Membantu mengamankan Cloud Workstations API menggunakan BeyondCorp Enterprise

Ringkasan

BeyondCorp Enterprise adalah solusi zero-trust Google Cloud yang memungkinkan tenaga kerja organisasi mengakses aplikasi web dengan aman dari mana saja, tanpa perlu VPN, dan membantu mencegah malware, phishing, dan kehilangan data.

Dengan kecanggihan Google Chrome, BeyondCorp Enterprise memungkinkan pengguna mengakses aplikasi dari perangkat apa pun. BeyondCorp Enterprise memperluas kemampuannya untuk mengatasi beberapa tantangan keamanan utama di lingkungan developer. Dengan menggunakan kontrol akses kontekstual untuk Google Cloud Console dan API, BeyondCorp Enterprise mengaktifkan keamanan tambahan untuk Cloud Workstation API.

Tabel berikut mencantumkan apakah BeyondCorp Enterprise mendukung kontrol akses kontekstual untuk metode akses Cloud Workstation yang ditentukan.

  • Tanda centang menunjukkan BeyondCorp Enterprise membatasi metode akses Cloud Workstation ini.
  • Ikon tidak didukung menunjukkan BeyondCorp Enterprise tidak membatasi metode akses Cloud Workstation ini.

Tujuan

Dokumen ini menjelaskan langkah-langkah yang diikuti administrator untuk menyiapkan kontrol akses BeyondCorp Enterprise untuk Cloud Workstations API dan menyediakan mekanisme tambahan yang membantu mencegah pemindahan kode sumber yang tidak sah dari IDE Cloud Workstations berbasis browser.

Biaya

Sebagai bagian dari tutorial ini, Anda mungkin perlu melibatkan tim lain (untuk penagihan atau IAM), serta menguji kontrol akses untuk menunjukkan bahwa pagar pengaman BeyondCorp Enterprise telah diterapkan.

Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Enable the Workstations API.

    Enable the API

  5. Pastikan Anda memiliki peran berikut di project: Cloud Workstations > Cloud Workstations Admin.

    Memeriksa peran

    1. Di konsol Google Cloud, buka halaman IAM.

      Buka IAM
    2. Pilih project.

    3. Di kolom Akun utama, cari baris yang berisi alamat email Anda.

      Jika alamat email Anda tidak ada di kolom tersebut, berarti Anda tidak memiliki peran apa pun.

    4. Di kolom Peran untuk baris yang berisi alamat email Anda, periksa apakah daftar peran menyertakan peran yang diperlukan.

    Memberikan peran

    1. Di konsol Google Cloud, buka halaman IAM.

      Buka IAM
    2. Pilih project.
    3. Klik Berikan akses.
    4. Di kolom Akun utama baru, masukkan alamat email Anda.
    5. Di daftar Pilih peran, pilih peran.
    6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
    7. Klik Simpan.

  6. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  7. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  8. Enable the Workstations API.

    Enable the API

  9. Pastikan Anda memiliki peran berikut di project: Cloud Workstations > Cloud Workstations Admin.

    Memeriksa peran

    1. Di konsol Google Cloud, buka halaman IAM.

      Buka IAM
    2. Pilih project.

    3. Di kolom Akun utama, cari baris yang berisi alamat email Anda.

      Jika alamat email Anda tidak ada di kolom tersebut, berarti Anda tidak memiliki peran apa pun.

    4. Di kolom Peran untuk baris yang berisi alamat email Anda, periksa apakah daftar peran menyertakan peran yang diperlukan.

    Memberikan peran

    1. Di konsol Google Cloud, buka halaman IAM.

      Buka IAM
    2. Pilih project.
    3. Klik Berikan akses.
    4. Di kolom Akun utama baru, masukkan alamat email Anda.
    5. Di daftar Pilih peran, pilih peran.
    6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
    7. Klik Simpan.

  10. Pastikan Anda telah menetapkan lisensi BeyondCorp Enterprise Standard untuk setiap pengguna. Hanya pengguna yang memiliki lisensi yang menerapkan kontrol akses. Untuk informasi selengkapnya, lihat Menetapkan, menghapus, dan menetapkan ulang lisensi.

Bagian 1: Menyiapkan BeyondCorp Enterprise untuk Cloud Workstation

Bagian ini akan memandu Anda melakukan langkah-langkah untuk membantu Anda mengamankan akses kontekstual ke Cloud Workstation API:

  1. Siapkan Cloud Workstations.
  2. Buat pengguna demo dan grup demo.
  3. Buat tingkat akses di Access Context Manager.
  4. Aktifkan BeyondCorp Enterprise CAA.
  5. Tambahkan grup Google yang diperlukan dengan tingkat akses.
  6. Menguji akses developer ke Cloud Workstations.

Menyiapkan Cloud Workstation

Dari konsol Google Cloud, buat konfigurasi workstation.

Jika Anda belum terbiasa menggunakan Cloud Workstation, lihat deskripsi Ringkasan dan Arsitektur Cloud Workstations.

Membuat pengguna demo dan grup demo

Dari konsol Admin Google Workspace, buat pengguna demo dan grup pengguna baru. Jika diaktifkan, akses kontekstual (CAA) untuk Google Cloud Console berlaku untuk semua pengguna dan grup Google karena merupakan setelan global.

  1. Login ke konsol Admin Google Workspace dengan akun administrator Anda: Menu > Direktori > Pengguna > Tambahkan Pengguna Baru.

  2. Buat pengguna demo: demo-user@<domain>.

  3. Login ke konsol Google Cloud dan buka Menu > IAM & Admin > Grup.

  4. Buat grup IAM untuk akses Cloud Workstation, beri nama Cloud Workstations Users, dan tetapkan pengguna demo yang dibuat sebelumnya, demo-user@<domain>.

  5. Klik Save.

  6. Buat juga grup administrator IAM, dan beri nama Cloud Admin Users. Tetapkan administrator project dan organisasi Anda ke grup ini.

  7. Tambahkan pengguna demo, demo-user@<domain>, ke grup pengguna Cloud Workstation yang Anda buat:

    1. Di Konsol Google Cloud, buka Cloud Workstations > Workstations.
    2. Pilih workstation, lalu klik more_vertMore > Add Users.
    3. Pilih pengguna demo, demo-user@<domain>, lalu pilih Cloud Workstations User sebagai Peran.
    4. Untuk memberi pengguna demo akses ke workstation, pilih demo-user@<domain>, pilih Cloud Workstations Users sebagai Role, lalu klik Save.

Membuat tingkat akses

Kembali ke konsol Google Cloud untuk membuat tingkat akses di Access Context Manager.

Ikuti petunjuk berikut untuk menguji akses:

  1. Dari Konsol Google Cloud, buka Security > Access Context Manager untuk mengonfigurasi kebijakan perangkat yang dikelola perusahaan.

  2. Klik Buat tingkat akses dan isi kolom berikut:

    1. Di kolom Judul tingkat akses, masukkan corpManagedDevice.
    2. Pilih Mode dasar.
    3. Di bagian Kondisi, pilih Benar untuk mengaktifkan kondisi.
    4. Klik + Device policy untuk meluaskan opsi dan centang Wajibkan perangkat milik perusahaan.
    5. Klik Simpan untuk menyimpan kebijakan akses.

Aktifkan BeyondCorp Enterprise CAA untuk konsol Google Cloud

Untuk menetapkan kontrol akses kontekstual (CAA) ke workstation, mulailah dengan mengaktifkan CAA untuk Konsol Google Cloud:

  1. Dari Konsol Google Cloud, buka Keamanan > BeyondCorp Enterprise.

  2. Klik Kelola akses ke konsol Google Cloud dan API. Tindakan ini akan mengarahkan Anda ke halaman Level organisasi BeyondCorp Enterprise.

  3. Di bagian Secure Google Cloud console & APIs, klik Enable.

Tambahkan grup Google yang diperlukan dengan tingkat akses

Tambahkan grup administrator yang diperlukan dengan anggota yang relevan dan kebijakan akses yang benar.

Konsol

  1. Buat kebijakan akses administrator bernama CloudAdminAccess dengan lokasi yang ditetapkan ke region tempat administrator Anda bekerja. Hal ini memastikan bahwa administrator dapat mengakses resource meskipun kebijakan lain memblokir mereka.

  2. Buat grup IAM dengan akses administrator di IAM & Admin > Grup.

    1. Pilih organisasi.
    2. Buat grup, beri nama Cloud Admin Users.
    3. Tetapkan diri Anda dan administrator lainnya ke grup ini.
    4. Klik Save.

  3. Buka Keamanan > BeyondCorp Enterprise. Klik Kelola akses dan tinjau daftar grup serta tingkat akses yang muncul.

  4. Klik Add principals to Google Cloud console & APIs.

    1. Untuk Google Groups, pilih Cloud Admin Users. Ini adalah Google Grup yang Anda pilih di langkah sebelumnya.
    2. Pilih CloudAdminAccess, tingkat akses yang Anda buat untuk akses administrator.
    3. Klik Save.

gcloud dan API

Untuk mengaktifkan uji coba, ikuti tutorial uji coba BeyondCorp Enterprise.

Tetapkan tingkat akses ke grup pengguna Cloud Workstations

Untuk menetapkan tingkat akses ke grup pengguna Cloud Workstations:

  1. Buka Keamanan > BeyondCorp Enterprise dan klik Kelola akses.

  2. Tinjau daftar grup dan tingkat akses yang muncul.

  3. Klik Add principals to Google Cloud console & APIs.

    1. Untuk Google Groups, pilih Cloud Workstations Users. Ini adalah Google Grup yang Anda pilih di langkah sebelumnya.
    2. Pilih tingkat akses yang Anda buat sebelumnya, corpManagedDevice.
    3. Klik Save.

Menguji akses developer ke Cloud Workstations

Uji akses developer ke Cloud Workstations API dari beberapa titik masuk. Untuk perangkat milik perusahaan, pastikan developer dapat mengakses API workstation.

  • Uji apakah akses ke workstation API dari perangkat yang tidak dikelola diblokir:

    BeyondCorp Enterprise memblokir pengguna yang mencoba mengakses Cloud Workstations API. Ketika pengguna mencoba login, pesan error akan muncul, yang mengubah pengguna yang tidak memiliki akses atau harus memeriksa koneksi jaringan dan setelan browser.

  • Uji apakah akses ke workstation API dari perangkat milik perusahaan sudah diaktifkan:

    Developer dengan akses BeyondCorp Enterprise dan Cloud Workstations harus dapat membuat workstation mereka, lalu meluncurkan workstation mereka.

Bagian 2: Menyiapkan kemampuan DLP BeyondCorp Enterprise

Bagian ini mencakup langkah-langkah untuk memanfaatkan Perlindungan Ancaman dan Data BeyondCorp untuk mengintegrasikan fitur pencegahan kebocoran data (DLP). Hal ini membantu mencegah pemindahan kode sumber yang tidak sah dari editor dasar Cloud Workstations (Code OSS untuk Cloud Workstations) berbasis Chrome.

Ikuti langkah-langkah berikut untuk menyiapkan kemampuan DLP BeyondCorp Enterprise untuk membantu mencegah download kode sumber:

  1. Aktifkan perlindungan data dan perlindungan terhadap ancaman.
  2. Buat aturan DLP BeyondCorp.
  3. Tinjau setelan dan buat aturan.
  4. Uji aturan DLP.

Aktifkan perlindungan data dan perlindungan terhadap ancaman lanjutan

Untuk mengaktifkan perlindungan data dan perlindungan terhadap ancaman dari konsol Admin Google Workspace, ikuti langkah-langkah berikut:

  1. Buka Perangkat > Chrome > Setelan > Pengguna & browser.

  2. Setelah memilih ID unit organisasi (ID OU), klik Telusuri atau tambahkan filter di bagian Setelan Pengguna dan Browser, lalu pilih subjenis Kategori.

  3. Telusuri Chrome Enterprise Connectors dalam subjenis Kategori.

  4. Di Download analisis konten, pilih Google BeyondCorp Enterprise.

  5. Luaskan Additional Settings.

    1. Pilih Tunda akses file hingga analisis selesai.
    2. Di bagian Periksa data sensitif > Mode, pilih Aktif secara default, kecuali untuk pola URL berikut.

  6. Klik Save untuk menyimpan konfigurasi.

Membuat aturan DLP BeyondCorp Enterprise

Untuk membuat aturan DLP, ikuti langkah-langkah berikut:

  1. Buka konsol Admin Google Workspace, lalu pilih Keamanan > Kontrol data dan akses > Perlindungan data > Kelola Aturan.

  2. Untuk membuat aturan baru, klik Tambahkan aturan, lalu Aturan baru. Tindakan ini akan membuka halaman Nama dan cakupan.

  3. Di bagian Nama, masukkan nama dan deskripsi. Misalnya, untuk kolom Name, masukkan CloudWorkstations-DLP-Rule1, dan untuk kolom Description, masukkan Cloud Workstations Data Loss Prevention Rule 1.

  4. Di bagian Cakupan, konfigurasi hal berikut:

    1. Pilih Unit organisasi dan/atau grup.
    2. Klik Sertakan unit organisasi, lalu pilih organisasi Anda.
    3. Klik Lanjutkan.

  5. Di bagian Apps, konfigurasi hal berikut:

    1. Pada opsi Chrome, pilih File uploaded dan File downloaded.
    2. Klik Lanjutkan.

  6. Di halaman Conditions, konfigurasikan hal berikut:

    1. Klik Tambahkan kondisi untuk membuat kondisi baru.
    2. Pilih Semua konten.
    3. Pilih Cocok dengan Jenis data yang telah ditetapkan sebelumnya (direkomendasikan).
    4. Untuk Pilih jenis data, pilih Dokumen—File kode sumber.
    5. Untuk kolom Likelihood threshold, pilih High.
    6. Untuk kolom Kecocokan unik minimum, masukkan 1.
    7. Untuk kolom Jumlah pencocokan minimum, masukkan 1.
    8. Klik Lanjutkan.

  7. Di halaman Actions, konfigurasi hal berikut:

    1. Pada opsi Tindakan, pilih Chrome > Blokir konten.
    2. Pada opsi Alerting, konfigurasi opsi berikut:
      • Untuk tingkat keseriusan, pilih Sedang.
      • Pilih Dikirim ke pusat notifikasi.
    3. Klik Lanjutkan.

Tinjau setelan dan buat aturan

Dari halaman Tinjau, tinjau setelan yang Anda konfigurasikan di halaman sebelumnya:

  1. Pastikan setelannya sudah benar.
  2. Untuk melanjutkan, klik Buat.
  3. Di halaman berikutnya, pastikan Aktif dipilih.
  4. Untuk menyelesaikan pembuatan aturan, klik Selesai.

Menguji aturan DLP

Setelah aturan DLP ditambahkan, Anda dapat melakukan pengujian dari Cloud Workstations di Chrome:

  1. Di tab Chrome baru, masukkan chrome://policy, lalu klik Muat ulang kebijakan untuk memastikan kebijakan Chrome diupdate.

  2. Scroll ke bawah untuk memastikan Anda melihat daftar kebijakan. Jika Anda melihat ini, kebijakan telah berhasil dihapus. Dalam hal ini, cari kebijakan OnFileDownloadEnterpriseConnector.

  3. Buka Konsol Google Cloud dan buat konfigurasi Cloud Workstation.

    Saat membuat konfigurasi workstation, pastikan Anda memilih Code editor on base images, lalu pilih Base Editor (Code OSS for Cloud Workstations) prekonfigurasi base image.

  4. Membuat workstation.

  5. Memulai dan meluncurkan workstation Anda.

  6. Akses URL Code OSS for Cloud Workstations yang muncul setelah Anda meluncurkan workstation dan terhubung ke port 80.

  7. Clone repositori dengan opsi Clone Git Repository di IDE. Setelah repositori di-clone, coba download file dengan kode sumber.

    Untuk mendownload file dalam tampilan Code OSS untuk Cloud Workstations Explorer, gunakan salah satu metode berikut:

    • Tarik file dari tampilan Explorer.

    • Buka file dan direktori yang ingin Anda gunakan, klik kanan, lalu pilih Download.

  8. Setelah didownload, kebijakan DLP akan berlaku. Perhatikan notifikasi download yang diblokir yang menyatakan bahwa kebijakan organisasi Anda tidak terpenuhi:

Selamat! Anda telah berhasil membantu mencegah file kode sumber didownload.

Pembersihan

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource, atau pertahankan project dan hapus resource individual. Untuk mengetahui informasi selengkapnya, lihat Menghapus resource.

Langkah selanjutnya