本文說明如何設定 Chrome Enterprise 進階版 安全閘道,確保私人網頁應用程式的存取安全。
Chrome Enterprise 進階版安全閘道會做為轉送 Proxy,強制執行零信任存取架構,並提供精細的情境感知控制項,控管可存取私人網路應用程式的使用者。
如何確保私人網頁應用程式的存取安全
安全閘道會建立安全通道並強制執行情境感知存取權政策,確保私人應用程式的隱私權,避免暴露在公用網路上。用戶端瀏覽器設定會將這些應用程式的流量導向安全閘道 Proxy 端點。安全閘道接著會套用相關存取權政策,並在允許的情況下,將要求轉送至目的地應用程式。
安全閘道可協助保護下列環境中代管的私有網頁應用程式:
Google Cloud 專案:安全閘道可直接存取 Google Cloud 虛擬私有雲網路中執行的應用程式。
非Google Cloud (地端部署資料中心或其他雲端):您必須先在Google Cloud 建立私人虛擬私有雲網路與非Google Cloud 網路之間的連線。這通常是使用 Cloud VPN 或 Cloud Interconnect 完成。安全閘道接著會使用連線將流量傳送至私有虛擬私有雲網路,該網路會將流量傳送至非Google Cloud 環境。
必要的角色
請管理員授予下列角色:
Cloud BeyondCorp 管理員 (
roles/beyondcorp.admin) 在專案中設定 Chrome Enterprise 進階版Access Context Manager 管理員 (
roles/accesscontextmanager.policyAdmin) 可讀取及新增存取層級服務使用情形檢視者 (
roles/serviceusage.serviceUsageViewer) 使用 Google Cloud 控制台
進一步瞭解 Identity and Access Management (IAM) 角色。
事前準備
設定安全閘道前,請確認您具備下列項目:
- Chrome Enterprise 進階版授權。
- 使用管理員帳戶存取 Google 管理控制台。
- 為使用者啟用服務。Google Cloud
已指派帳單帳戶的 Google Cloud 專案,且已啟用下列 API:BeyondCorp API
如果私人應用程式位於非Google Cloud 環境,則需要建立Google Cloud 環境與應用程式所在非Google Cloud 環境之間的 Cloud VPN 或 Cloud Interconnect 連線。如要進一步瞭解如何設定網路連線,請參閱下列資源:
設定殼層環境
如要簡化設定程序並與安全閘道 API 互動,請在工作殼層中定義下列環境變數。
- 一般參數
PROJECT_ID=PROJECT_ID
更改下列內容:
PROJECT_ID:建立安全閘道的專案 ID。
- 安全閘道參數
SECURITY_GATEWAY_ID=
SECURITY_GATEWAY_IDSECURITY_GATEWAY_DISPLAY_NAME="SECURITY_GATEWAY_DISPLAY_NAME"更改下列內容:
SECURITY_GATEWAY_ID:要建立的安全閘道 ID。ID 最多可包含 63 個字元,且只能包含小寫英文字母、數字和連字號。第一個字元必須是英文字母,最後一個字元可以是英文字母或數字。-
SECURITY_GATEWAY_DISPLAY_NAME:安全閘道的人類可讀名稱。名稱長度上限為 63 個字元,且可包含可列印的字元。
建立安全閘道
Chrome Enterprise 進階版安全閘道是建立應用程式安全連線的基本構成要素。
主控台
如要建立安全閘道,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「安全閘道」頁面。
前往安全閘道 - 選取要建立安全閘道的專案。
- 如要建立安全閘道,請按一下「建立新閘道」,然後等待閘道建立程序完成。您可以在 Google Cloud 控制台的「通知」部分追蹤進度。
gcloud
如要使用 gcloud 建立安全閘道,請執行下列指令:
gcloud beyondcorp security-gateways create SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global \ --display-name="SECURITY_GATEWAY_DISPLAY_NAME" \ --service-discovery={}
REST
如要使用 REST API 建立安全閘道,請執行下列指令:
curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -X POST \ -d '{ "display_name": "SECURITY_GATEWAY_DISPLAY_NAME", "service_discovery": {} }' \ "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways?security_gateway_id=SECURITY_GATEWAY_ID"
設定私人網頁應用程式
在安全閘道中定義特定應用程式資源前,請務必先設定必要權限和網路設定,以啟用連線能力和正確的路由。
將權限授予服務帳戶
如要順利將流量傳送至虛擬私有雲網路,安全閘道必須具備授予其委派服務帳戶的特定 IAM 權限。這樣一來,無論私人應用程式是託管在 Google Cloud VPC 中,還是透過 Cloud VPN 或 Cloud Interconnect 連線的非Google Cloud 環境,安全閘道都能存取。
如要授予服務帳戶權限,請按照下列步驟操作:
-
取得安全閘道的詳細資料,找出委派服務帳戶的帳戶電子郵件。電子郵件地址會出現在回覆的
delegatingServiceAccount欄位中。gcloud
gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global
REST
curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID"
-
為服務帳戶和目標 VPC 專案設定環境變數。如要取得服務帳戶電子郵件地址,請使用下列指令:
DELEGATING_SERVICE_ACCOUNT=`gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID --project=PROJECT_ID --location=global --format="value(delegatingServiceAccount)"`
-
在私有 VPC 專案中,將
roles/beyondcorp.upstreamAccessIAM 角色授予委派服務帳戶。 將gcloud projects add-iam-policy-binding
PRIVATE_VPC_PROJECT_ID\ --role=roles/beyondcorp.upstreamAccess \ --member=serviceAccount:DELEGATING_SERVICE_ACCOUNTPRIVATE_VPC_PROJECT_ID替換為虛擬私有雲網路的專案 ID,該網路是部署私人網頁應用程式或設定 Cloud VPN/Interconnect 的位置。
授予角色後,請等待約兩分鐘,Identity and Access Management 政策就會生效。
設定網路路由和防火牆規則
如要允許安全閘道傳送流量至私人網路應用程式,請設定防火牆規則、網路路由和 DNS 設定。
應用程式的防火牆規則 Google Cloud
如果您的私人網頁應用程式是託管在 Google Cloud 虛擬私有雲網路Google Cloud 中,例如 Compute Engine VM、具有內部 IP 的 Google Kubernetes Engine 服務,或內部 TCP/UDP 負載平衡器後方,請設定虛擬私有雲防火牆規則。這樣一來,來自安全閘道 IP 範圍「136.124.16.0/20」的輸入 TCP 流量就會獲准。
gcloud
如要使用 gcloud 建立防火牆規則,請執行下列指令:
gcloud compute firewall-rules create FIREWALL_RULE_NAME \ --project=PRIVATE_VPC_PROJECT_ID \ --network=NETWORK_NAME \ --allow=tcp \ --source-ranges=136.124.16.0/20
更改下列內容:
FIREWALL_RULE_NAME:防火牆規則的名稱。PRIVATE_VPC_PROJECT_ID:虛擬私有雲網路所在的專案 ID。NETWORK_NAME:應用程式代管所在的虛擬私有雲網路名稱。
非Google Cloud 環境中應用程式的防火牆規則
如果您的私人網頁應用程式位於地端部署資料中心或其他雲端服務供應商的網路,並使用 Cloud VPN 或 Cloud Interconnect 連線至虛擬私有雲,請在地端部署防火牆或等同的網路安全控管機制 (例如安全性群組和網路 ACL) 中設定防火牆規則。 Google Cloud這樣一來,來自安全閘道 IP 範圍「136.124.16.0/20」的輸入 TCP 流量就會獲准。
將非Google Cloud 環境的路徑設定為安全閘道
如要為非Google Cloud 環境 (例如地端部署或其他雲端) 中代管的私人應用程式建立雙向通訊,外部網路必須為下列安全閘道 IP 範圍建立回程路徑:136.124.16.0/20。
確認私人網路可透過 Cloud VPN 或 Cloud Interconnect 存取安全閘道 IP 範圍:
動態路由:如果您使用動態路由,例如透過 Cloud Router 使用邊界閘道協定 (BGP),請確認 Cloud Router Google Cloud 明確地將安全閘道 IP 範圍通告至地端部署 BGP 裝置。雖然 BGP 會動態交換許多路徑,但安全閘道 IP 範圍需要明確通告。
gcloud
如要檢查是否已放送來源範圍,請執行下列指令:
gcloud compute routers list-bgp-routes ROUTER_NAME \ --peer=PEER_NAME \ --region=REGION \ --project=PROJECT_ID \ --route-direction=OUTBOUND \ --address-family=IPV4 \ --destination-range=136.124.16.0/20
更改下列內容:
- ROUTER_NAME:Cloud Router 的名稱。
- PEER_NAME:BGP 對等互連的名稱。
- REGION:路由器所在的區域。
- PROJECT_ID:包含路由器的專案 ID。
靜態路徑:如果您使用靜態路徑,則必須在路由器或防火牆等內部部署網路設備上,手動為每個安全閘道 IP 範圍新增路徑。這些靜態路徑必須指定,傳送至安全閘道 IP 範圍的流量必須透過 Cloud VPN 或 Cloud Interconnect 連線傳送。
使用靜態路徑時,Cloud VPN 必須位於下列其中一個支援的區域:
africa-south1asia-east1asia-south1asia-south2asia-southeast1europe-central2europe-north1europe-southwest1europe-west1europe-west2europe-west3europe-west4europe-west8europe-west9northamerica-northeast1northamerica-northeast2northamerica-south1southamerica-east1southamerica-west1us-central1us-east1us-east4us-east5us-west1
安全閘道私人主機名稱解析的 DNS 設定
如要讓安全閘道解析私人應用程式主機名稱,Google Cloud 虛擬私有雲網路必須能夠使用 Cloud DNS 解析主機名稱。具體 Cloud DNS 設定取決於私人 DNS 記錄的授權代管位置:
使用 Cloud DNS 私人區域的應用程式 Google Cloud :如果您的私人應用程式託管於 Google Cloud ,且 DNS 記錄是在與虛擬私有雲網路建立關聯的 Cloud DNS 私人區域中管理,請確認區域已正確設定且可存取。安全閘道會使用 VPC 現有的 Cloud DNS 解析功能。
非Google Cloud 環境中的應用程式或使用外部 DNS 伺服器的應用程式:如果您的私人應用程式位於非Google Cloud環境 (地端部署或其他雲端),或其 DNS 記錄是由虛擬私有雲 Cloud DNS 私人區域外部的 DNS 伺服器管理,您必須設定 Cloud DNS,轉送這些私人網域的查詢。這通常需要在 VPC 中建立 Cloud DNS 轉送區域。這些區域會將指定私有網域的 DNS 查詢,導向您的權威私有 DNS 伺服器,例如地端部署或其他雲端。
如需 DNS 設定的詳細操作說明,請參閱「建立轉送區域」。
建立應用程式資源
如要提供私人網頁應用程式的存取權,您必須在安全閘道架構中建立應用程式資源,這個資源會定義安全閘道如何識別應用程式的流量 (根據主機名稱),以及流量的轉送位置。
-
執行下列指令,設定必要的環境變數:
更改下列內容:APPLICATION_ID=
APPLICATION_IDAPP_DISPLAY_NAME="APP_DISPLAY_NAME" HOST_NAME=HOST_NAMEPRIVATE_NETWORK_RESOURCE_NAME=PRIVATE_NETWORK_RESOURCE_NAMEAPPLICATION_ID:應用程式資源的專屬 ID。APP_DISPLAY_NAME:要顯示的名稱,方便使用者辨識。HOST_NAME:使用者存取的主要主機名稱 (例如private.local)。PRIVATE_NETWORK_RESOURCE_NAME:虛擬私有雲網路的完整資源名稱 (例如projects/my-project/global/networks/my-network)。
-
建立應用程式資源。
主控台
如要使用 Google Cloud 控制台建立應用程式資源,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「安全閘道」頁面。
前往安全閘道 - 如要新增應用程式,請按一下「新增應用程式」。
- 選取應用程式類型:「私人應用程式」。
- 輸入應用程式詳細資料:
- 應用程式名稱:輸入名稱,例如
GitHub。 - 網域比對器:輸入要透過安全閘道轉送的網域模式,並以逗號分隔的清單表示。請按照
domain:port格式加入通訊埠。可以使用萬用字元 (*)。例如:github.com:443。
- 應用程式名稱:輸入名稱,例如
- 設定虛擬私有雲網路:
- 位於目前專案:如果虛擬私有雲網路位於目前專案,請從下拉式選單中選擇虛擬私有雲網路。
- 在其他專案中:如果虛擬私有雲網路位於其他 Google Cloud 專案中,請指定虛擬私有雲網路的完整資源名稱,例如
projects/my-project/global/networks/my-network。
- 選用:定義輸出政策:從下拉式選單中選取一或多個 Google Cloud 區域。
- 選用:定義存取權政策:選取 Access Context Manager 存取權政策。在本指南中,您可以略過這個步驟。
- 如要建立應用程式資源,請按一下「建立」。
gcloud
如要使用 gcloud 建立應用程式資源,請執行下列指令:
gcloud beyondcorp security-gateways applications create APPLICATION_ID \ --project=PROJECT_ID \ --security-gateway=SECURITY_GATEWAY_ID \ --location=global \ --display-name="APP_DISPLAY_NAME" \ --endpoint-matchers="hostname=HOST_NAME,ports=[443]" \ --upstreams=network=name="PRIVATE_NETWORK_RESOURCE_NAME"
如要指定輸出區域 (例如使用靜態路徑時),請新增
--egress-regions旗標:gcloud beyondcorp security-gateways applications create APPLICATION_ID \ --project=PROJECT_ID \ --security-gateway=SECURITY_GATEWAY_ID \ --location=global \ --display-name="APP_DISPLAY_NAME" \ --endpoint-matchers="hostname=HOST_NAME,ports=[443]" \ --upstreams=network=name="PRIVATE_NETWORK_RESOURCE_NAME",egressPolicy=regions=us-central1
將
us-central1替換為與區域靜態路由設定一致的 Google Cloud 區域europe-west1或asia-northeast1。如果沒有特定的區域靜態路由需求,可以從設定中省略輸出政策。REST
如要使用 API 建立應用程式資源,請完成下列步驟:
建立名為
application.json的檔案。{ "display_name": "
APP_DISPLAY_NAME", "endpoint_matchers": [ {"hostname": "HOST_NAME", "ports": [443]} ], "upstreams": [{ "network": { "name": "PRIVATE_NETWORK_RESOURCE_NAME" } }] }如要指定輸出區域 (例如使用靜態路徑時),請在上游設定中新增
egress_policy:{ "display_name": "
APP_DISPLAY_NAME", "endpoint_matchers": [ {"hostname": "HOST_NAME", "ports": [443]} ], "upstreams": [{ "network": { "name": "PRIVATE_NETWORK_RESOURCE_NAME" }, "egress_policy": { "regions": [ "us-central1" ] } }] }將
us-central1替換為與區域靜態路由設定一致的 Google Cloud 區域europe-west1或asia-northeast1。如果沒有特定的區域靜態路由需求,可以從設定中省略輸出政策。呼叫
CreateAPI 方法。curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -X POST \ -d @application.json \ "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications?application_id=APPLICATION_ID"
- 前往 Google Cloud 控制台的「安全閘道」頁面。
設定存取權政策
您可以套用存取權政策,在應用程式層級控管存取權。如未設定任何存取權政策,系統預設會拒絕存取應用程式。
主控台
為多個應用程式建立政策
如要設定存取權政策,請按照下列步驟操作:
- 如要建立適用於連結至安全閘道的多個應用程式的政策,請前往「政策」頁面。
前往「政策」 - 如要為應用程式新增存取權政策,請按一下「建立政策」。
- 從下拉式清單中,選取要套用政策的應用程式。
- 將主體新增至政策:
主體可以是使用者、群組、網域或服務帳戶。系統會根據您指派的存取層級,授予或拒絕這些主體的存取權。
- 如要新增主體,請按一下「新增主體」。
- 在「主體」欄位中,輸入使用者、群組、服務帳戶的電子郵件地址或網域名稱。
- 在「存取層級」下拉式選單中,選取一或多個預先定義的「情境感知存取權」層級。只有在主體符合所選存取層級的條件時,系統才會授予存取權。
如要新增更多主體,請再次點選「新增主體」,然後重複上述子步驟。
您可以在 Access Context Manager 中建立及管理存取層級。
- 如要將政策套用至應用程式,請按一下「建立政策」。
修改應用程式層級存取權政策
- 如要修改單一應用程式的政策,請前往「應用程式」頁面。
前往「Applications」(應用程式) - 如要找出要編輯的應用程式,請按照下列步驟操作:
- 在「應用程式」清單中,搜尋要修改的應用程式。
- 如要查看應用程式詳細資料,請按一下「更多動作」選單 (),然後選取「查看詳細資料」。
- 如要編輯應用程式,請按一下「編輯」。
- 將主體新增至政策:
主體可以是使用者、群組、網域或服務帳戶。系統會根據您指派的存取層級,授予或拒絕這些主體的存取權。
- 如要新增主體,請按一下「新增主體」。
- 在「主體」欄位中,輸入使用者、群組、服務帳戶的電子郵件地址或網域名稱。
- 在「存取層級」下拉式清單中,選取一或多個預先定義的情境感知存取層級。只有在主體符合所選存取層級的條件時,系統才會授予存取權。
如要新增更多主體,請再次點選「新增主體」,然後重複上述子步驟。
您可以在 Access Context Manager 中建立及管理存取層級。
- 如要將政策套用至應用程式,請按一下「儲存」。
gcloud
新增服務探索閘道層級繫結
授予使用者應用程式存取權前,請確認使用者在 Secure Gateway 層級擁有服務探索權限。
gcloud beyondcorp security-gateways add-iam-policy-binding SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global \ --role="roles/beyondcorp.serviceDiscoveryUser" \ --member=MEMBER
更改下列內容:
SECURITY_GATEWAY_ID:安全閘道的 IDPROJECT_ID:設定安全閘道的專案 IDMEMBER:要指派服務探索角色的使用者、群組或服務帳戶。詳情請參閱「IAM 主體」。
新增應用程式層級繫結
gcloud beyondcorp security-gateways applications add-iam-policy-binding APPLICATION_ID \ --security-gateway=SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global \ --role="roles/beyondcorp.sgApplicationUser" \ --member=MEMBER
更改下列內容:
APPLICATION_ID:應用程式資源的 IDSECURITY_GATEWAY_ID:安全閘道的 IDPROJECT_ID:設定安全閘道的專案 IDMEMBER:要指派服務探索角色的使用者、群組或服務帳戶。詳情請參閱「IAM 主體」。
新增條件式繫結
您也可以新增附帶條件的繫結。條件會指定需求,例如使用者 IP 位址來自特定位置。(存取層級可在機構層級存取權政策或範圍存取權政策中定義)。
下列範例指令只會在來源 IP 位址位於指定存取層級內時,授予存取權:
gcloud beyondcorp security-gateways applications add-iam-policy-binding APPLICATION_ID \ --security-gateway=SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global \ --role="roles/beyondcorp.sgApplicationUser" \ --member=MEMBER \ --condition="expression='accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels,title=Source IP must be in US"
移除 Service Discovery 閘道層級繫結
在安全閘道層級撤銷使用者的服務探索權限。
gcloud beyondcorp security-gateways remove-iam-policy-binding SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global \ --role="roles/beyondcorp.serviceDiscoveryUser" \ --member=MEMBER
更改下列內容:
SECURITY_GATEWAY_ID:安全閘道的 IDPROJECT_ID:設定安全閘道的專案 IDMEMBER:要移除「服務探索」角色的使用者、群組或服務帳戶。詳情請參閱「IAM 主體」。
移除應用程式層級繫結
gcloud beyondcorp security-gateways applications remove-iam-policy-binding APPLICATION_ID \ --security-gateway=SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global \ --role="roles/beyondcorp.sgApplicationUser" \ --member=MEMBER
更改下列內容:
APPLICATION_ID:應用程式資源的 IDSECURITY_GATEWAY_ID:安全閘道的 IDPROJECT_ID:設定安全閘道的專案 IDMEMBER:要移除「服務探索」角色的使用者、群組或服務帳戶。詳情請參閱「IAM 主體」。
移除條件繫結
您也可以移除附帶條件的繫結。條件會指定需求,例如使用者 IP 位址來自特定位置。(存取層級可在機構層級存取政策或範圍存取政策中定義)。
下列範例指令會移除具有指定存取層級的條件繫結:
gcloud beyondcorp security-gateways applications remove-iam-policy-binding APPLICATION_ID \ --security-gateway=SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global \ --role="roles/beyondcorp.sgApplicationUser" \ --member=MEMBER \ --condition="expression='accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels,title=Source IP must be in US"
REST
安全地更新存取權政策
setIamPolicy 指令會以您提供的政策取代整個現有政策。為避免不小心移除現有權限,建議您使用下列「讀取-修改-寫入」模式。這種模式有助於避免意外移除現有權限。
- 讀取:將目前的存取權政策儲存至檔案。
- 修改:在本地編輯政策檔案,新增或變更權限。
- 寫入:套用更新後的政策檔案。
設定服務探索閘道層級政策
如要授予服務探索權限,您必須在安全閘道上設定存取權政策,而不是在個別應用程式上設定。這遵循相同的「讀取-修改-寫入」模式。
擷取現行政策,並儲存至名為 gateway_policy.json 的檔案。
curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID:getIamPolicy" > gateway_policy.json
接著,在文字編輯器中開啟 gateway_policy.json 檔案,然後將必要主體新增至 roles/beyondcorp.serviceDiscoveryUser 角色的 members 清單,做法與應用程式層級的修改類似。
gateway_policy.json 檔案類似下列範例:
{ "version": 3, "bindings": [ { "role": "roles/beyondcorp.serviceDiscoveryUser", "members": [ "group:existing-group@example.com" ] } ], "etag": "BwXN8_d-bOM=" }
您也可以在政策繫結中新增其他類型的成員,例如 serviceAccount、user、group、principal 和 principalSet。詳情請參閱「IAM 主體」。
套用更新後的政策:
jq '{policy: .}' gateway_policy.json | curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d @- \ "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID:setIamPolicy"
設定應用程式層級的存取權政策
取得目前的政策
擷取目前的政策。如果多位管理員同時進行變更,etag 欄位可避免更新作業衝突。
下列指令會擷取政策,並儲存至名為 policy.json 的檔案。
curl \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:getIamPolicy" > policy.json
更改下列內容:
PROJECT_ID:設定安全閘道的專案 IDSECURITY_GATEWAY_ID:安全閘道的 IDAPPLICATION_ID:應用程式資源的 ID
這項指令會建立 policy.json 檔案,其中包含目前的政策。
修改政策檔案
如要授予群組使用安全閘道的權限,請按照下列步驟操作:
- 使用文字編輯器開啟
policy.json檔案。 - 將群組新增至
roles/beyondcorp.securityGatewayUser角色的members清單。
policy.json 檔案類似下列範例:
{ "version": 3, "bindings": [ { "role": "roles/beyondcorp.sgApplicationUser", "members": [ "group:existing-group@example.com" ] } ], "etag": "BwXN8_d-bOM=" }
如要新增其他群組,請在 members 陣列中新增項目。在先前的項目後加上半形逗號。以下範例會新增 new-group@example.com:
{ "version": 3, "bindings": [ { "role": "roles/beyondcorp.sgApplicationUser", "members": [ "group:existing-group@example.com", "group:new-group@example.com" ] } ], "etag": "BwXN8_d-bOM=" }
您也可以在政策繫結中新增其他類型的成員,例如 serviceAccount、user、group、principal 和 principalSet。詳情請參閱「IAM 主體」。
套用更新後的政策
編輯並儲存 policy.json 檔案後,請使用 setIamPolicy 指令將其套用至資源。這項指令會使用檔案中的 etag,確保更新正確版本。
jq '{policy: .}' policy.json | curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d @- \ "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:setIamPolicy"
更改下列內容:
PROJECT_ID:設定安全閘道的專案 IDSECURITY_GATEWAY_ID:安全閘道的 IDAPPLICATION_ID:應用程式資源的 ID
新增條件式存取政策
您也可以設定附帶條件的存取權政策。條件會指定需求,例如使用者 IP 位址來自特定位置。(存取層級可在機構層級存取權政策或範圍存取權政策中定義)。
下列範例政策只會在來源 IP 位址位於指定存取層級內時授予存取權:
{ "version": 3, "bindings": [ { "role": "roles/beyondcorp.sgApplicationUser", "members": [ "group:group@example.com" ], "condition": { "expression": "request.auth.access_levels.contains('accessPolicies/1234567890/accessLevels/in_us')", "title": "Source IP must be in US" } } ], "etag": "BwXN8_d-bOM=" }
如要套用這項政策,請按照稍早所述的步驟操作。
透過情境感知存取權提升安全性
為進一步提升安全性,並確保只有受管理的 Google Chrome 執行個體能透過安全閘道存取您的網路應用程式,建議您新增情境感知存取權 (CAA) 規則。這項規則會驗證使用者的 Chrome 設定檔是否受管理,防止未受管理或惡意瀏覽器可能造成的濫用行為。
注意:這項功能需要安裝及設定端點驗證擴充功能。如要實作這項功能,請在 Access Context Manager 自訂存取層級中新增條件。以下是可改編的條件範例:
device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_PROFILE_MANAGED
如要進一步瞭解如何設定、檢查及管理這項狀態,請參閱「Chrome 瀏覽器屬性」。
安裝 Chrome Enterprise 進階版擴充功能
Chrome Enterprise 進階版擴充功能是安全閘道不可或缺的一環,有助於進行驗證。為安全閘道的所有使用者安裝擴充功能。如要瞭解如何部署擴充功能,請參閱「查看及設定應用程式和擴充功能」。如要安裝 Chrome Enterprise 進階版擴充功能,請按照下列步驟操作:
- 前往 Google 管理控制台。
- 依序點選「Chrome 瀏覽器」>「應用程式和擴充功能」。
- 按一下「使用者和瀏覽器」分頁。
- 如要新增 Chrome 擴充功能,請按一下「+」按鈕,然後選取「使用 ID 新增 Chrome 應用程式或擴充功能」。
使用下列 ID 搜尋 Secure Enterprise Browser 擴充功能,然後為機構單位或群組中的所有使用者,將安裝政策設為「強制安裝」:
ekajlcmdfcigmdbphhifahdfjbkciflj
按一下已安裝的擴充功能,然後在「擴充功能政策」欄位中,輸入下列 JSON 值:
{ "securityGateway": { "Value": { "authentication": {}, "context": { "resource": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" }, "serviceDiscovery": { "routes": {} } } } }
請替換下列項目:
PROJECT_ID:設定安全閘道的專案 IDSECURITY_GATEWAY_ID:安全閘道的 ID
如要儲存設定,請按一下「儲存」。
舊版 PAC 檔案設定
啟用「服務探索」後,Chrome 瀏覽器用戶端就能自動偵測流量,並透過安全閘道將流量轉送至已設定的應用程式,不必使用 PAC 檔案手動設定轉送。
如果安全閘道未啟用服務探索功能,表示您使用的是舊版設定。您必須設定 PAC 檔案,才能控管 Chrome 瀏覽器用戶端的路由。
如要檢查是否使用舊版設定,請使用下列指令查看服務探索功能是否已啟用:
gcloud
gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global | grep -i "serviceDiscovery"
REST
curl --silent \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" | grep -i "serviceDiscovery"
如果指令未傳回任何輸出內容,表示閘道使用舊版設定。如果閘道使用舊版設定,系統會使用代管的 PAC 檔案處理路由。
步驟 1:建立及代管 PAC 檔案
建立名為
pac_config.js的檔案,並加入下列 JavaScript,將HOST_NAME替換為應用程式的網域 (例如myapp.example.com):function FindProxyForURL(url, host) { const PROXY = "HTTPS via.prod.securegateway.goog:443"; const sites = ["HOST_NAME"]; for (const site of sites) { if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) { return PROXY; } } return 'DIRECT'; }
將 PAC 檔案上傳至代管服務,例如 Cloud Storage bucket。
- 確認檔案可公開下載。
- 將 HTTP 標頭
Cache-Control設為no-cache,確保瀏覽器一律會擷取最新的路由規則。
複製上傳 PAC 檔案的公開網址。
步驟 2:在 Google 管理控制台中套用 PAC 檔案
- 前往 Google 管理控制台。
- 依序前往「裝置」>「Chrome」>「設定」。
- 選取機構單位或群組,然後按一下「Proxy mode」。
- 在「Proxy 模式」下方,選取「一律使用以下指定的 Proxy 自動設定」。
- 在提供的欄位中輸入代管 PAC 檔案的公開網址。
- 按一下 [儲存]。
步驟 3:設定 Chrome Enterprise 進階版擴充功能
擴充功能必須處理驗證。這項擴充功能政策與標準設定不同,因為它排除 serviceDiscovery 區塊。
- 在 Google 管理控制台中,依序前往「Chrome 瀏覽器」>「應用程式和擴充功能」。
- 前往「使用者和瀏覽器」分頁,確認已新增並強制執行 Secure Enterprise Browser 擴充功能 (
ekajlcmdfcigmdbphhifahdfjbkciflj)。 按一下擴充功能,然後在「擴充功能政策」欄位中輸入下列 JSON 值:
{ "securityGateway": { "Value": { "authentication": {}, "context": { "resource": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" } } } }
按一下 [儲存]。
轉換至服務探索設定
如要將舊版安全閘道從 PAC 檔案設定轉換為較新的服務探索設定,請手動啟用這項功能並更新設定。
在安全閘道上啟用服務探索功能:更新現有閘道,啟用服務探索功能。
gcloud
gcloud beyondcorp security-gateways update SECURITY_GATEWAY_ID \ --project=PROJECT_ID \ --location=global \ --service-discovery={}
REST
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{ "service_discovery": {} }' \ "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID?updateMask=service_discovery"
設定閘道層級的存取權政策:在閘道層級授予使用者
roles/beyondcorp.serviceDiscoveryUser角色,讓他們可以使用服務探索功能。按照「新增服務探索閘道層級繫結」一節中的說明操作。更新 Chrome Enterprise 進階版擴充功能設定:按照「安裝 Chrome Enterprise 進階版擴充功能」一節中的操作說明更新擴充功能政策。新的 JSON 設定必須包含
"serviceDiscovery": { "routes": {} }區塊。移除舊版 PAC 檔案:啟用服務探索後,就不再需要舊版 PAC 檔案。
- 在 Google 管理控制台中,依序前往「裝置」>「Chrome」>「設定」>「使用者與瀏覽器設定」>「網路」。
- 找出「Proxy mode」(Proxy 模式) 設定。
- 移除 Proxy 自動設定 (PAC) 網址,或將設定從「一律使用以下指定的 Proxy 自動設定」切換為適合您網路的模式,例如「允許使用者設定」。
- 按一下 [儲存]。
使用者體驗
設定完成後,系統會根據套用至應用程式的存取權政策,授予或拒絕存取受保護的 SaaS 應用程式。
在 Chrome 中存取應用程式
您必須安裝 Chrome Enterprise 進階版擴充功能,才能將流量導向安全閘道。擴充功能會處理使用者與安全閘道之間的驗證。系統會透過網域政策自動安裝擴充功能。
使用者存取您設定的 SaaS 應用程式時,流量會通過安全閘道,系統會檢查使用者是否符合存取政策。如果使用者通過存取政策檢查,系統就會授予應用程式存取權。
如果授權政策拒絕瀏覽器存取應用程式,使用者會收到 Access denied 訊息。