Chrome Enterprise Premium を使用して Cloud Workstations API を保護できるようにする

概要

Chrome Enterprise Premium は、Google Cloudのゼロトラスト ソリューションです。これにより、組織の従業員は VPN を必要とせずにどこからでもウェブ アプリケーションに安全にアクセスでき、マルウェア、フィッシング、データの損失を防ぐことができます。

Chrome Enterprise Premium では、Google Chrome の機能により、ユーザーはどのデバイスからでもアプリケーションにアクセスできます。Chrome Enterprise Premium は、デベロッパー環境におけるいくつかの重要なセキュリティ課題に対処できるように機能を拡張しています。Google Cloud コンソールと API のコンテキストアウェア アクセス制御を使用することで、Chrome Enterprise Premium は Cloud Workstations API のセキュリティを強化できます。

次の表は、Chrome Enterprise Premium が、指定した Cloud Workstations のアクセス方法に対するコンテキストアウェア アクセス制御をサポートしているかどうかを示しています。

  • チェックマークは、Chrome Enterprise Premium がこの Cloud Workstations のアクセス方法を制限していることを示しています。
  • サポート対象外アイコンは、Chrome Enterprise Premium がこの Cloud Workstations のアクセス方法を制限していないことを示しています。

目標

このドキュメントでは、管理者が Cloud Workstations API の Chrome Enterprise Premium アクセス制御を設定し、ブラウザベースの Cloud Workstations IDE からのソースコードの引き出しを防ぐための追加のメカニズムを提供するための手順について説明します。

費用

このチュートリアルの一環として、(課金または IAM のため)他のチームの参加を求める必要がある場合があります。また、Chrome Enterprise Premium ガードレールが配置され機能していることを確認するためアクセス制御をテストする必要もあります。

このドキュメントでは、課金対象である次の Google Cloudコンポーネントを使用します。

料金計算ツールを使うと、予想使用量に基づいて費用の見積もりを生成できます。

新規の Google Cloud ユーザーは無料トライアルをご利用いただける場合があります。

このドキュメントに記載されているタスクの完了後、作成したリソースを削除すると、それ以上の請求は発生しません。詳細については、クリーンアップをご覧ください。

始める前に

  1. Google Cloud アカウントにログインします。 Google Cloudを初めて使用する場合は、 アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. Click Grant access.

    4. In the New principals field, enter your user identifier. This is typically the email address for a Google Account.

    5. Click Select a role, then search for the role.
    6. To grant additional roles, click Add another role and add each additional role.
    7. Click Save.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. Verify that billing is enabled for your Google Cloud project.

  8. Enable the Workstations API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  9. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. Click Grant access.

    4. In the New principals field, enter your user identifier. This is typically the email address for a Google Account.

    5. Click Select a role, then search for the role.
    6. To grant additional roles, click Add another role and add each additional role.
    7. Click Save.

  10. Chrome Enterprise Premium Standard ライセンスが各ユーザーに割り当てられていることを確認してください。ライセンスを持つユーザーにのみアクセス制御が適用されます。詳しくは、ライセンスの割り当て、削除、再割り当てをご覧ください。

パート 1: Cloud Workstations 向けに Chrome Enterprise Premium を設定する

このセクションでは、Cloud Workstations API へのコンテキストアウェア アクセスを保護する手順について説明します。

  1. Cloud Workstations を設定します
  2. デモユーザーとデモグループを作成します
  3. Access Context Manager でアクセスレベルを作成します
  4. Chrome Enterprise Premium CAA を有効にします
  5. アクセスレベルで必要な Google グループを追加します
  6. Cloud Workstations に対するデベロッパーのアクセスをテストします

Cloud Workstations を設定する

Chrome Enterprise Premium と統合するには、Cloud Workstations クラスタで Identity-Aware Proxy(IAP)を使用する必要があります。これらのリソースがすでに構成されている場合は、このセクションをスキップしてください。

Cloud Workstations を設定するには:

  1. カスタム ドメインを使用してワークステーション クラスタを作成する
  2. IAP を有効にします
  3. クラスタにワークステーション構成を作成します。

Cloud Workstations を初めて使用する場合は、概要アーキテクチャをご覧ください。

デモユーザーとデモグループを作成する

Google Workspace 管理コンソールで、デモユーザーと新しいユーザー グループを作成します。有効にすると、Google Cloud コンソールのコンテキストアウェア アクセス(CAA)はグローバル設定であるため、すべてのユーザーと Google グループに CAA が適用されます。

  1. 管理者アカウントを使用して、Google Workspace 管理者コンソールにログインします: [メニュー] > [ディレクトリ] > [ユーザー] > [新しいユーザーの追加]

  2. デモユーザーの作成: demo-user@<domain>

  3. Google Cloud コンソールにログインし、メニュー > [IAM と管理]  > [グループ] に移動します。

  4. Cloud Workstations アクセス用の IAM グループを作成し、Cloud Workstations Users という名前を付けて、以前に作成したデモユーザー demo-user@<domain> を割り当てます。

  5. [保存] をクリックします。

  6. また、IAM 管理者グループを作成し、Cloud 管理者ユーザーという名前を付けます。このグループのプロジェクト管理者と組織管理者を割り当てます。

  7. 作成した Cloud Workstations ユーザー グループにデモユーザー demo-user@<domain> を追加します。

    1. Google Cloud コンソールで、[Cloud Workstations] > [ワークステーション] に移動します
    2. ワークステーションを選択し、more_vert その他 > [ユーザーを追加] をクリックします。
    3. デモユーザー demo-user@<domain> を選択し、[ロール] として Cloud Workstations User を選択します。
    4. デモユーザーにワークステーションへのアクセス権を付与するには、[demo-user@<domain>] を選択し、[ロール] として Cloud Workstations Users を選択して、[保存] をクリックします。

アクセスレベルを作成する

Google Cloud コンソールに戻り、Access Context Manager でアクセスレベルを作成します。

アクセスをテストする手順は次のとおりです。

  1. Google Cloud コンソールで、[セキュリティ] > [Access Context Manager] に移動して、会社管理のデバイス ポリシーを構成します。

  2. [アクセスレベルを作成] をクリックして、次のフィールドに入力します。

    1. [アクセスレベルのタイトル] フィールドに、「corpManagedDevice」と入力します。
    2. [基本] モードを選択します。
    3. [条件] で [True] を選択して条件を有効にします。
    4. [+ デバイス ポリシー] をクリックしてオプションを開き、[会社所有のデバイスが必要] をオンにします。
    5. [保存] をクリックして、アクセス ポリシーを保存します。

Google Cloud コンソールで Chrome Enterprise Premium CAA を有効にする

ワークステーションにコンテキストアウェア アクセス制御(CAA)を割り当てるには、まず Google Cloud コンソールで CAA を有効にします。

  1. Google Cloud コンソールから、[セキュリティ] > [BeyondCorp Enterprise] に移動します。

  2. [ Google Cloud コンソールと API へのアクセスを管理する] をクリックします。Chrome Enterprise Premium の [組織レベル] ページが表示されます。

  3. [Secure Google Cloud console & APIs] セクションで、[有効にする] をクリックします。

アクセスレベルで必要な Google グループを追加する

関連するメンバーと正しいアクセス ポリシーを使用して、必要な管理者グループを追加します。

Console

  1. 管理者が作業するリージョンにロケーションが設定された CloudAdminAccess という名前の管理者アクセス ポリシーを作成します。これにより、別のポリシーでブロックされている場合でも、管理者がリソースにアクセスできるようになります。

  2. [IAM と管理] > [グループ] で管理者アクセス権を持つ IAM グループを作成します。

    1. 組織を選択します。
    2. グループを作成し、Cloud 管理者ユーザーという名前を付けます。
    3. 自分自身と他の管理者をこのグループに割り当てます。
    4. [保存] をクリックします。

  3. [セキュリティ> Chrome Enterprise Premium] に移動します。[アクセスの管理] をクリックし、表示されたグループとアクセスレベルのリストを確認します。

  4. [ Google Cloud コンソールと API にプリンシパルを追加] をクリックします。

    1. [Google グループ] で [Cloud 管理者ユーザー] を選択します。これは、前の手順で選択した Google グループです。
    2. 管理者アクセス用に作成したアクセスレベルである CloudAdminAccess を選択します。
    3. [保存] をクリックします。

gcloud と API

ドライランを有効にするには、Chrome Enterprise Premium ドライラン チュートリアルに沿って操作します。

Cloud Workstations ユーザー グループにアクセスレベルを割り当てる

Cloud Workstations ユーザー グループにアクセスレベルを割り当てるには:

  1. [セキュリティ] > [Chrome Enterprise Premium] に移動し、[アクセスを管理] をクリックします。

  2. 表示されたグループとアクセスレベルのリストを確認します。

  3. [ Google Cloud コンソールと API にプリンシパルを追加] をクリックします。

    1. [Google グループ] で [Cloud Workstations ユーザー] を選択します。これは、前の手順で選択した Google グループです。
    2. 先ほど作成したアクセスレベル corpManagedDevice を選択します。
    3. [保存] をクリックします。

Cloud Workstations に対するデベロッパーのアクセスをテストする

複数のエントリ ポイントから Cloud Workstations API へのデベロッパー アクセスをテストします。会社所有のデバイスの場合、デベロッパーがワークステーション API にアクセスできることを確認します。

  • 管理対象外のデバイスからのワークステーション API へのアクセスがブロックされていることをテストします。

    Chrome Enterprise Premium は、Cloud Workstations API にアクセスしようとするユーザーをブロックします。ユーザーがログインしようとすると、エラー メッセージが表示され、ユーザーにアクセス権がない、またはネットワーク接続とブラウザの設定を確認するよう警告されます。

  • 会社所有のデバイスからのワークステーション API へのアクセスが有効になっていることをテストします。

    Chrome Enterprise Premium と Cloud Workstations にアクセスできるデベロッパーは、ワークステーションを作成してから、ワークステーションを起動できます。

パート 2: Chrome Enterprise Premium の DLP 機能を設定する

このセクションでは、BeyondCorp Threat and Data Protection を活用してデータ損失防止(DLP)機能を統合する手順について説明します。これにより、Chrome ベースの Cloud Workstations ベース エディタ(Cloud Workstations 用 Code OSS)からソースコードが引き出されるのを防ぐことができます。

ソースコードのダウンロードを防止するため、Chrome Enterprise Premium の DLP 機能を設定する手順は次のとおりです。

  1. 脅威対策とデータ保護を有効化
  2. BeyondCorp DLP ルールを作成します
  3. 設定を確認し、ルールを作成する
  4. DLP ルールをテストする

脅威対策とデータ保護を有効化

Google Workspace 管理コンソールで脅威とデータ保護を有効にする手順は次のとおりです。

  1. [デバイス] > [Chrome] > [設定] > [ユーザーとブラウザ] に移動する。

  2. 組織部門 ID(OU ID)を選択したら、ユーザーとブラウザの設定配下のフィルタを検索または追加するをクリックし、次にカテゴリサブタイプを選択します。

  3. [カテゴリ] サブタイプで Chrome Enterprise Connectors を検索します。

  4. [コンテンツ分析をダウンロード] で、[Google BeyondCorp Enterprise] を選択します。

  5. [追加の設定] を開きます。

    1. 分析が完了するまでファイルへのアクセスを遅らせるを選択します。
    2. [センシティブ データがないか確認する> モード] で、[デフォルトで有効にする(以下の URL パターンは除く)] を選択します。

  6. [保存] をクリックして、構成を保存します。

Chrome Enterprise Premium の DLP ルールを作成する

ファイアウォール ルールを作成する手順は次のとおりです。

  1. Google Workspace 管理者コンソールに移動し、[セキュリティ] > [アクセスとデータ管理] > [データ保護] > [ルールを管理] を選択します。

  2. 新しいルールを作成するには、[ルールを追加]、[新しいルール] の順にクリックします。[名前とスコープ] ページが開きます。

  3. [名前] セクションに名前と説明を入力します。たとえば、[名前] フィールドに「CloudWorkstations-DLP-Rule1」と入力し、[説明] フィールドに「Cloud Workstations Data Loss Prevention Rule 1」と入力します。

  4. [スコープ] セクションで、以下の構成を行います。

    1. [組織部門またはグループ] を選択します。
    2. [組織部門を含める] をクリックして、組織を選択します。
    3. [続行] をクリックします。

  5. [アプリ] セクションで、以下の構成を行います。

    1. [Chrome] オプションで、[ファイルがアップロードされました] と [ファイルをダウンロードしました] を選択します。
    2. [続行] をクリックします。

  6. [条件] ページで、次のように構成します。

    1. [条件を追加] をクリックして新しい条件を作成します。
    2. [すべてのコンテンツ] を選択します。
    3. [事前定義されたデータの種類と一致する(推奨)] を選択します。
    4. [データ型を選択] で、[ドキュメント - ソースコード ファイル] を選択します。
    5. [可能性のしきい値] フィールドで、[] を選択します。
    6. [一意に一致するテキストの最小数] フィールドに「1」と入力します。
    7. [最小一致数] フィールドに「1」と入力します。
    8. [続行] をクリックします。

  7. [アクション] ページで、次の項目を構成します。

    1. [操作] オプションで、[Chrome > コンテンツをブロック] を選択します。
    2. [アラート] オプションで、次のように構成します。
      • 重大度として [] を選択します。
      • [アラート センターに送信する] を選択します。
    3. [続行] をクリックします。

設定を確認してルールを作成する

[確認] ページで、前のページで構成した設定を確認します。

  1. 設定が正しいことを確認します。
  2. 続行するには、[作成] をクリックします。
  3. 次のページで、[アクティブ] が選択されていることを確認します。
  4. ルールの作成を完了するには、[完了] をクリックします。

DLP ルールをテストする

これで DLP ルールが追加されたので、Chrome で Cloud Workstations からテストできるようになりました。

  1. 新しい Chrome タブで chrome://policy と入力し、[ポリシーを再読み込み] をクリックして、Chrome ポリシーが更新されたことを確認します。

  2. 下にスクロールして、ポリシーの一覧が表示されていることを確認します。これらが表示されているのであれば、ポリシーの取得は正常に完了しています。この場合は、OnFileDownloadEnterpriseConnector ポリシーを探します。

  3. Google Cloud コンソールに移動し、Cloud Workstations 構成を作成します。

    ワークステーション構成を作成する際は、必ず[ベースイメージのコードエディタ] を選択してから、事前構成されたベースイメージの [ベースエディタ(Cloud Workstations 用 Code OSS)] を選択してください。

  4. ワークステーションを作成する

  5. ワークステーションを開始して起動します

  6. ワークステーションを起動してポート 80 に接続した後に表示される Cloud Workstations 用 Code OSS の URL にアクセスします。

  7. IDE の [Clone Git リポジトリ] オプションを使用してリポジトリのクローンを作成します。リポジトリのクローンを作成したら、ソースコードを含むファイルをダウンロードしてみます。

    Cloud Workstations 用 Code OSS のエクスプローラ ビューでファイルをダウンロードするには、次のいずれかの方法を使用します。

    • エクスプローラー ビューからファイルをドラッグします。

    • 使用するファイルとディレクトリに移動し、右クリックして [ダウンロード] を選択します。

  8. ダウンロードすると、DLP ポリシーが有効になります。組織のポリシーに違反していることを示すダウンロード ブロックの通知が表示される:

これで完了です。これで、ソースコード ファイルのダウンロードを防止できました。

クリーンアップ

このチュートリアルで使用したリソースについて Google Cloud アカウントに課金されることのないよう、リソースを含むプロジェクトを削除するか、プロジェクトを維持して個々のリソースを削除します。詳細については、リソースを削除するをご覧ください。

次のステップ