguenti guide:

• Ambiente standard e flessibile di App Engine
• Compute Engine
• Google Kubernetes Engine

Puoi anche estendere IAP ad ambienti nonGoogle Cloud come on-premise e altri cloud. Per saperne di più, consulta la guida Proteggere le app on-premise.

Per saperne di più, consulta la documentazione di IAP.

Risorse della macchina virtuale

Puoi controllare l'accesso a servizi amministrativi come SSH e RDP sui tuoi backend impostando le autorizzazioni delle risorse del tunnel e creando tunnel che instradano il traffico TCP tramite IAP alle istanze di macchine virtuali.

Per proteggere una macchina virtuale, consulta la guida Protezione delle macchine virtuali.

Creazione di un livello di accesso con Gestore contesto accesso

Dopo aver protetto le tue app e le tue risorse con IAP, è il momento di impostare policy di accesso più avanzate con i livelli di accesso.

Gestore contesto accesso crea livelli di accesso. I livelli di accesso possono limitare l'accesso in base ai seguenti attributi:

• Subnet IP
• Regioni
• Dipendenza dal livello di accesso
• Principali
• Criteri relativi ai dispositivi (Tieni presente che deve essere configurata la verifica degli endpoint).

Crea un livello di accesso seguendo la guida Creare livelli di accesso.

Applicazione dei livelli di accesso

Un livello di accesso non ha effetto finché non lo applichi a una policy Identity and Access Management (IAM) delle risorse protette da IAP. Questo passaggio viene eseguito aggiungendo una condizione IAM al ruolo IAP utilizzato per concedere l'accesso alla risorsa.

Per applicare il livello di accesso, consulta la sezione Applicare i livelli di accesso.

Una volta applicato il livello di accesso, le tue risorse sono ora protette con Chrome Enterprise Premium.

Attivare l'attendibilità e la sicurezza dei dispositivi con la verifica degli endpoint

Per rafforzare ulteriormente la sicurezza delle risorse protette di Chrome Enterprise Premium, puoi applicare attributi dicontrollo dell'accessoo dell'accesso e di attendibilità basati sul dispositivo con livelli di accesso. Verifica endpoint attiva questo controllo.

Endpoint Verification è un'estensione di Chrome per dispositivi Windows, Mac e ChromeOS. Gestore contesto accesso fa riferimento agli attributi del dispositivo raccolti da Endpoint Verification per applicare un controllo granulare degli accessi con i livelli di accesso.

Segui la guida rapida alla verifica degli endpoint per configurare la verifica degli endpoint per la tua organizzazione.