איך מאבטחים את Cloud Workstations API באמצעות Chrome Enterprise Premium

סקירה כללית

Chrome Enterprise Premium הוא פתרון אפס אמון שלGoogle Cloudשמאפשר לעובדי הארגון לגשת לאפליקציות אינטרנט באופן מאובטח מכל מקום, בלי צורך ב-VPN, ועוזר למנוע תוכנות זדוניות, פישינג ואובדן נתונים.

עם היכולות של Google Chrome, ‏ Chrome Enterprise Premium מאפשר למשתמשים לגשת לאפליקציות מכל מכשיר. אנחנו מרחיבים את היכולות של Chrome Enterprise Premium כדי לתת מענה לכמה אתגרי אבטחה מרכזיים בסביבת הפיתוח. ‫Chrome Enterprise Premium מאפשר אבטחה נוספת ל-Cloud Workstations API באמצעות בקרת גישה מודעת-הקשר לGoogle Cloud מסוף ולממשקי API.

בטבלה הבאה מפורטות שיטות הגישה ל-Cloud Workstations, ומוסבר אם Chrome Enterprise Premium תומך בבקרת גישה מודעת-הקשר עבור כל שיטה.

  • סימן ה-V מציין ש-Chrome Enterprise Premium מגביל את שיטת הגישה הזו ל-Cloud Workstations.
  • הסמל לא נתמך מציין ש-Chrome Enterprise Premium לא מגביל את שיטת הגישה הזו ל-Cloud Workstations.

מטרות

במאמר הזה מוסבר איך אדמינים יכולים להגדיר בקרת גישה ל-Cloud Workstations API ב-Chrome Enterprise Premium, ואיך לספק מנגנונים נוספים שיעזרו למנוע הוצאה לא מורשית של קוד מקור מסביבות פיתוח משולבות (IDE) של Cloud Workstations שמבוססות על דפדפן.

עלויות

במסגרת ההדרכה הזו, יכול להיות שתצטרכו לערב צוותים אחרים (לחיוב או ל-IAM), וגם לבדוק את בקרת הגישה כדי להוכיח שקיימים אמצעי הגנה של Chrome Enterprise Premium.

במסמך הזה משתמשים ברכיבים הבאים של Google Cloud, והשימוש בהם כרוך בתשלום:

כדי להעריך את ההוצאות בהתאם לתחזית השימוש שלכם, אתם יכולים להיעזר במחשבון העלויות.

משתמשים חדשים של Google Cloud ? יכול להיות שאתם זכאים לתקופת ניסיון בחינם.

כשמסיימים את המשימות שמתוארות במסמך הזה אפשר למחוק את המשאבים שיצרתם כדי להימנע מחיובים נוספים. מידע נוסף זמין בקטע הסרת המשאבים.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. Click Grant access.

    4. In the New principals field, enter your user identifier. This is typically the email address for a Google Account.

    5. Click Select a role, then search for the role.
    6. To grant additional roles, click Add another role and add each additional role.
    7. Click Save.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. Click Grant access.

    4. In the New principals field, enter your user identifier. This is typically the email address for a Google Account.

    5. Click Select a role, then search for the role.
    6. To grant additional roles, click Add another role and add each additional role.
    7. Click Save.

  10. חשוב לוודא שהקציתם לכל אחד מהמשתמשים שלכם רישיון Chrome Enterprise Premium Standard. רק משתמשים עם רישיון יכולים לאכוף את אמצעי בקרת הגישה. מידע נוסף זמין במאמר הקצאה, הסרה והקצאה מחדש של רישיונות.

חלק 1: הגדרה של Chrome Enterprise Premium ל-Cloud Workstations

בקטע הזה מוסבר איך לאבטח בקרת גישה מבוססת-הקשר ל-Cloud Workstations API:

  1. הגדרת Cloud Workstations
  2. יצירת משתמש הדגמה וקבוצת הדגמה
  3. יצירת רמת גישה ב-Access Context Manager
  4. הפעלת CAA ב-Chrome Enterprise Premium.
  5. מוסיפים את קבוצות Google הנדרשות עם רמות הגישה.
  6. בדיקת גישת מפתחים ל-Cloud Workstations

הגדרת תחנות עבודה בענן

כדי לשלב עם Chrome Enterprise Premium, אשכול Cloud Workstations צריך להשתמש בשרת proxy לאימות זהויות (IAP). אפשר לדלג על הקטע הזה אם המשאבים האלה כבר מוגדרים.

כדי להגדיר Cloud Workstations:

  1. יצירת אשכול תחנות עבודה עם דומיין מותאם אישית.
  2. מפעילים את הרכישות מתוך האפליקציה.
  3. יוצרים הגדרה של תחנת עבודה באשכול.

אם אתם חדשים ב-Cloud Workstations, כדאי לעיין בסקירה הכללית ובארכיטקטורה.

יצירת משתמש הדגמה וקבוצת הדגמה

ממסוף Google Workspace Admin, יוצרים משתמש להדגמה וקבוצת משתמשים חדשה. כשמפעילים את בקרת הגישה מבוססת-הקשר (CAA) עבור מסוףGoogle Cloud , היא חלה על כל המשתמשים וקבוצות Google כי זו הגדרה גלובלית.

  1. נכנסים למסוף Google Workspace Admin באמצעות חשבון האדמין: תפריט > מדריך > משתמשים > הוספת משתמש חדש.

  2. יצירת משתמש להדגמה: demo-user@<domain>.

  3. נכנסים לGoogle Cloud מסוף ועוברים אל תפריט > IAM & Admin > Groups.

  4. יוצרים קבוצת IAM לגישה ל-Cloud Workstations, נותנים לה את השם Cloud Workstations Users ומקצים לה את משתמש ההדגמה שנוצר קודם, demo-user@<domain>.

  5. לוחצים על Save.

  6. יוצרים גם קבוצת אדמינים ב-IAM ונותנים לה את השם Cloud Admin Users. מקצים לקבוצה הזו את האדמינים של הפרויקט ושל הארגון.

  7. מוסיפים את משתמש ההדגמה, demo-user@<domain>, לקבוצת המשתמשים של Cloud Workstations שיצרתם:

    1. במסוףGoogle Cloud , עוברים אל Cloud Workstations > Workstations.
    2. בוחרים את תחנת העבודה ולוחצים על more_vertאפשרויות נוספות > הוספת משתמשים.
    3. בוחרים את משתמש ההדגמה, demo-user@<domain> ובוחרים באפשרות Cloud Workstations User בתור תפקיד.
    4. כדי לתת למשתמש ההדגמה גישה לתחנת העבודה, בוחרים באפשרות demo-user@<domain>, בוחרים באפשרות Cloud Workstations Users בתור תפקיד ולוחצים על שמירה.

יצירה של רמת גישה

חוזרים אל Google Cloud המסוף כדי ליצור רמת גישה ב-Access Context Manager.

כדי לבדוק את הגישה, פועלים לפי ההוראות הבאות:

  1. בGoogle Cloud מסוף, עוברים אל אבטחה > Access Context Manager כדי להגדיר מדיניות לגבי מכשירים שמנוהלים על ידי החברה.

  2. לוחצים על יצירת רמת גישה וממלאים את השדות הבאים:

    1. בשדה שם רמת הגישה מזינים corpManagedDevice.
    2. בוחרים באפשרות מצב בסיסי.
    3. בקטע תנאים, בוחרים באפשרות True כדי להפעיל את התנאי.
    4. לוחצים על + מדיניות מכשיר כדי להרחיב את האפשרויות ומסמנים את התיבה נדרש מכשיר בבעלות החברה.
    5. לוחצים על שמירה כדי לשמור את מדיניות הגישה.

הפעלת רשומת CAA של Chrome Enterprise Premium עבור Google Cloud מסוף

כדי להקצות אמצעי בקרת גישה מבוססת-הקשר (CAA) לתחנות עבודה, צריך קודם להפעיל את CAA עבור Google Cloud המסוף:

  1. בGoogle Cloud מסוף, עוברים אל Security > BeyondCorp Enterprise.

  2. לוחצים על ניהול הגישה למסוף Google Cloud ול-API. תועברו לדף ברמת הארגון ב-Chrome Enterprise Premium.

  3. בקטע Secure Google Cloud console & APIs, לוחצים על Enable.

הוספה של קבוצות נדרשות ב-Google עם רמות גישה

מוסיפים קבוצות אדמינים נדרשות עם חברים רלוונטיים ומדיניות גישה נכונה.

המסוף

  1. יוצרים מדיניות גישה לאדמין בשם CloudAdminAccess עם הגדרת מיקום לאזורים שבהם האדמינים עובדים. כך האדמינים יכולים לגשת למשאבים גם אם מדיניות אחרת חוסמת אותם.

  2. יוצרים קבוצת IAM עם גישת אדמין בIAM & Admin > Groups.

    1. בוחרים את הארגון.
    2. יוצרים קבוצה ונותנים לה את השם משתמשים עם הרשאות אדמין ב-Cloud.
    3. מקצים את עצמכם ואדמינים אחרים לקבוצה הזו.
    4. לוחצים על Save.

  3. עוברים אל אבטחה > Chrome Enterprise Premium. לוחצים על ניהול גישה ובודקים את רשימת הקבוצות ורמות הגישה שמופיעות.

  4. לוחצים על Add principals to Google Cloud console & APIs.

    1. ב-Google Groups, בוחרים באפשרות Cloud Admin Users (משתמשי אדמין בענן). זו קבוצת Google שבחרתם בשלב הקודם.
    2. בוחרים באפשרות CloudAdminAccess, רמת הגישה שיצרתם לגישת אדמין.
    3. לוחצים על Save.

‫gcloud ו-API

כדי להפעיל הרצה יבשה, פועלים לפי ההדרכה להרצה יבשה של Chrome Enterprise Premium.

הקצאת רמת גישה לקבוצת משתמשים ב-Cloud Workstations

כדי להקצות את רמת הגישה לקבוצת משתמשים של Cloud Workstations:

  1. עוברים אל אבטחה > Chrome Enterprise Premium ולוחצים על ניהול הגישה.

  2. בודקים את רשימת הקבוצות ורמות הגישה שמופיעות.

  3. לוחצים על Add principals to Google Cloud console & APIs.

    1. בקטע קבוצות Google, בוחרים באפשרות משתמשי Cloud Workstations. זו קבוצת Google שבחרתם בשלב הקודם.
    2. בוחרים את רמת הגישה שיצרתם קודם, corpManagedDevice.
    3. לוחצים על Save.

בדיקת גישת מפתחים ל-Cloud Workstations

בודקים את גישת המפתחים ל-Cloud Workstations API מכמה נקודות כניסה. במכשיר בבעלות החברה, מוודאים שלמפתחים יש גישה ל-API של תחנת העבודה.

  • בודקים שהגישה ל-API של תחנת העבודה ממכשיר לא מנוהל חסומה:

    ‫Chrome Enterprise Premium חוסם משתמשים שמנסים לגשת ל-Cloud Workstations API. כשמשתמשים מנסים להיכנס, מופיעה הודעת שגיאה שמודיעה להם שאין להם גישה או שהם צריכים לבדוק את חיבור הרשת ואת הגדרות הדפדפן.

  • בודקים שהגישה ל-API של תחנת העבודה ממכשיר בבעלות החברה מופעלת:

    מפתחים עם גישה ל-Chrome Enterprise Premium ול-Cloud Workstations צריכים להיות מסוגלים ליצור תחנת עבודה ואז להפעיל אותה.

חלק 2: הגדרת יכולות ה-DLP ב-Chrome Enterprise Premium

בקטע הזה מפורטים השלבים לשימוש ב-BeyondCorp Threat and Data Protection כדי לשלב תכונות של מניעת אובדן נתונים (DLP). ההגדרה הזו עוזרת למנוע הוצאה לא מורשית של קוד מקור מעורך הבסיס של Cloud Workstations (Code OSS for Cloud Workstations) שמבוסס על Chrome.

כדי להגדיר את יכולות ה-DLP ב-Chrome Enterprise Premium כדי למנוע הורדה של קוד מקור, פועלים לפי השלבים הבאים:

  1. הפעלה של הגנה על נתונים מפני איומים
  2. יצירת כלל DLP של BeyondCorp
  3. בדיקת ההגדרות ויצירת הכלל
  4. בדיקת כלל ה-DLP.

הפעלה של הגנה על נתונים מפני איומים

כדי להפעיל הגנה מפני איומים והגנה על נתונים דרך מסוף Google Workspace Admin, פועלים לפי השלבים הבאים:

  1. עוברים אל מכשירים > Chrome > הגדרות > משתמשים ודפדפנים.

  2. אחרי שבוחרים את מזהה היחידה הארגונית (OU ID), לוחצים על חיפוש או הוספת מסנן בקטע הגדרות משתמש ודפדפן ובוחרים את סוג המשנה קטגוריה.

  3. מחפשים את Chrome Enterprise connector בסוג המשנה Category.

  4. בקטע הורדת ניתוח תוכן, בוחרים באפשרות Google BeyondCorp Enterprise.

  5. מרחיבים את הגדרות נוספות.

    1. בוחרים באפשרות עיכוב גישה לקובץ עד להשלמת הניתוח.
    2. בקטע בדיקה של מידע אישי רגיש > מצב, בוחרים באפשרות מופעל כברירת מחדל, למעט בתבנית ה-URL הבאה.

  6. לוחצים על שמירה כדי לשמור את ההגדרה.

יצירת כלל DLP ב-Chrome Enterprise Premium

כדי ליצור כלל DLP, פועלים לפי השלבים הבאים:

  1. נכנסים למסוף Google Workspace Admin ובוחרים באפשרות אבטחה > שליטה בגישה ובנתונים > הגנה על נתונים > ניהול הכללים.

  2. כדי ליצור כלל חדש, לוחצים על הוספת כלל ואז על כלל חדש. ייפתח הדף שם והיקף.

  3. בקטע שם, מזינים שם ותיאור. לדוגמה, בשדה Name מזינים CloudWorkstations-DLP-Rule1, ובשדה Description מזינים Cloud Workstations Data Loss Prevention Rule 1.

  4. בקטע Scope (היקף), מגדירים את האפשרויות הבאות:

    1. בוחרים באפשרות יחידות ארגוניות או קבוצות.
    2. לוחצים על Include organizational units (הכללת יחידות ארגוניות) ובוחרים את הארגון.
    3. לוחצים על Continue.

  5. בקטע Apps (אפליקציות), מגדירים את האפשרויות הבאות:

    1. באפשרויות של Chrome, בוחרים באפשרות הקובץ הועלה ובאפשרות הקובץ הורד.
    2. לוחצים על Continue.

  6. בדף Conditions, קובעים את ההגדרות הבאות:

    1. כדי ליצור תנאי חדש, לוחצים על הוספת תנאי.
    2. בוחרים באפשרות כל התוכן.
    3. בוחרים באפשרות התאמה לסוג מוגדר מראש של נתונים (מומלץ).
    4. בקטע בחירת סוג הנתונים, בוחרים באפשרות מסמכים – קובץ קוד מקור.
    5. בשדה סף סבירות להתאמה, בוחרים באפשרות גבוה.
    6. בשדה מספר מינימלי של התאמות ייחודיות מזינים 1.
    7. בשדה מספר מינימלי של התאמות מזינים 1.
    8. לוחצים על Continue.

  7. בדף Actions, מגדירים את האפשרויות הבאות:

    1. באפשרויות פעולות, בוחרים באפשרות Chrome > חסימת תוכן.
    2. בקטע התראות, מגדירים את האפשרויות הבאות:
      • ברמת החומרה, בוחרים באפשרות בינונית.
      • בוחרים באפשרות שליחה למרכז ההתראות.
    3. לוחצים על Continue.

בדיקת ההגדרות ויצירת הכלל

בדף Review, בודקים את ההגדרות שהגדרתם בדפים הקודמים:

  1. מוודאים שההגדרות נכונות.
  2. כדי להמשיך, לוחצים על יצירה.
  3. בדף הבא מוודאים שהאפשרות פעיל מסומנת.
  4. כדי לסיים ליצור את הכלל, לוחצים על סיום.

בדיקת כלל ה-DLP

אחרי שמוסיפים את כלל ה-DLP, אפשר לבדוק אותו מ-Cloud Workstations ב-Chrome:

  1. בכרטיסייה חדשה ב-Chrome, מזינים chrome://policy ולוחצים על טעינה מחדש של כללי המדיניות כדי לוודא שמדיניות Chrome מעודכנת.

  2. גוללים למטה כדי לוודא שמוצגת רשימת מדיניות. אם אתם רואים את ההודעות האלה, סימן שהמדיניות הורדה בהצלחה. במקרה כזה, צריך לחפש את המדיניות OnFileDownloadEnterpriseConnector.

  3. עוברים אל Google Cloud המסוף ויוצרים הגדרה של Cloud Workstations.

    כשיוצרים את ההגדרה של תחנת העבודה, חשוב לבחור באפשרות Code editors on base images (עורכי קוד בתמונות בסיסיות) ואז לבחור בBase Editor (Code OSS for Cloud Workstations) (עורך בסיסי (Code OSS ל-Cloud Workstations)) תמונה בסיסית שהוגדרה מראש.

  4. יצירת תחנת עבודה

  5. הפעלה והשקה של תחנת העבודה

  6. ניגשים לכתובת ה-URL של Code OSS for Cloud Workstations שמופיעה אחרי שמפעילים את תחנת העבודה ומתחברים ליציאה 80.

  7. משכפלים מאגר באמצעות האפשרות Clone Git Repository (שכפול מאגר Git) בסביבת הפיתוח המשולבת. אחרי שיבוט המאגר, מנסים להוריד קובץ עם קוד מקור.

    כדי להוריד קבצים בתצוגת הסייר של Code OSS for Cloud Workstations, אפשר להשתמש באחת מהשיטות הבאות:

    • גוררים קבצים מהתצוגה של Explorer.

    • עוברים לקבצים ולספריות שרוצים להשתמש בהם, לוחצים לחיצה ימנית ובוחרים באפשרות הורדה.

  8. אחרי ההורדה, מדיניות ה-DLP נכנסת לתוקף. הודעה על חסימת ההורדה, שבה מצוין שההורדה לא עומדת בדרישות המדיניות של הארגון:

כל הכבוד! הצלחת למנוע הורדה של קובצי קוד מקור.

הסרת המשאבים

כדי להימנע מחיובים בחשבון Google Cloud על המשאבים שבהם השתמשתם במדריך הזה, אתם יכולים למחוק את הפרויקט שמכיל את המשאבים או להשאיר את הפרויקט ולמחוק את המשאבים הספציפיים. מידע נוסף זמין במאמר מחיקת משאבים.

המאמרים הבאים