Ajude a proteger a API Cloud Workstations usando o Chrome Enterprise Premium

Visão geral

O Chrome Enterprise Premium é a solução de confiança zero do Google Cloud que permite que a força de trabalho de uma organização acesse aplicativos da Web com segurança de qualquer lugar, sem a necessidade de VPN, e ajuda a evitar malware, phishing e perda de dados.

Com a tecnologia do Google Chrome, o Chrome Enterprise Premium permite que os usuários acessem aplicativos em qualquer dispositivo. O Chrome Enterprise Premium está expandindo os recursos para lidar com alguns dos principais desafios de segurança no ambiente de desenvolvimento. Usar o controle de acesso baseado no contexto em Console do Google Cloud e APIs O Chrome Enterprise Premium oferece mais segurança para a API Cloud Workstations.

A tabela a seguir mostra se o Chrome Enterprise Premium é compatível com o acesso baseado no contexto para o método de acesso especificado do Cloud Workstations.

  • A marca de seleção indica que o Chrome Enterprise Premium limita esse método de acesso do Cloud Workstations.
  • O ícone não compatível indica O Chrome Enterprise Premium não limita este método de acesso ao Cloud Workstations.

Objetivos

Este documento descreve as etapas que um administrador segue para configurar o controle de acesso do Chrome Enterprise Premium para a API Cloud Workstations e fornecer mecanismos adicionais que ajudam a impedir a exfiltração de código-fonte de IDEs do Cloud Workstations baseados em navegador.

Custos

Como parte deste tutorial, talvez seja necessário envolver outras equipes (para fins de faturamento ou IAM) e também testar o controle de acesso para demonstrar que As proteções do Chrome Enterprise Premium estão em vigor.

Neste documento, você usará os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços. Novos usuários do Google Cloud podem estar qualificados para uma avaliação gratuita.

Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Saiba mais em Limpeza.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Workstations API.

    Enable the API

  5. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Acessar o IAM
    2. Selecionar um projeto.
    3. Clique em CONCEDER ACESSO.

    4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Salvar.

    8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    9. Make sure that billing is enabled for your Google Cloud project.

    10. Enable the Workstations API.

      Enable the API

    11. Make sure that you have the following role or roles on the project: Cloud Workstations > Cloud Workstations Admin.

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Acessar o IAM
      2. Selecionar um projeto.
      3. Clique em CONCEDER ACESSO.

      4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

      5. Na lista Selecionar um papel, escolha um.
      6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
      7. Clique em Salvar.

      8. Verifique se você atribuiu um uma licença Chrome Enterprise Premium Standard para todos os seus usuários. Somente os usuários com uma licença têm os controles de acesso aplicados. Para mais informações, consulte Atribuir, remover e reatribuir licenças.

      Parte 1: configurar o Chrome Enterprise Premium para estações de trabalho em nuvem

      Nesta seção, você vai conferir as etapas para proteger o acesso baseado no contexto à API Cloud Workstations:

      1. Configurar o Cloud Workstations.
      2. Crie um usuário e um grupo de demonstração.
      3. Crie um nível de acesso no Access Context Manager.
      4. Ative o CAA do Chrome Enterprise Premium.
      5. Adicione os Grupos do Google necessários com níveis de acesso.
      6. Testar o acesso do desenvolvedor ao Cloud Workstations.

      Configurar o Cloud Workstations

      No console do Google Cloud, crie uma configuração de estação de trabalho.

      Se você não conhece o Cloud Workstations, consulte a Cloud Workstations Visão geral e Arquitetura descrições.

      Criar um usuário e um grupo de demonstração

      No Admin Console do Google Workspace, crie um usuário de demonstração e um novo grupo de usuários. Quando ativado, o acesso com reconhecimento de contexto (CAA, na sigla em inglês) para o console do Google Cloud é aplicado a todos os usuários e grupos do Google porque é uma configuração global.

      1. Faça login no Google Workspace Admin Console com sua conta de administrador: Menu > Diretório > Usuários > Adicionar novo usuário.

      2. Crie um usuário de demonstração: demo-user@<domain>.

      3. Faça login no console do Google Cloud e navegue até Menu > IAM e administrador > Grupos.

      4. Crie um grupo de IAM para o acesso às estações de trabalho do Cloud, dê a ele o nome Cloud Workstations Users e atribua o usuário de demonstração criado anteriormente, demo-user@<domain>.

      5. Clique em Salvar.

      6. Crie também um grupo de administradores do IAM com o nome Cloud Admin Users. Atribua os administradores do projeto e da organização a esse grupo.

      7. Adicione o usuário de demonstração, demo-user@<domain>, ao grupo de usuários das estações de trabalho do Cloud que você criou:

        1. No console do Google Cloud, acesse Cloud Workstations > Workstations.
        2. Selecione a estação de trabalho e clique em more_vertMais &gt; Adicionar usuários.
        3. Selecione o usuário de demonstração demo-user@<domain> e escolha Cloud Workstations User como o Papel.
        4. Para conceder ao usuário de demonstração acesso à estação de trabalho, selecione demo-user@<domain>, selecione Cloud Workstations Users como o Papel e clique em Salvar.

      Criar um nível de acesso

      Volte ao console do Google Cloud para criar um nível de acesso no Access Context Manager

      Siga estas instruções para testar o acesso:

      1. No console do Google Cloud, navegue até Segurança > Gerenciador de contexto de acesso para configurar uma política de dispositivo gerenciada pela empresa.

      2. Clique em Criar nível de acesso e preencha os seguintes campos:

        1. No campo Título do nível de acesso, insira corpManagedDevice.
        2. Selecione o Modo básico.
        3. Em Condições, selecione Verdadeiro para ativar a condição.
        4. Clique em + Política do dispositivo para expandir as opções e marcar Exigir dispositivo da empresa.
        5. Clique em Salvar para salvar a política de acesso.

      Ativar a CAA do Chrome Enterprise Premium para o console do Google Cloud

      Para atribuir controles de acesso baseados no contexto (CAA, na sigla em inglês) a estações de trabalho, comece ativando o CAA no console do Google Cloud:

      1. No console do Google Cloud, acesse Segurança &gt; BeyondCorp Enterprise.

      2. Clique em Gerenciar o acesso ao console e à API do Google Cloud. Isso vai direcionar você para a página Nível da organização do Chrome Enterprise Premium.

      3. Na seção Console e APIs do Google Cloud Secure, clique em Ativar.

      Adicionar grupos do Google obrigatórios com níveis de acesso

      Adicione os grupos de administradores necessários com membros relevantes e a política de acesso correta.

      Console

      1. Crie uma política de acesso de administrador chamada CloudAdminAccess com o local definido para as regiões em que seus administradores trabalham. Isso garante que os administradores possam acessar os recursos mesmo quando outra política os bloqueia.

      2. Crie um grupo do IAM com acesso de administrador em IAM e Administrador &gt; Grupos.

        1. Selecione a organização.
        2. Crie um grupo com o nome Cloud Admin Users.
        3. Atribua a você e a outros administradores a este grupo.
        4. Clique em Salvar.

      3. Acesse Segurança > Chrome Enterprise Premium. Clique em Gerenciar acesso e revise a lista de grupos e níveis de acesso que aparecem.

      4. Clique em Adicionar participantes ao console e às APIs do Google Cloud.

        1. Em Grupos do Google, selecione Usuários Admin do Cloud. Isso é o Grupo do Google que você selecionou na etapa anterior.
        2. Selecione CloudAdminAccess, o nível de acesso que você criou. administrador.
        3. Clique em Salvar.

      gcloud e API

      Para ativar a simulação, siga as Tutorial de simulação do Chrome Enterprise Premium.

      Atribuir nível de acesso ao grupo de usuários do Cloud Workstations

      Para atribuir o nível de acesso ao grupo de usuários do Cloud Workstations:

      1. Acesse Segurança &gt; Chrome Enterprise Premium e clique em Gerenciar acesso.

      2. Confira a lista de grupos e níveis de acesso que aparece.

      3. Clique em Adicionar participantes ao console e às APIs do Google Cloud.

        1. Em Grupos do Google, selecione Usuários do Cloud Workstations. Esse é o Grupo do Google que você selecionou na etapa anterior.
        2. Selecione o nível de acesso que você criou anteriormente, corpManagedDevice.
        3. Clique em Salvar.

      Testar o acesso de desenvolvedores ao Cloud Workstations

      Testar o acesso do desenvolvedor à API Cloud Workstations de várias entradas pontos. No caso de um dispositivo corporativo, verifique se os desenvolvedores têm acesso a API da estação de trabalho.

      • Teste se o acesso à API da estação de trabalho de um dispositivo não gerenciado está bloqueado:

        O Chrome Enterprise Premium bloqueia usuários que tentam acessar API Cloud Workstations. Quando os usuários tentam fazer login, um erro aparecer, alterando o usuário de que ele não tem acesso ou que deve verificar a conexão de rede e as configurações do navegador.

      • Teste se o acesso à API da estação de trabalho em um dispositivo de propriedade corporativa está ativado:

        Desenvolvedores com Chrome Enterprise Premium e Cloud Workstations deve ser capaz de criar a estação de trabalho e depois iniciar a estação de trabalho.

      Parte 2: configurar os recursos de DLP do Chrome Enterprise Premium

      Esta seção inclui etapas para aproveitar o BeyondCorp Threat and Data Protection para integrar recursos de Prevenção contra perda de dados (DLP). Isso ajuda a evitar que o código-fonte o vazamento de dados dos clusters do Chrome Editor de base do Cloud Workstations (código OSS para Cloud Workstations).

      Siga estas etapas para configurar os recursos da DLP Premium do Chrome Enterprise e receber ajuda impedir o download do código-fonte:

      1. Ative a proteção de dados e contra ameaças.
      2. Crie uma regra de DLP do BeyondCorp.
      3. Revise as configurações e crie a regra.
      4. Teste a regra da DLP.

      Ativação da proteção de dados e contra ameaças

      Para ativar a proteção contra ameaças e dados no Admin Console do Google Workspace, siga estas etapas:

      1. Acesse Dispositivos > Chrome > Configurações > Usuários e navegadores.

      2. Depois de selecionar o identificador de unidade organizacional (ID da OU), clique em Pesquisar ou adicionar um filtro em Configurações do usuário e do navegador e selecione o subtipo Categoria.

      3. Pesquise o Chrome Enterprise Connector no subtipo Categoria.

      4. Em Fazer download da análise de conteúdo, selecione Google BeyondCorp Enterprise.

      5. Abra Outras configurações.

        1. Selecione Atrasar o acesso ao arquivo até que a análise seja concluída.
        2. Em Verificar dados sensíveis > Modo, selecione Ativada por padrão, exceto para o seguinte padrão de URL.

      6. Clique em Salvar para salvar a configuração.

      Criar uma regra de DLP do Chrome Enterprise Premium

      Para criar uma regra de DLP, siga estas etapas:

      1. Acesse o Admin Console do Google Workspace e selecione Segurança > Controle de acesso e dados > Proteção de dados > Gerenciar regras.

      2. Para criar uma regra, clique em Adicionar regra e em Nova regra. A página Nome e escopo será aberta.

      3. Na seção Nome, digite um nome e uma descrição. Por exemplo, no campo Nome, insira CloudWorkstations-DLP-Rule1 e, no campo Descrição, insira Cloud Workstations Data Loss Prevention Rule 1.

      4. Na seção Escopo, configure o seguinte:

        1. Selecione Unidades organizacionais e/ou grupos.
        2. Clique em Incluir unidades organizacionais e selecione sua organização.
        3. Clique em Continuar.

      5. Na seção Apps, configure o seguinte:

        1. Nas opções do Chrome, selecione Arquivo carregado e Arquivo baixado.
        2. Clique em Continuar.

      6. Na página Condições, configure o seguinte:

        1. Clique em Adicionar condição para criar uma nova.
        2. Selecione Todo o conteúdo.
        3. Selecione Corresponde ao tipo de dados predefinido (recomendado).
        4. Em Selecionar tipo de dados, selecione Documentos: arquivo de código-fonte.
        5. No campo Limite de probabilidade, selecione Alto.
        6. No campo Mínimo de correspondências exclusivas, digite 1.
        7. No campo Número mínimo de correspondências, digite 1.
        8. Clique em Continuar.

      7. Na página Ações, configure o seguinte:

        1. Nas opções Ações, selecione Chrome &gt; Bloquear conteúdo.
        2. Nas opções de Alerta, configure o seguinte:
          • Em "Gravidade", selecione Média.
          • Selecione Enviado para a Central de alertas.
        3. Clique em Continuar.

      Revisar as configurações e criar a regra

      Na página Revisar, revise as configurações que você configurou nas páginas anteriores:

      1. Verifique se as configurações estão corretas.
      2. Para continuar, clique em Criar.
      3. Na próxima página, verifique se a opção Ativo está selecionada.
      4. Para finalizar a criação da regra, clique em Concluir.

      Testar a regra da DLP

      Agora que a regra da DLP foi adicionada, você pode testar nas estações de trabalho do Cloud no Chrome:

      1. Em uma nova guia do Chrome, digite chrome://policy e Clique em Atualizar políticas para garantir que a política do Chrome seja atualizado.

      2. Role para baixo e verifique se você vê uma lista de políticas. Se você vir esses, as políticas foram removidas. Nesse caso, procure a política OnFileDownloadEnterpriseConnector.

      3. Acesse o console do Google Cloud e criar uma configuração do Cloud Workstations.

        Ao criar a configuração da estação de trabalho, selecione Editores de código em imagens de base e, em seguida, selecione a Imagem de base pré-configurada do Editor de base (Code OSS para Cloud Workstations).

      4. Criar uma estação de trabalho.

      5. Inicie e inicie sua estação de trabalho.

      6. Acesse o URL Code OSS for Cloud Workstations que aparece depois de você inicia a estação de trabalho e se conecta à porta 80.

      7. Clone um repositório com a opção Clone Git Repository no ambiente de desenvolvimento integrado. Após a clonagem do repositório, tente fazer o download de um arquivo com código-fonte.

        Para fazer o download de arquivos na visualização Code OSS do Cloud Workstations Explorer, use qualquer um dos seguintes métodos:

        • Arraste arquivos da visualização do Explorador.

        • Navegue até os arquivos e diretórios que deseja usar, clique com o botão direito do mouse e selecione Fazer o download.

      8. Após o download, a política de DLP entra em vigor. Uma notificação de download bloqueado informa que as políticas da sua organização não foram atendidas:

      Parabéns! Você ajudou a impedir o download de arquivos de código-fonte.

      Limpar

      Para evitar cobranças na sua conta do Google Cloud pelos recursos usados no tutorial, exclua o projeto que os contém ou mantenha o projeto e exclua os recursos individuais. Para mais informações, consulte Excluir recursos.

      A seguir