Sicherer Zugriff auf private Webanwendungen

In diesem Dokument wird beschrieben, wie Sie ein sicheres Gateway für Chrome Enterprise Premium einrichten, um den Zugriff auf Ihre privaten Webanwendungen zu schützen.

Ein sicheres Gateway von Chrome Enterprise Premium fungiert als Forwardproxy, der ein Zero-Trust-Zugriffsframework erzwingt und eine detaillierte, kontextsensitive Steuerung des Zugriffs auf Ihre privaten Webanwendungen ermöglicht.

So funktioniert die Sicherung des Zugriffs auf private Webanwendungen

Durch die Einrichtung eines sicheren Tunnels und die Durchsetzung von Richtlinien für den kontextsensitiven Zugriff sorgt das Secure Gateway dafür, dass private Anwendungen privat bleiben und vor dem öffentlichen Internet geschützt sind. Eine clientseitige Browserkonfiguration leitet den Traffic für diese Anwendungen über den Proxy-Endpunkt des sicheren Gateways weiter. Das sichere Gateway wendet dann die entsprechende Zugriffsrichtlinie an und leitet die Anfrage, sofern zulässig, an die Zielanwendung weiter.

Das sichere Gateway kann private Webanwendungen schützen, die in den folgenden Umgebungen gehostet werden:

• Google Cloud -Projekt: Das sichere Gateway kann direkt auf Anwendungen zugreifen, die in Ihrem Google Cloud VPC-Netzwerk ausgeführt werden.

• Nicht-Google Cloud (lokale Rechenzentren oder andere Clouds): Sie müssen zuerst eine Verbindung zwischen Ihrem privaten VPC-Netzwerk aufGoogle Cloud und dem Nicht-Google Cloud -Netzwerk herstellen. Dies geschieht in der Regel über Cloud VPN oder Cloud Interconnect. Das sichere Gateway verwendet dann die Verbindung, um den Traffic an Ihr privates VPC-Netzwerk zu senden, das ihn wiederum an die Nicht-Google Cloud -Umgebung weiterleitet.

Hinweise

Prüfen Sie vor dem Einrichten des sicheren Gateways, ob Folgendes vorhanden ist:

• Eine Chrome Enterprise Premium-Lizenz
• Zugriff auf die Admin-Konsole mit einem Administratorkonto
• Ein Google Cloud -Projekt mit einem zugewiesenen Rechnungskonto und der folgenden aktivierten API: BeyondCorp API

• Die folgende IAM-Rolle (Identity and Access Management) wird dem Administrator zugewiesen, der die Einrichtung vornimmt: Projektebene: Cloud BeyondCorp-Administrator (beyondcorp.admin).

• Für private Anwendungen in einer Umgebung, die nichtGoogle Cloud ist, ist eine Cloud VPN- oder Cloud Interconnect-Verbindung zwischen IhrerGoogle Cloud -Umgebung und der Umgebung, die nichtGoogle Cloud ist, in der sich Ihre Anwendung befindet, erforderlich. Weitere Informationen zum Einrichten von Netzwerkverbindungen finden Sie in den folgenden Ressourcen:

  • Cloud VPN-Dokumentation
  • Cloud Interconnect-Dokumentation

Shell-Umgebung einrichten

Um die Einrichtung zu vereinfachen und mit den APIs der sicheren Gateways zu interagieren, definieren Sie die folgenden Umgebungsvariablen in Ihrer Arbeits-Shell.

• Allgemeine Parameter

  API="beyondcorp.googleapis.com"
  API_VERSION=v1
  PROJECT_ID=PROJECT_ID

  Ersetzen Sie Folgendes:

  • PROJECT_ID: Die ID des Projekts, in dem das sichere Gateway erstellt wird.

• Parameter für das sichere Gateway

  SECURITY_GATEWAY_ID=SECURITY_GATEWAY_ID
  SECURITY_GATEWAY_DISPLAY_NAME="SECURITY_GATEWAY_DISPLAY_NAME"

  Ersetzen Sie Folgendes:

  • SECURITY_GATEWAY_ID: Die ID des sicheren Gateways, das Sie erstellen möchten. Die ID darf maximal 63 Zeichen lang sein und kann Kleinbuchstaben, Ziffern und Bindestriche enthalten. Das erste Zeichen muss ein Buchstabe sein und das letzte Zeichen kann ein Buchstabe oder eine Ziffer sein.
  • SECURITY_GATEWAY_DISPLAY_NAME: Der für Menschen lesbare Name des sicheren Gateways. Der Name kann bis zu 63 Zeichen lang sein und druckbare Zeichen enthalten.

Sicheres Gateway erstellen

Ein sicheres Gateway von Chrome Enterprise Premium ist ein grundlegender Baustein für die Herstellung sicherer Verbindungen zu Ihren Anwendungen.

gcloud beyondcorp security-gateways create ${SECURITY_GATEWAY_ID} \
  --project=${PROJECT_ID} \
  --location=global \
  --display-name="${SECURITY_GATEWAY_DISPLAY_NAME}"
      

curl \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-X POST \
-d '{ "display_name": "SECURITY_GATEWAY_DISPLAY_NAME" }' \
"https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways?security_gateway_id=${SECURITY_GATEWAY_ID}"
      

Private Webanwendung konfigurieren

Bevor Sie bestimmte Anwendungsressourcen im sicheren Gateway definieren können, müssen Sie die erforderlichen Berechtigungen und Netzwerkeinstellungen konfigurieren, um die Verbindung und das richtige Routing zu ermöglichen.

Berechtigungen für das Dienstkonto gewähren

Damit Traffic erfolgreich an Ihr VPC-Netzwerk gesendet werden kann, benötigt das Sicherheitsgateway bestimmte IAM-Berechtigungen, die seinem delegierenden Dienstkonto gewährt werden. Dadurch kann das sichere Gateway auf Ihre privaten Anwendungen zugreifen, unabhängig davon, ob sie in einer Google Cloud VPC oder in einer Umgebung ohneGoogle Cloud gehostet werden, die über Cloud VPN oder Cloud Interconnect verbunden ist.

1. Rufen Sie die Details Ihres sicheren Gateways auf, um die E-Mail-Adresse des delegierenden Dienstkontos zu ermitteln. Die E‑Mail-Adresse befindet sich im Feld delegatingServiceAccount der Antwort.

   gcloud

   gcloud beyondcorp security-gateways describe ${SECURITY_GATEWAY_ID} \
      --project=${PROJECT_ID} \
      --location=global
                  

   REST

   curl \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}"
                  

2. Legen Sie Umgebungsvariablen für das Dienstkonto und Ihr Ziel-VPC-Projekt fest.

   DELEGATING_SERVICE_ACCOUNT="security-gateway@my-gateway-service-account.iam.gserviceaccount.com" # Replace with actual value
         

3. Weisen Sie dem delegierenden Dienstkonto in Ihrem privaten VPC-Projekt die IAM-Rolle roles/beyondcorp.upstreamAccess zu.

   gcloud projects add-iam-policy-binding PRIVATE_VPC_PROJECT_ID \
      --role=roles/beyondcorp.upstreamAccess \
      --member=serviceAccount:${DELEGATING_SERVICE_ACCOUNT}
       

   Ersetzen Sie PRIVATE_VPC_PROJECT_ID durch die Projekt-ID des VPC-Netzwerk, in dem die private Web-App bereitgestellt wird oder in dem Cloud VPN/Interconnect konfiguriert ist.

Es kann etwa zwei Minuten dauern, bis die IAM-Richtlinie (Identity and Access Management) wirksam wird, nachdem Sie die Rolle zugewiesen haben.

Netzwerkrouting und Firewallregeln konfigurieren

Damit Traffic vom sicheren Gateway Ihre privaten Webanwendungen erreichen kann, müssen Sie Firewallregeln, Netzwerkrouting und DNS-Einstellungen konfigurieren.

Firewallregeln für Anwendungen in Google Cloud

Wenn Ihre private Webanwendung in Ihrem Google Cloud VPC-Netzwerk gehostet wird, z. B. auf einer Compute Engine-VM, einem Google Kubernetes Engine-Dienst mit einer internen IP-Adresse oder hinter einem internen TCP/UDP-Load-Balancer, konfigurieren SieGoogle Cloud VPC-Firewallregeln. Dadurch wird eingehender TCP-Traffic aus den IP-Bereichen des sicheren Gateways zugelassen: 34.158.8.0/21 und 136.124.16.0/20.

Firewallregeln für Anwendungen in Nicht-Google Cloud -Umgebungen

Wenn sich Ihre private Webanwendung in einem lokalen Rechenzentrum oder im Netzwerk eines anderen Cloud-Anbieters befindet und über Cloud VPN oder Cloud Interconnect mit Ihrem Google CloudVPC-Netzwerk verbunden ist, konfigurieren Sie Firewallregeln in Ihrer lokalen Firewall oder den entsprechenden Netzwerksicherheitskontrollen, z. B. Sicherheitsgruppen und Netzwerk-ACLs, in der anderen Cloud-Umgebung. Dadurch wird eingehender TCP-Traffic aus den IP-Bereichen des sicheren Gateways zugelassen.

Routing von Nicht-Google Cloud -Umgebungen zu einem sicheren Gateway konfigurieren

Damit die bidirektionale Kommunikation für private Anwendungen, die in Nicht-Google Cloud -Umgebungen wie lokalen oder anderen Clouds gehostet werden, möglich ist, muss in Ihrem externen Netzwerk ein Rückgabepfad zu den folgenden IP-Bereichen des sicheren Gateways erstellt werden: 34.158.8.0/21 und 136.124.16.0/20.

Prüfen Sie, ob Ihr privates Netzwerk die IP-Bereiche des sicheren Gateways über Ihr Cloud VPN oder Cloud Interconnect erreichen kann:

• Dynamisches Routing: Wenn Sie dynamisches Routing wie das Border Gateway Protocol (BGP) mit Cloud Router verwenden, prüfen Sie, ob Ihr Cloud Router in Google Cloud explizit IP-Bereiche für das sichere Gateway für Ihr lokales BGP-Gerät bewirbt. Obwohl BGP viele Routen dynamisch austauscht, müssen die IP-Bereiche des sicheren Gateways explizit beworben werden.

• Statisches Routing: Wenn Sie statische Routen verwenden, müssen Sie für jeden der IP-Bereiche des sicheren Gateways Routen auf Ihren lokalen Netzwerkgeräten wie Router oder Firewall manuell hinzufügen. In diesen statischen Routen muss angegeben werden, dass Traffic, der für die IP-Adressbereiche des sicheren Gateways bestimmt ist, über die Cloud VPN- oder Cloud Interconnect-Verbindung gesendet werden muss.

  Wenn Sie statisches Routing verwenden, muss sich Cloud VPN in einer der folgenden unterstützten Regionen befinden:

  • africa-south1
  • asia-east1
  • asia-south1
  • asia-south2
  • asia-southeast1
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west2
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • northamerica-northeast1
  • northamerica-northeast2
  • northamerica-south1
  • southamerica-east1
  • southamerica-west1
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-west1

DNS-Konfiguration für die Auflösung privater Hostnamen des Secure Gateways

Damit das sichere Gateway die Hostnamen Ihrer privaten Anwendungen auflösen kann, muss IhrGoogle Cloud VPC-Netzwerk die Hostnamen mit Cloud DNS auflösen können. Die spezifische Cloud DNS-Konfiguration hängt davon ab, wo Ihre privaten DNS-Einträge autoritativ gehostet werden:

• Anwendungen in Google Cloud mit privaten Cloud DNS-Zonen: Wenn Ihre privaten Anwendungen in Google Cloud gehostet werden und ihre DNS-Einträge in privaten Cloud DNS-Zonen verwaltet werden, die mit Ihrem VPC-Netzwerk verknüpft sind, prüfen Sie, ob die Zonen richtig konfiguriert und zugänglich sind. Das sichere Gateway nutzt die vorhandenen Cloud DNS-Auflösungsfunktionen Ihrer VPC.

• Anwendungen in Nicht-Google Cloud -Umgebungen oder mit externen DNS-Servern: Wenn sich Ihre privaten Anwendungen in Nicht-Google Cloud-Umgebungen (lokal oder in anderen Clouds) befinden oder ihre DNS-Einträge von DNS-Servern außerhalb der privaten Zonen von Cloud DNS Ihrer VPC verwaltet werden, müssen Sie Cloud DNS so konfigurieren, dass Anfragen für diese privaten Domains weitergeleitet werden. Dazu müssen Sie in der Regel Cloud DNS-Weiterleitungszonen in Ihrer VPC erstellen. Diese Zonen leiten DNS-Abfragen für Ihre angegebenen privaten Domains an Ihre autoritativen privaten DNS-Server weiter, z. B. lokal oder in anderen Clouds.

Eine detaillierte Anleitung zur DNS-Konfiguration finden Sie unter Weiterleitungszone erstellen.

Anwendungsressource erstellen

Wenn Sie Zugriff auf eine private Webanwendung gewähren möchten, müssen Sie die Anwendung im Secure Gateway-Framework einrichten, indem Sie eine Anwendungsressource erstellen. Diese Ressource definiert, wie das Secure Gateway Traffic für Ihre Anwendung (basierend auf dem Hostnamen) identifiziert und wohin dieser Traffic weitergeleitet wird.

1. Legen Sie die erforderlichen Umgebungsvariablen mit dem folgenden Befehl fest:

      APPLICATION_ID=APPLICATION_ID
      APP_DISPLAY_NAME="APP_DISPLAY_NAME"
      HOST_NAME=HOST_NAME
      PRIVATE_NETWORK_RESOURCE_NAME=PRIVATE_NETWORK_RESOURCE_NAME
      

   Ersetzen Sie Folgendes:
   • APPLICATION_ID: Eine eindeutige ID für die Anwendungsressource.
   • APP_DISPLAY_NAME: Der für Menschen lesbare Name, der angezeigt werden soll.
   • HOST_NAME: Der primäre Hostname, über den Nutzer zugreifen (z. B. private.local).
   • PRIVATE_NETWORK_RESOURCE_NAME: Der vollständige Ressourcenname des VPC-Netzwerk, z. B. projects/my-project/global/networks/my-network.
2. Erstellen Sie die Anwendungsressource.

   gcloud

   Führen Sie den folgenden Befehl aus, um die Anwendungsressource zu erstellen.

   gcloud beyondcorp security-gateways applications create ${APPLICATION_ID} \
     --project=${PROJECT_ID} \
     --security-gateway=${SECURITY_GATEWAY_ID} \
     --location=global \
     --display-name="${APP_DISPLAY_NAME}" \
     --endpoint-matchers="hostname=${HOST_NAME},ports=[443]" \
     --upstreams=network=name="${PRIVATE_NETWORK_RESOURCE_NAME}"
           

   Wenn Sie eine Region für ausgehenden Traffic angeben möchten (z. B. bei Verwendung statischer Routen), fügen Sie das Flag --egress-regions hinzu:

   gcloud beyondcorp security-gateways applications create ${APPLICATION_ID} \
     --project=${PROJECT_ID} \
     --security-gateway=${SECURITY_GATEWAY_ID} \
     --location=global \
     --display-name="${APP_DISPLAY_NAME}" \
     --endpoint-matchers="hostname=${HOST_NAME},ports=[443]" \
     --upstreams=network=name="${PRIVATE_NETWORK_RESOURCE_NAME}",egressPolicy=regions=us-central1
           

   Ersetzen Sie us-central1 durch die Google Cloud Region Google Cloud (z. B. europe-west1 oder asia-northeast1), die mit Ihrer regionalen Einrichtung für statisches Routing übereinstimmt. Wenn Sie keine spezifischen regionalen Anforderungen an das statische Routing haben, können Sie die Egress-Richtlinie aus Ihrer Konfiguration weglassen.

   REST

   So erstellen Sie eine Anwendungsressource mit der API:

   1. Erstellen Sie eine Datei mit dem Namen application.json.

      {
      "display_name": "APP_DISPLAY_NAME",
      "endpoint_matchers": [
         {"hostname": "HOST_NAME", "ports": [443]}
      ],
      "upstreams": [{
         "network": {
            "name": "PRIVATE_NETWORK_RESOURCE_NAME"
         }
      }]
      }
               

      Wenn Sie eine Region für ausgehenden Traffic angeben möchten (z. B. bei Verwendung statischer Routen), fügen Sie der Upstream-Konfiguration ein egress_policy hinzu:

      {
      "display_name": "APP_DISPLAY_NAME",
      "endpoint_matchers": [
         {"hostname": "HOST_NAME", "ports": [443]}
      ],
      "upstreams": [{
         "network": {
            "name": "PRIVATE_NETWORK_RESOURCE_NAME"
         },
         "egress_policy": {
            "regions": [
            "us-central1"
            ]
         }
      }]
      }
                

      Ersetzen Sie us-central1 durch die Google Cloud Region Google Cloud (z. B. europe-west1 oder asia-northeast1), die mit Ihrer regionalen Einrichtung für statisches Routing übereinstimmt. Wenn Sie keine spezifischen regionalen Anforderungen an das statische Routing haben, können Sie die Egress-Richtlinie aus Ihrer Konfiguration weglassen.

   2. Rufen Sie die API-Methode Create auf.

      curl \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      -H "Content-Type: application/json" \
      -X POST \
      -d @application.json \
      "https://${API}/${API_VERSION}/projects/${PROJECT_ID}/locations/global/securityGateways/${SECURITY_GATEWAY_ID}/applications?application_id=${APPLICATION_ID}"
                

Google Chrome-Proxymodus konfigurieren

Sie können den Anwendungs-Traffic über das sichere Gateway leiten, indem Sie in den Chrome-Einstellungen in der Admin-Konsole eine PAC-Datei anwenden. So wenden Sie die PAC-Datei an:

1. Erstellen oder aktualisieren Sie eine PAC-Datei.

   • Erstellen Sie Ihre erste Anwendung, indem Sie mit der folgenden Beispiel-PAC-Datei eine pac_config.js-Datei erstellen.

   • Aktualisieren Sie Ihre vorhandene pac_config.js-Datei und fügen Sie die Domains Ihrer neuen Anwendung dem Array „sites“ hinzu, wie in der folgenden Beispiel-PAC-Datei gezeigt.

   function FindProxyForURL(url, host) {
    const PROXY = "HTTPS ingress.cloudproxy.app:443";
    const sites = ["HOST_NAME"];
   
    for (const site of sites) {
      if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) {
        return PROXY;
      }
    }
   return 'DIRECT';
   }

   Ersetzen Sie HOST_NAME durch den Hostnamen Ihrer Anwendung, z. B. myapp.example.com.

   Wenn Sie eine vorhandene PAC-Datei verwenden, die nicht für ein sicheres Gateway spezifisch ist, führen Sie die PAC-Dateien zusammen, indem Sie die Domains Ihrer Anwendung dem Array „sites“ hinzufügen.

2. Laden Sie die Datei so hoch, dass sie öffentlich heruntergeladen werden kann. Sie können die Datei beispielsweise in Cloud Storage hochladen und sie öffentlich herunterladbar machen, indem Sie allen Nutzern die Rolle Storage Object User für den Bucket zuweisen.

3. Wenn Sie prüfen möchten, ob die hochgeladene Datei die neueste Version ist, können Sie das Caching-Verhalten anpassen, indem Sie den Header Cache-Control auf no-cache festlegen. Diese Einstellung verhindert, dass Browser und Zwischenserver eine Kopie der Datei speichern, sodass Chrome die aktuelle Version herunterlädt.

   Weitere Informationen zu Cache-Control und den Auswirkungen auf das Browser-Caching finden Sie unter Cache-Control-Header.

4. Kopieren Sie die öffentliche URL der hochgeladenen Datei.

Proxy-Moduseinstellungen aktualisieren

1. Rufen Sie die Admin-Konsole auf.
2. Klicken Sie auf Geräte > Chrome > Einstellungen.
3. Wählen Sie die Organisationseinheit oder Gruppe aus und klicken Sie dann auf Proxy-Modus.
4. Wählen Sie unter Proxymodus die Option Für den Proxyserver immer die unten angegebene automatische Konfiguration verwenden aus und geben Sie die URL der PAC-Datei aus Cloud Storage ein.
5. Klicken Sie auf Speichern, um die Einstellungen für den Proxymodus zu speichern.

Zugriffsrichtlinie konfigurieren

Sie können eine Zugriffsrichtlinie anwenden, um den Zugriff entweder auf der Ebene des sicheren Gateways zu steuern, was sich auf alle zugehörigen Anwendungen auswirkt, oder auf der Ebene der einzelnen Anwendungen, um eine detailliertere Steuerung zu ermöglichen.

Zugriffsrichtlinie sicher aktualisieren

Mit dem Befehl setIamPolicy wird die gesamte vorhandene Richtlinie durch die von Ihnen angegebene Richtlinie ersetzt. Damit Sie nicht versehentlich vorhandene Berechtigungen entfernen, empfehlen wir, das folgende Muster „Lesen-Ändern-Schreiben“ zu verwenden. Dieses Muster hilft, das versehentliche Entfernen vorhandener Berechtigungen zu verhindern.

1. Lesen: Rufen Sie zuerst die aktuelle Zugriffsrichtlinie ab.

2. Ändern: Bearbeiten Sie die Richtliniendatei lokal, um Berechtigungen hinzuzufügen oder zu ändern.

3. Schreiben: Wenden Sie die aktualisierte Richtliniendatei an.

Aktuelle Richtlinie abrufen

Rufen Sie die aktuelle Richtlinie ab, bevor Sie Änderungen vornehmen.

Das Feld etag in der Richtlinie dient als Versions-ID. Sie verhindert Konflikte, wenn mehrere Administratoren gleichzeitig Änderungen vornehmen.

Mit dem folgenden Befehl wird die Richtlinie abgerufen und in einer Datei mit dem Namen policy.json gespeichert.

gcloud beta beyondcorp security-gateways applications get-iam-policy APPLICATION_ID \
  --security-gateway=SECURITY_GATEWAY_ID \
  --project=PROJECT_ID \
  --location=global > policy.json

curl \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://${API}/${API_VERSION}/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:getIamPolicy" > policy.json

Mit dem Befehl wird eine policy.json-Datei erstellt, die die aktuelle Richtlinie enthält.

Richtliniendatei ändern

Öffnen Sie die Datei policy.json in einem Texteditor. Wenn Sie einer Gruppe Zugriff auf das sichere Gateway gewähren möchten, fügen Sie die Gruppe der Liste members für die Rolle roles/beyondcorp.securityGatewayUser hinzu.

Die Datei policy.json sieht in etwa so aus:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.securityGatewayUser",
      "members": [
        "group:existing-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Wenn Sie eine zusätzliche Gruppe hinzufügen möchten, fügen Sie dem Array members einen neuen Eintrag hinzu. Fügen Sie nach dem vorherigen Eintrag ein Komma ein.

Im folgenden Beispiel wird new-group@example.com hinzugefügt:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.securityGatewayUser",
      "members": [
        "group:existing-group@example.com",
        "group:new-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Sie können auch andere Arten von Mitgliedern wie serviceAccount, user, group, principal und principalSet in Richtlinienbindungen hinzufügen. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Aktualisierte Richtlinie anwenden

Nachdem Sie die policy.json-Datei bearbeitet und gespeichert haben, wenden Sie sie mit dem Befehl setIamPolicy auf die Ressource an. Dieser Befehl verwendet die etag aus Ihrer Datei, um sicherzustellen, dass Sie die richtige Version aktualisieren.

gcloud beta beyondcorp security-gateways applications set-iam-policy APPLICATION_ID policy.json \
  --security-gateway=SECURITY_GATEWAY_ID \
  --project=PROJECT_ID \
  --location=global

jq '{policy: .}' policy.json | curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -d @- \
  "https://${API}/${API_VERSION}/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:setIamPolicy"

Richtlinie für bedingten Zugriff hinzufügen

Sie können auch Zugriffsrichtlinien mit Bedingungen festlegen. Bedingungen geben Anforderungen an, z. B. dass die IP-Adresse eines Nutzers von einem bestimmten Standort stammt.

Die folgende Beispielrichtlinie gewährt nur Zugriff, wenn die Quell-IP-Adresse einer bestimmten Zugriffsebene entspricht:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.securityGatewayUser",
      "members": [
        "group:group@example.com"
      ],
      "condition": {
        "expression": "request.auth.access_levels.contains('accessPolicies/1234567890/accessLevels/in_us')",
        "title": "Source IP must be in US"
      }
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Folgen Sie der Anleitung oben, um diese Richtlinie anzuwenden.

Chrome Enterprise Premium-Erweiterung installieren

Die Chrome Enterprise Premium-Erweiterung ist ein integraler Bestandteil eines sicheren Gateways und unterstützt die Authentifizierung. Installieren Sie die Erweiterung für alle Nutzer des sicheren Gateways. Informationen zum Bereitstellen der Erweiterung finden Sie unter Apps und Erweiterungen ansehen und festlegen. So installieren Sie die Chrome Enterprise Premium-Erweiterung:

1. Rufen Sie die Admin-Konsole auf.
2. Klicken Sie auf Chrome-Browser > Apps und Erweiterungen.
3. Klicken Sie auf den Tab Nutzer und Browser.
4. Klicken Sie zum Hinzufügen der Chrome-Erweiterung auf die Schaltfläche +.

5. Suchen Sie nach der folgenden Erweiterung und legen Sie dann fest, dass sie für alle Nutzer in der Organisationseinheit oder Gruppe installiert werden muss:

   ekajlcmdfcigmdbphhifahdfjbkciflj

6. Klicken Sie auf die installierte Erweiterung und geben Sie im Feld Richtlinie für Erweiterungen den folgenden JSON-Wert ein:

   {
     "securityGateway": {
       "Value": {
         "authentication": {},
         "context": { "resource": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" }
       }
     }
   }

   Ersetzen Sie Folgendes:

   • PROJECT_ID: die ID des Projekts, in dem das Sicherheitsgateway konfiguriert ist
   • SECURITY_GATEWAY_ID: die ID des Sicherheitsgateways

7. Klicken Sie auf Speichern, um die Konfiguration zu speichern.

Nutzererfahrung

Nach Abschluss der Einrichtung wird Endnutzern, die auf die geschützte SaaS-Anwendung zugreifen, der Zugriff basierend auf der auf die Anwendung angewendeten Zugriffsrichtlinie gewährt oder verweigert.

Auf die Anwendung in Chrome zugreifen

Die Chrome Enterprise Premium-Erweiterung ist erforderlich, um Traffic über das sichere Gateway weiterzuleiten. Die Erweiterung übernimmt die Authentifizierung zwischen dem Nutzer und dem sicheren Gateway. Die Erweiterung wird automatisch über die Domainrichtlinie installiert.

Wenn Nutzer auf die von Ihnen konfigurierte SaaS-Anwendung zugreifen, wird ihr Traffic über das sichere Gateway geleitet, das prüft, ob sie die Zugriffsrichtlinie erfüllen. Wenn die Nutzer die Prüfungen der Zugriffsrichtlinie bestehen, erhalten sie Zugriff auf die Anwendung.

Wenn der Browserzugriff auf die Anwendung durch die Autorisierungsrichtlinie abgelehnt wird, erhalten Nutzer die Meldung Access denied.

Nächste Schritte

• Probleme mit dem sicheren Gateway beheben
• Sicheres Gateway verwalten