Sicherer Zugriff auf SaaS-Anwendungen

Auf dieser Seite erfahren Sie, wie Sie Ihre SaaS-Anwendungen über das sichere Gateway von Chrome Enterprise Premium schützen.

Ein sicheres Gateway von Chrome Enterprise Premium fungiert als Forward-Proxy, der ein Zero-Trust-Zugriffsframework erzwingt und eine detaillierte, kontextsensitive Kontrolle darüber ermöglicht, wer auf Ihre SaaS-Anwendungen zugreift.

So funktioniert die Sicherung des Zugriffs auf SaaS-Anwendungen

Im Folgenden finden Sie eine allgemeine Übersicht darüber, wie ein sicheres Gateway Ihre SaaS-Anwendungen schützt:

  1. Die clientseitigen Browsereinstellungen leiten den Anwendungs-Traffic über einen sicheren Gateway-Proxy.
  2. Das sichere Gateway prüft Richtlinien für den kontextsensitiven Zugriff, um den Zugriff von Clients (Nutzer und Geräte) zu autorisieren.
  3. Wenn der Clientzugriff zulässig ist, leitet das Gateway den Traffic mit eindeutigen Quell-IP-Adressen, die diesem Gateway und der Google Cloud-Region zugewiesen sind, an die Anwendung weiter. Diese zugewiesenen IP-Adressen sind ausschließlich für das von Ihnen erstellte Gateway reserviert und können nicht von anderen Nutzern oder Gateways verwendet werden. Um den Zugriff zu steuern, können Sie diese dedizierten Quell-IP-Adressen einer Zulassungsliste in Ihrer SaaS-Anwendung hinzufügen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, die folgenden Rollen zuzuweisen:

Weitere Informationen zu IAM-Rollen (Identity and Access Management)

Hinweis

Bevor Sie das sichere Gateway einrichten, müssen Sie Folgendes haben:

Beschränkungen

Für ein Chrome Enterprise Premium Secure Gateway gelten die folgenden Einschränkungen:

  • IPv6-Verbindungen: Das sichere Gateway von Chrome Enterprise Premium unterstützt keine SaaS-Anwendungen, die IPv6-Verbindungen verwenden.
  • Identitätsanbieter als SaaS-Anwendung: Ein Identitätsanbieter darf nicht als SaaS-Anwendung konfiguriert werden, um vom Secure Gateway geschützt zu werden, wenn die Authentifizierung des Endnutzers mit dem Secure Gateway vom selben IdP abhängt.

Shell-Umgebung einrichten

Um die Einrichtung zu vereinfachen und mit den APIs der sicheren Gateways zu interagieren, definieren Sie die folgenden Umgebungsvariablen in Ihrer Arbeits-Shell.

  • Allgemeine Parameter

    PROJECT_ID=PROJECT_ID
APPLICATION_ID=APPLICATION_ID
APPLICATION_DISPLAY_NAME="APPLICATION_DISPLAY_NAME"
HOST_NAME=HOST_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Die ID des Projekts, in dem das sichere Gateway erstellt wird.
    • APPLICATION_ID: Die ID Ihrer Anwendung, z. B. github. Der Name darf maximal 63 Zeichen lang sein und kann Kleinbuchstaben, Ziffern und Bindestriche enthalten. Das erste Zeichen muss ein Buchstabe sein und das letzte Zeichen kann ein Buchstabe oder eine Ziffer sein.
    • APPLICATION_DISPLAY_NAME: Der für Menschen lesbare Name, der angezeigt werden soll.

    • HOST_NAME: Der Hostname Ihrer Anwendung. Beispiel: github.com. Der Hostname darf maximal 253 Zeichen lang sein und muss eines der folgenden Formate haben:

      • Eine gültige IPv4-Adresse
      • Eine gültige IPv6-Adresse
      • Ein gültiger DNS-Name
      • Ein Sternchen (*)
      • Ein Sternchen (*) gefolgt von einem gültigen DNS-Namen

  • Parameter für das sichere Gateway

    SECURITY_GATEWAY_ID=SECURITY_GATEWAY_ID
SECURITY_GATEWAY_DISPLAY_NAME="SECURITY_GATEWAY_DISPLAY_NAME"

    Ersetzen Sie Folgendes:

    • SECURITY_GATEWAY_ID: Die ID des sicheren Gateways. Die ID darf maximal 63 Zeichen lang sein und kann Kleinbuchstaben, Ziffern und Bindestriche enthalten. Das erste Zeichen muss ein Buchstabe sein und das letzte Zeichen kann ein Buchstabe oder eine Ziffer sein.
    • SECURITY_GATEWAY_DISPLAY_NAME: Der für Menschen lesbare Name des sicheren Gateways. Der Name kann bis zu 63 Zeichen lang sein und darf nur druckbare Zeichen enthalten.

Sicheres Gateway erstellen

Ein sicheres Gateway von Chrome Enterprise Premium ist ein grundlegender Baustein für die Herstellung sicherer Verbindungen zu Ihren Anwendungen. Dabei werden ein dediziertes Projekt und Netzwerk zugewiesen, die für Isolation und Sicherheit sorgen.

Console

So erstellen Sie eine Ressource für ein sicheres Gateway:

  1. Rufen Sie in der Google Cloud Console die Seite Secure Gateway auf.
    Zum sicheren Gateway
  2. Wählen Sie das Projekt aus, für das Sie das sichere Gateway erstellen möchten.
  3. Klicken Sie zum Erstellen eines sicheren Gateways auf Neues Gateway erstellen und warten Sie, bis der Vorgang abgeschlossen ist.
  4. Sie können den Fortschritt im Bereich „Benachrichtigungen“ der Google Cloud -Konsole verfolgen.
  5. Bevor Sie eine SaaS-Anwendungsressource erstellen, empfehlen wir Ihnen, SaaS-Hubs für ausgehenden Traffic zu erstellen. Das Flag hubs steht für die regionalen Ressourcen, die zum Aktivieren der Egress-Verbindung zur Zielanwendung erforderlich sind. Sie können für jede Region einen Hub konfigurieren. Jeder Hub stellt zwei IP-Adressen bereit. Ein sicheres Gateway kann maximal 20 Hubs haben. Sie können die folgenden Regionen angeben:
    • africa-south1
    • asia-east1
    • asia-south1
    • asia-south2
    • asia-southeast1
    • europe-central2
    • europe-north1
    • europe-southwest1
    • europe-west1
    • europe-west2
    • europe-west3
    • europe-west4
    • europe-west8
    • europe-west9
    • northamerica-northeast1
    • northamerica-northeast2
    • northamerica-south1
    • southamerica-east1
    • southamerica-west1
    • us-central1
    • us-east1
    • us-east4
    • us-east5
    • us-west1
  6. Rufen Sie in der Google Cloud Console die Seite SaaS Egress Hubs auf.
    Zu SaaS-Hubs für ausgehenden Traffic
  7. Wählen Sie das Projekt aus, für das Sie die SaaS-Hubs für ausgehenden Traffic erstellen möchten.
  8. Klicken Sie auf SaaS-Hub für ausgehenden Traffic hinzufügen, um einen SaaS-Hub für ausgehenden Traffic hinzuzufügen.
  9. Wählen Sie in der Drop-down-Liste die Regionen aus, in denen Sie die Egress-Hubs hinzufügen möchten. Klicken Sie auf SaaS-Hub für ausgehenden Traffic hinzufügen, um die Hubs für ausgehenden Traffic hinzuzufügen. Wenn Sie mehrere Hubs hinzufügen möchten, klicken Sie auf SaaS-Hub für ausgehenden Traffic hinzufügen. Klicken Sie anschließend auf „Speichern“, um die Egress-Hubs zu erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um eine Ressource für ein sicheres Gateway zu erstellen. Geben Sie für das Flag --hubs eine oder mehrere Regionen aus der folgenden Liste an.

gcloud beyondcorp security-gateways create SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --display-name="SECURITY_GATEWAY_DISPLAY_NAME" \
    --hubs=us-central1 \
    --service-discovery={}

Mit dem Flag hubs werden die regionalen Ressourcen festgelegt, die zum Aktivieren der Egress-Verbindung zur Zielanwendung erforderlich sind. Sie können einen Hub für jede Region haben. Jeder Hub stellt zwei IP-Adressen bereit. Ein sicheres Gateway kann maximal 20 Hubs haben. Sie können die folgenden Regionen angeben:

  • africa-south1
  • asia-east1
  • asia-south1
  • asia-south2
  • asia-southeast1
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west2
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • northamerica-northeast1
  • northamerica-northeast2
  • northamerica-south1
  • southamerica-east1
  • southamerica-west1
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-west1

REST

Rufen Sie zum Erstellen einer sicheren Gateway-Ressource die Create API-Methode mit den Gateway-Details im Anfragetext auf. Geben Sie für das Flag hubs eine oder mehrere Regionen aus der folgenden Liste an.

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -X POST \
    -d '{ "display_name": "SECURITY_GATEWAY_DISPLAY_NAME", "hubs": { "us-central1": {} }, "service_discovery": {} }' \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways?security_gateway_id=SECURITY_GATEWAY_ID"

Das Flag hubs steht für die regionalen Ressourcen, die zum Aktivieren der Egress-Verbindung zur Zielanwendung erforderlich sind. Sie können einen Hub für jede Region haben. Jeder Hub stellt zwei IP-Adressen zur Verfügung. Ein sicheres Gateway kann maximal 20 Hubs haben. Sie können die folgenden Regionen angeben:

  • africa-south1
  • asia-east1
  • asia-south1
  • asia-south2
  • asia-southeast1
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west2
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • northamerica-northeast1
  • northamerica-northeast2
  • northamerica-south1
  • southamerica-east1
  • southamerica-west1
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-west1

SaaS-Anwendung konfigurieren

Nachdem Sie ein sicheres Gateway erstellt haben, können Sie Ihre SaaS-Anwendungen so konfigurieren, dass sie das sichere Gateway für den sicheren Zugriff verwenden.

Console

So konfigurieren Sie SaaS-Hubs für ausgehenden Traffic:

  1. Rufen Sie in der Google Cloud Console die Seite SaaS Egress Hubs auf.
    Zu SaaS-Hubs für ausgehenden Traffic
  2. Suchen Sie auf der Seite SaaS-Hubs für ausgehenden Traffic nach der Tabelle mit den Hubs. Kopieren Sie für jede Region, die Sie verwenden möchten, alle IP-Adressen, die in der Spalte Statische dedizierte Egress-IPs aufgeführt sind. In jeder Region sind zwei IP-Adressen verfügbar.
  3. Fügen Sie die IP-Adressen der IP-Zulassungsliste Ihrer SaaS-Anwendung hinzu. Für eine GitHub-Anwendung können Sie beispielsweise dieser Anleitung folgen: Managing allowed IP addresses for your organization (Zulässige IP-Adressen für Ihre Organisation verwalten).

gcloud

So konfigurieren Sie SaaS-Hubs für ausgehenden Traffic:

  1. Rufen Sie die IP-Adressen ab, die vom sicheren Gateway für jeden Hub zugewiesen wurden. Für eine Region werden zwei IP-Adressen zugewiesen.
    2. gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global

    Hier ist ein Beispiel für eine GET-Antwort eines sicheren Gateways mit hubs. Im Beispiel werden hubs in den Regionen us-central1 und us-east1 erstellt. Alle in der Antwort zurückgegebenen IP-Adressen müssen in der SaaS-Anwendung zugelassen werden.

    createTime: 'CREATE_TIME'
displayName: My secure gateway
hubs:
  us-central1:
    internetGateway:
      assignedIps:
      -   IP_ADDRESS_1
      -   IP_ADDRESS_2
  us-east1:
    internetGateway:
      assignedIps:
      -   IP_ADDRESS_1
      -   IP_ADDRESS_2
name: projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID
state: RUNNING
updateTime: 'UPDATE_TIME'
  2. Fügen Sie die IP-Adressen der IP-Zulassungsliste Ihrer SaaS-Anwendung hinzu. Für eine GitHub-Anwendung können Sie beispielsweise dieser Anleitung folgen: Zulässige IP-Adressen für Ihre Organisation verwalten.

REST

So konfigurieren Sie SaaS-Hubs für ausgehenden Traffic:

  1. Rufen Sie die IP-Adressen ab, die vom sicheren Gateway für jeden Hub zugewiesen wurden. Für eine Region werden zwei IP-Adressen zugewiesen.
    2. curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID"

    Hier ist ein Beispiel für eine GET-Antwort eines sicheren Gateways mit hubs. Im Beispiel werden hubs in den Regionen us-central1 und us-east1 erstellt. Alle in der Antwort zurückgegebenen IP-Adressen müssen in der SaaS-Anwendung zugelassen werden.

    {
  "securityGateways": [
    {
      "name": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID",
      "createTime": "CREATE_TIME",
      "updateTime": "UPDATE_TIME",
      "displayName": "My secure gateway",
      "state": "RUNNING",
      "hubs": {
        "us-central1": {
          "internetGateway": {
            "assignedIps": [
              "IP_ADDRESS_1",
              "IP_ADDRESS_2",
            ]
          }
        },
        "us-east1": {
          "internetGateway": {
            "assignedIps": [
              "IP_ADDRESS_1",
              "IP_ADDRESS_2",
            ]
          }
        }
      }
    }
  ]
}
  2. Fügen Sie die IP-Adressen der IP-Zulassungsliste Ihrer SaaS-Anwendung hinzu. Für eine GitHub-Anwendung können Sie beispielsweise dieser Anleitung folgen: Zulässige IP-Adressen für Ihre Organisation verwalten.

Anwendungsressource erstellen

Die folgenden Informationen führen Sie durch die Einrichtung und Konfiguration einer sicheren Gateway-Anwendungsressource.

Sichere Gateway-Anwendungsressource in Google Clouderstellen

Die Anwendungsressource Google Cloud ist eine Unterressource der Secure Gateway-Ressource. Erstellen Sie eine Anwendungsressource über die Google Cloud Konsole oder durch Aufrufen der Create-API.

Console

So erstellen Sie eine SaaS-Anwendung:

  1. Rufen Sie in der Google Cloud Console die Seite Secure Gateway auf.
    Zum sicheren Gateway
  2. Klicken Sie auf Anwendung hinzufügen, um eine Anwendung zu erstellen.
  3. Wählen Sie den Anwendungstyp Öffentliche Anwendung aus.
  4. Wenn für dieses sichere Gateway noch keine SaaS-Ausgangshubs konfiguriert sind, werden Sie aufgefordert, sie zu erstellen. Für öffentliche Anwendungen ist mindestens ein SaaS-Hub für ausgehenden Traffic erforderlich. Klicken Sie zum Konfigurieren von SaaS-Hubs für ausgehenden Traffic auf Zu SaaS-Hubs für ausgehenden Traffic und fügen Sie eine oder mehrere Regionen hinzu.
  5. Wenn Sie mindestens einen Egress-Hub haben, klicken Sie auf Weiter.
  6. Geben Sie die Antragsdetails ein:
    • Anwendungsname: Geben Sie einen Namen ein, z. B. GitHub.
    • Domain-Matcher: Geben Sie eine durch Kommas getrennte Liste von Domainmustern ein, die über das sichere Gateway geleitet werden sollen. Geben Sie den Port im Format domain:port an. Platzhalter (*) sind zulässig. Beispiel: github.com:443.
  7. Klicken Sie auf Weiter, um Ihre SaaS-Anwendung zu konfigurieren.
  8. Konfigurieren Sie Ihre SaaS-Anwendung so, dass Traffic vom sicheren Gateway zugelassen wird:
    1. Notieren oder kopieren Sie sorgfältig alle IP-Adressen, die für die von Ihnen verwendeten Regionen aufgeführt sind. Diese IP-Adressen sind für Ihr sicheres Gateway eindeutig.
    2. Melden Sie sich in der Verwaltungskonsole Ihrer SaaS-Anwendung an.
    3. Rufen Sie die Netzwerk- oder Sicherheitseinstellungen auf, in denen IP-Zulassungslisten verwaltet werden.
    4. Fügen Sie alle abgerufenen IP-Adressen der IP-Zulassungsliste der Anwendung hinzu.
  9. Klicken Sie auf Weiter, um die Anwendung hinzuzufügen.
  10. Optional: Zugriffsrichtlinie definieren: Wählen Sie eine Access Context Manager-Zugriffsrichtlinie aus. Sie können diesen Schritt für diese Anleitung überspringen.
  11. Klicken Sie auf Erstellen, um die Einstellungen zu speichern und die Anwendung zu erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um eine SaaS-Anwendung mit gcloud zu erstellen:

gcloud beyondcorp security-gateways applications create APPLICATION_ID \
    --project=PROJECT_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --location=global \
    --display-name="APPLICATION_DISPLAY_NAME" \
    --endpoint-matchers="hostname=HOST_NAME,ports=443"

REST

Führen Sie den folgenden Befehl aus, um eine SaaS-Anwendung mit der REST API zu erstellen:

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -X POST \
    -d "{ \"display_name\": \"APPLICATION_DISPLAY_NAME\", \"endpoint_matchers\": [{hostname: \"HOST_NAME\", ports: 443}] }" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications?application_id=APPLICATION_ID"

Zugriffsrichtlinie konfigurieren

Sie können eine Zugriffsrichtlinie anwenden, um den Zugriff auf Anwendungsebene zu steuern. Wenn keine Zugriffsrichtlinie konfiguriert ist, wird der Zugriff auf die Anwendung standardmäßig verweigert.

Console

Richtlinie für mehrere Anwendungen erstellen

So konfigurieren Sie eine Zugriffsrichtlinie:

  1. Wenn Sie eine Richtlinie erstellen möchten, die für mehrere Anwendungen gilt, die mit dem sicheren Gateway verknüpft sind, rufen Sie die Seite Richtlinien auf.
    Zu den Richtlinien
  2. Wenn Sie Anwendungen Zugriffsrichtlinien hinzufügen möchten, klicken Sie auf Richtlinie erstellen.
  3. Wählen Sie in der Drop-down-Liste die Anwendungen aus, auf die die Richtlinien angewendet werden sollen.
  4. Fügen Sie der Richtlinie Hauptkonten hinzu:

    Hauptkonten können Nutzer, Gruppen, Domains oder Dienstkonten sein. Diesen Hauptkonten wird der Zugriff basierend auf den von Ihnen zugewiesenen Zugriffsebenen gewährt oder verweigert.

    1. Klicken Sie zum Hinzufügen eines Hauptkontos auf Hauptkonto hinzufügen.
    2. Geben Sie im Feld Hauptkonto die E-Mail-Adresse des Nutzers, der Gruppe oder des Dienstkontos oder den Domainnamen ein.
    3. Wählen Sie im Drop-down-Menü Zugriffsebenen eine oder mehrere vordefinierte kontextsensitive Zugriffsebenen aus. Der Zugriff wird nur gewährt, wenn das Hauptkonto die Bedingungen der ausgewählten Zugriffsebenen erfüllt.

    Wenn Sie weitere Hauptkonten hinzufügen möchten, klicken Sie noch einmal auf Hauptkonto hinzufügen und wiederholen Sie die Teilschritte.

    Sie können Zugriffsebenen in Access Context Manager erstellen und verwalten.

  5. Klicken Sie auf Richtlinie erstellen, um die Richtlinie auf die Anwendung anzuwenden.

Zugriffsrichtlinie auf Anwendungsebene ändern

  1. Wenn Sie eine Richtlinie für eine einzelne Anwendung ändern möchten, rufen Sie die Seite Anwendungen auf.
    Zu „Anwendungen“ wechseln
  2. So finden Sie die Anwendung, die Sie bearbeiten möchten:
    1. Suchen Sie in der Liste Anwendungen nach der Anwendung, die Sie ändern möchten.
    2. Wenn Sie die Anwendungsdetails aufrufen möchten, klicken Sie auf das Menü Weitere Aktionen () und wählen Sie Details ansehen aus.
  3. Klicken Sie zum Bearbeiten des Antrags auf Bearbeiten.
  4. Fügen Sie der Richtlinie Hauptkonten hinzu:

    Hauptkonten können Nutzer, Gruppen, Domains oder Dienstkonten sein. Diesen Hauptkonten wird der Zugriff basierend auf den von Ihnen zugewiesenen Zugriffsebenen gewährt oder verweigert.

    1. Klicken Sie zum Hinzufügen eines Hauptkontos auf Hauptkonto hinzufügen.
    2. Geben Sie im Feld Hauptkonto die E-Mail-Adresse des Nutzers, der Gruppe oder des Dienstkontos oder den Domainnamen ein.
    3. Wählen Sie in der Drop-down-Liste Zugriffsebenen eine oder mehrere vordefinierte kontextsensitiven Zugriffsebenen aus. Der Zugriff wird nur gewährt, wenn das Hauptkonto die Bedingungen der ausgewählten Zugriffsebenen erfüllt.

    Wenn Sie weitere Hauptkonten hinzufügen möchten, klicken Sie noch einmal auf Hauptkonto hinzufügen und wiederholen Sie die Teilschritte.

    Sie können Zugriffsebenen in Access Context Manager erstellen und verwalten.

  5. Klicken Sie auf Speichern, um die Richtlinie auf die Anwendung anzuwenden.

gcloud

Bindung auf Gateway-Ebene für Service Discovery hinzufügen

Bevor Sie einem Nutzer Zugriff auf eine Anwendung gewähren, müssen Sie sicherstellen, dass er über Berechtigungen für die Dienstermittlung auf Secure Gateway-Ebene verfügt.

gcloud beyondcorp security-gateways add-iam-policy-binding SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.serviceDiscoveryUser" \
    --member=MEMBER

Ersetzen Sie Folgendes:

  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
  • MEMBER: Der Nutzer, die Gruppe oder das Dienstkonto, dem Sie die Rolle „Service Discovery“ zuweisen möchten. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Bindung auf Anwendungsebene hinzufügen

gcloud beyondcorp security-gateways applications add-iam-policy-binding APPLICATION_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.sgApplicationUser" \
    --member=MEMBER

Ersetzen Sie Folgendes:

  • APPLICATION_ID: die ID der Anwendungsressource
  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
  • MEMBER: Der Nutzer, die Gruppe oder das Dienstkonto, dem Sie die Rolle „Service Discovery“ zuweisen möchten. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Bedingte Bindung hinzufügen

Sie können auch eine Bindung mit Bedingungen hinzufügen. In Bedingungen werden Anforderungen angegeben, z. B. dass die IP-Adresse eines Nutzers von einem bestimmten Standort stammt. Die Zugriffsebene kann entweder in einer Zugriffsrichtlinie auf Organisationsebene oder in einer Bereichszugriffsrichtlinie definiert werden.

Mit dem folgenden Beispielbefehl wird der Zugriff nur gewährt, wenn sich die Quell-IP-Adresse innerhalb einer angegebenen Zugriffsebene befindet:

gcloud beyondcorp security-gateways applications add-iam-policy-binding APPLICATION_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.sgApplicationUser" \
    --member=MEMBER \
    --condition="expression='accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels,title=Source IP must be in US"

Bindung auf Gateway-Ebene für die Diensterkennung entfernen

Sie können die Service Discovery-Berechtigungen eines Nutzers auf der Ebene des sicheren Gateways widerrufen.

gcloud beyondcorp security-gateways remove-iam-policy-binding SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.serviceDiscoveryUser" \
    --member=MEMBER

Ersetzen Sie Folgendes:

  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
  • MEMBER: Der Nutzer, die Gruppe oder das Dienstkonto, aus dem Sie die Rolle „Service Discovery“ entfernen möchten. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Bindung auf Anwendungsebene entfernen

gcloud beyondcorp security-gateways applications remove-iam-policy-binding APPLICATION_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.sgApplicationUser" \
    --member=MEMBER

Ersetzen Sie Folgendes:

  • APPLICATION_ID: die ID der Anwendungsressource
  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
  • MEMBER: Der Nutzer, die Gruppe oder das Dienstkonto, aus dem Sie die Rolle „Service Discovery“ entfernen möchten. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Bedingte Bindung entfernen

Sie können auch eine Bindung mit Bedingungen entfernen. In Bedingungen werden Anforderungen angegeben, z. B. dass die IP-Adresse eines Nutzers von einem bestimmten Standort stammt. Die Zugriffsebene kann entweder in einer Zugriffsrichtlinie auf Organisationsebene oder in einer Bereichszugriffsrichtlinie definiert werden.

Mit dem folgenden Beispielbefehl wird eine bedingte Bindung mit einer angegebenen Zugriffsebene entfernt:

gcloud beyondcorp security-gateways applications remove-iam-policy-binding APPLICATION_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.sgApplicationUser" \
    --member=MEMBER \
    --condition="expression='accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels,title=Source IP must be in US"

REST

Zugriffsrichtlinie sicher aktualisieren

Mit dem Befehl setIamPolicy wird die gesamte vorhandene Richtlinie durch die von Ihnen angegebene Richtlinie ersetzt. Um zu vermeiden, dass vorhandene Berechtigungen versehentlich entfernt werden, empfehlen wir, das folgende Muster „Lesen-Ändern-Schreiben“ zu verwenden. Dieses Muster trägt dazu bei, dass vorhandene Berechtigungen nicht versehentlich entfernt werden.

  1. Lesen: Speichert die aktuelle Zugriffsrichtlinie in einer Datei.
  2. Ändern: Bearbeiten Sie die Richtliniendatei lokal, um Berechtigungen hinzuzufügen oder zu ändern.
  3. Schreiben: Wenden Sie die aktualisierte Richtliniendatei an.

Richtlinie auf Gateway-Ebene für Service Discovery festlegen

Wenn Sie Berechtigungen für die Service Discovery erteilen möchten, müssen Sie eine Zugriffsrichtlinie für das Sicherheits-Gateway anstelle einer einzelnen Anwendung festlegen. Dies folgt demselben „Read-Modify-Write“-Muster.

Rufen Sie die aktuelle Richtlinie ab und speichern Sie sie in einer Datei mit dem Namen gateway_policy.json.

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID:getIamPolicy" > gateway_policy.json

Öffnen Sie dann die Datei gateway_policy.json in einem Texteditor und fügen Sie der Liste members für die Rolle roles/beyondcorp.serviceDiscoveryUser die erforderlichen Hauptkonten hinzu, ähnlich wie bei den Änderungen auf Anwendungsebene.

Die Datei gateway_policy.json sieht etwa so aus:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.serviceDiscoveryUser",
      "members": [
        "group:existing-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Sie können auch andere Arten von Mitgliedern wie serviceAccount, user, group, principal und principalSet in Richtlinienbindungen hinzufügen. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Wenden Sie die aktualisierte Richtlinie an:

jq '{policy: .}' gateway_policy.json | curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d @- \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID:setIamPolicy"

Zugriffsrichtlinie auf Anwendungsebene festlegen

Aktuelle Richtlinie abrufen

Rufen Sie die aktuelle Richtlinie ab. Das Feld etag verhindert Konflikte bei Aktualisierungen, wenn mehrere Administratoren gleichzeitig Änderungen vornehmen.

Mit dem folgenden Befehl wird die Richtlinie abgerufen und in einer Datei mit dem Namen policy.json gespeichert. 

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:getIamPolicy" > policy.json

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • APPLICATION_ID: die ID der Anwendungsressource

Mit dem Befehl wird eine policy.json-Datei mit der aktuellen Richtlinie erstellt.

Richtliniendatei ändern

So gewähren Sie einer Gruppe Zugriff auf das sichere Gateway:

  1. Öffnen Sie die Datei policy.json in einem Texteditor.
  2. Fügen Sie die Gruppe der Liste members für die Rolle roles/beyondcorp.securityGatewayUser hinzu.

Die Datei policy.json sieht in etwa so aus:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:existing-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Wenn Sie eine zusätzliche Gruppe hinzufügen möchten, fügen Sie dem Array members einen neuen Eintrag hinzu. Fügen Sie nach dem vorherigen Eintrag ein Komma ein. Im folgenden Beispiel wird new-group@example.com hinzugefügt:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:existing-group@example.com",
        "group:new-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Sie können auch andere Arten von Mitgliedern wie serviceAccount, user, group, principal und principalSet in Richtlinienbindungen hinzufügen. Weitere Informationen finden Sie unter IAM-Hauptkonten.

Aktualisierte Richtlinie anwenden

Nachdem Sie die policy.json-Datei bearbeitet und gespeichert haben, wenden Sie sie mit dem Befehl setIamPolicy auf die Ressource an. Dieser Befehl verwendet die etag aus Ihrer Datei, um sicherzustellen, dass Sie die richtige Version aktualisieren.

jq '{policy: .}' policy.json | curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d @- \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:setIamPolicy"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
  • SECURITY_GATEWAY_ID: die ID des sicheren Gateways
  • APPLICATION_ID: die ID der Anwendungsressource

Richtlinie für bedingten Zugriff hinzufügen

Sie können auch Zugriffsrichtlinien mit Bedingungen festlegen. In Bedingungen werden Anforderungen angegeben, z. B. dass die IP-Adresse eines Nutzers von einem bestimmten Standort stammt. Die Zugriffsebene kann entweder in einer Zugriffsrichtlinie auf Organisationsebene oder in einer Bereichszugriffsrichtlinie definiert werden.

Die folgende Beispielrichtlinie gewährt nur Zugriff, wenn sich die Quell-IP-Adresse innerhalb einer angegebenen Zugriffsebene befindet:

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:group@example.com"
      ],
      "condition": {
        "expression": "request.auth.access_levels.contains('accessPolicies/1234567890/accessLevels/in_us')",
        "title": "Source IP must be in US"
      }
    }
  ],
  "etag": "BwXN8_d-bOM="
}

Folgen Sie der Anleitung oben, um diese Richtlinie anzuwenden.

Sicherheit mit kontextsensitivem Zugriff erhöhen

Um die Sicherheit weiter zu erhöhen und dafür zu sorgen, dass nur verwaltete Google Chrome-Instanzen über das Security Gateway auf Ihre Webanwendungen zugreifen können, empfehlen wir, eine Regel für den kontextsensitiven Zugriff (Context-Aware Access, CAA) hinzuzufügen. Mit dieser Regel wird geprüft, ob das Chrome-Profil des Nutzers verwaltet wird. So wird potenzieller Missbrauch durch nicht verwaltete oder schädliche Browser verhindert.

Hinweis: Für diese Funktion muss die Erweiterung „Endpunktprüfung“ installiert und eingerichtet sein.

Sie können dies implementieren, indem Sie Ihren benutzerdefinierten Zugriffsebenen in Access Context Manager eine Bedingung hinzufügen. Hier ist ein Beispiel für eine Bedingung, die Sie anpassen können:

  device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_PROFILE_MANAGED

Weitere Informationen zum Konfigurieren, Prüfen und Verwalten dieses Status finden Sie unter Chrome-Browser-Attribute.

Chrome Enterprise Premium-Erweiterung installieren

Die Chrome Enterprise Premium-Erweiterung ist ein integraler Bestandteil eines sicheren Gateways und unterstützt die Authentifizierung. Installieren Sie die Erweiterung für alle Nutzer des sicheren Gateways. Informationen zum Bereitstellen der Erweiterung finden Sie unter Apps und Erweiterungen ansehen und festlegen. So installieren Sie die Chrome Enterprise Premium-Erweiterung:

  1. Rufen Sie die Admin-Konsole auf.
  2. Klicken Sie auf Chrome-Browser > Apps und Erweiterungen.
  3. Klicken Sie auf den Tab Nutzer und Browser.
  4. Wenn Sie die Chrome-Erweiterung hinzufügen möchten, klicken Sie auf die Schaltfläche + und wählen Sie dann Chrome-Apps oder ‑Erweiterungen über die jeweilige ID hinzufügen aus.

  5. Suchen Sie mit der folgenden ID nach der Erweiterung Secure Enterprise Browser und legen Sie die Installationsrichtlinie für alle Nutzer in der Organisationseinheit oder Gruppe auf Installation erzwingen fest:

    ekajlcmdfcigmdbphhifahdfjbkciflj

  6. Klicken Sie auf die installierte Erweiterung und geben Sie im Feld Richtlinie für Erweiterungen den folgenden JSON-Wert ein:

    {
  "securityGateway": {
    "Value": {
      "authentication": {},
      "context": { "resource": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" },
      "serviceDiscovery": { "routes": {} }
    }
  }
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, in dem das sichere Gateway konfiguriert ist
    • SECURITY_GATEWAY_ID: die ID des sicheren Gateways

  7. Klicken Sie auf Speichern, um die Konfiguration zu speichern.

Alte PAC-Datei einrichten

Wenn Service Discovery aktiviert ist, kann der Chrome-Browser-Client automatisch Traffic zu Ihren konfigurierten Anwendungen über das sichere Gateway erkennen und weiterleiten. Manuelle Routingkonfigurationen mit einer PAC-Datei sind dann nicht mehr erforderlich.

Wenn Service Discovery auf Ihrem sicheren Gateway nicht aktiviert ist, haben Sie eine Legacy-Einrichtung. Sie müssen eine PAC-Datei konfigurieren, um das Routing auf dem Chrome-Browser-Client zu steuern.

Mit den folgenden Befehlen können Sie prüfen, ob die Service Discovery aktiviert ist:

gcloud

gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global | grep -i "serviceDiscovery"

REST

curl --silent \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" | grep -i "serviceDiscovery"

Wenn der Befehl keine Ausgabe zurückgibt, verwendet Ihr Gateway die alte Einrichtung. Bei Gateways, die die alte Einrichtung verwenden, wird das Routing über eine gehostete PAC-Datei abgewickelt.

Schritt 1: PAC-Datei erstellen und hosten

  1. Erstellen Sie eine Datei mit dem Namen pac_config.js mit dem folgenden JavaScript-Code und ersetzen Sie HOST_NAME durch die Domain Ihrer Anwendung (z. B. myapp.example.com):

    function FindProxyForURL(url, host) {
  const PROXY = "HTTPS via.prod.securegateway.goog:443";
  const sites = ["HOST_NAME"];

  for (const site of sites) {
    if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) {
      return PROXY;
    }
  }
  return 'DIRECT';
}

  2. Laden Sie die PAC-Datei in einen Hostingdienst wie einen Cloud Storage-Bucket hoch.

    • Achten Sie darauf, dass die Datei öffentlich heruntergeladen werden kann.
    • Setzen Sie den HTTP-Header Cache-Control auf no-cache, damit Browser immer die neuesten Routingregeln abrufen.

  3. Kopieren Sie die öffentliche URL der hochgeladenen PAC-Datei.

Schritt 2: PAC-Datei in der Admin-Konsole anwenden

  1. Rufen Sie die Admin-Konsole auf.
  2. Gehen Sie zu Geräte > Chrome > Einstellungen.
  3. Wählen Sie Ihre Organisationseinheit oder Gruppe aus und klicken Sie dann auf Proxy-Modus.
  4. Wählen Sie unter Proxymodus die Option Für den Proxyserver immer die unten angegebene automatische Konfiguration verwenden aus.
  5. Geben Sie die öffentliche URL Ihrer gehosteten PAC-Datei in das dafür vorgesehene Feld ein.
  6. Klicken Sie auf Speichern.

Schritt 3: Chrome Enterprise Premium-Erweiterung konfigurieren

Die Erweiterung muss die Authentifizierung übernehmen. Diese Erweiterungsrichtlinie unterscheidet sich von der Standardkonfiguration, da sie den serviceDiscovery-Block ausschließt.

  1. Gehen Sie in der Admin-Konsole zu Chrome-Browser > Apps und Erweiterungen.
  2. Rufen Sie den Tab Nutzer und Browser auf und prüfen Sie, ob die Secure Enterprise Browser-Erweiterung ekajlcmdfcigmdbphhifahdfjbkciflj hinzugefügt und erzwungen wird.

  3. Klicken Sie auf die Erweiterung und geben Sie im Feld Richtlinie für Erweiterungen den folgenden JSON-Wert ein:

    {
  "securityGateway": {
    "Value": {
      "authentication": {},
      "context": {
        "resource": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID"
      }
    }
  }
}

  4. Klicken Sie auf Speichern.

Zur Einrichtung der Service Discovery wechseln

Wenn Sie Ihr altes sicheres Gateway von einer PAC-Datei auf die neuere Service Discovery umstellen möchten, müssen Sie die Funktion manuell aktivieren und Ihre Konfigurationen aktualisieren.

  1. Service Discovery für Ihr sicheres Gateway aktivieren: Aktualisieren Sie Ihr vorhandenes Gateway, um Service Discovery zu aktivieren.

    gcloud

    gcloud beyondcorp security-gateways update SECURITY_GATEWAY_ID \
--project=PROJECT_ID \
--location=global \
--service-discovery={}

    REST

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{ "service_discovery": {} }' \
"https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID?updateMask=service_discovery"

  2. Zugriffsrichtlinie auf Gateway-Ebene festlegen: Weisen Sie Nutzern die Rolle roles/beyondcorp.serviceDiscoveryUser auf Gateway-Ebene zu, damit sie Service Discovery verwenden können. Folgen Sie der Anleitung im Abschnitt Bindung auf Service Discovery-Gateways hinzufügen.

  3. Konfiguration der Chrome Enterprise Premium-Erweiterung aktualisieren: Folgen Sie der Anleitung im Abschnitt Chrome Enterprise Premium-Erweiterung installieren, um die Erweiterungsrichtlinie zu aktualisieren. Die neue JSON-Konfiguration muss den "serviceDiscovery": { "routes": {} }-Block enthalten.

  4. Legacy PAC-Datei entfernen: Sobald Service Discovery aktiv ist, wird die Legacy PAC-Datei nicht mehr benötigt.

    1. Rufen Sie in der Google Admin-Konsole Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Netzwerk auf.
    2. Suchen Sie die Einstellung Proxymodus.
    3. Entfernen Sie die PAC-URL (Proxy Auto-Config) oder ändern Sie die Einstellung von Für den Proxyserver immer die unten angegebene automatische Konfiguration verwenden in einen für Ihr Netzwerk geeigneten Modus, z. B. Nutzerkonfiguration zulassen.
    4. Klicken Sie auf Speichern.

Nutzererfahrung

Nach Abschluss der Einrichtung wird Endnutzern, die auf die geschützte SaaS-Anwendung zugreifen, der Zugriff basierend auf der auf die Anwendung angewendeten Zugriffsrichtlinie gewährt oder verweigert.

Auf die Anwendung in Chrome zugreifen

Die Chrome Enterprise Premium-Erweiterung ist erforderlich, um den Traffic über das sichere Gateway zu leiten. Die Erweiterung übernimmt die Authentifizierung zwischen dem Nutzer und dem sicheren Gateway. Die Erweiterung wird automatisch über die Domainrichtlinie installiert.

Wenn Nutzer auf die von Ihnen konfigurierte SaaS-Anwendung zugreifen, wird ihr Traffic über das sichere Gateway geleitet, das prüft, ob sie die Zugriffsrichtlinie erfüllen. Wenn die Nutzer die Prüfungen der Zugriffsrichtlinie bestehen, erhalten sie Zugriff auf die Anwendung.

Wenn der Browserzugriff auf die Anwendung durch die Autorisierungsrichtlinie abgelehnt wird, erhalten Nutzer eine Access denied-Meldung.

Nächste Schritte