Chrome Enterprise 進階版存取權防護功能簡介

BeyondCorp 安全性模型為基礎,Chrome Enterprise Premium 會利用各種 Google Cloud 產品,根據使用者的身分和要求情境,實施精細的存取權控管。

例如,根據政策設定,您的敏感應用程式或資源可以執行下列操作:

  • 在所有員工都使用公司網路中受信任的公司裝置時,授予這些員工存取權。
  • 在遠端存取群組中的員工使用任何網路中受信任的公司裝置,且這些裝置擁有安全密碼與最新修補程式等級時,授予這些員工存取權。
  • 只有在管理員來自公司網路時,才授予他們存取 Google Cloud 控制台的權限 (透過使用者介面或 API)。
  • 授予開發人員虛擬機器的 SSH 存取權。

使用 Chrome Enterprise 進階版的時機

如要根據多種屬性和條件 (包括使用中的裝置和 IP 位址) 建立精細的存取權控管機制,請使用 Chrome Enterprise 進階版。讓公司資源具備情境感知功能,可強化安全防護機制。

您也可以將 Chrome Enterprise 進階版套用至 Google Workspace 應用程式。如要進一步瞭解如何透過 Google Workspace 導入 Chrome Enterprise 進階版,請參閱 Google Workspace 總覽

Chrome Enterprise 進階版的運作方式

導入 Chrome Enterprise Premium 會啟用零信任模型。除非符合所有規則和條件,否則任何人都無法存取您的資源。存取權控管會套用至個別裝置和使用者,而非在網路層級保護資源。

IAP 是 Chrome Enterprise 進階版的基礎,可讓您授予 HTTPS 應用程式和資源的存取權。在 IAP 後方保護應用程式和資源後,貴機構可以視需要逐步擴充 Chrome Enterprise Premium 的規則。擴充的 Chrome Enterprise 進階版資源可根據使用者裝置屬性、時段和要求路徑等屬性,限制存取權。

Chrome Enterprise 進階版會運用四項 Google Cloud 產品:

Chrome Enterprise 進階版流程

收集裝置資訊

端點驗證功能會收集員工裝置資訊,包括加密狀態、作業系統和使用者詳細資料。透過 Google 管理控制台啟用後,您就可以將端點驗證 Chrome 擴充功能部署到公司裝置。員工也可以在受管理的個人裝置上安裝這項應用程式。這個擴充功能會收集及回報裝置資訊,並持續與 Google Workspace 同步。最終結果是存放清單,其中列出所有公司和個人裝置,這些裝置可存取貴公司的資源。

限制存取權

透過 Access Context Manager 建立存取層級,以便定義存取權規則。使用 IAM 條件套用至資源的存取層級,可根據各種屬性強制執行精細的存取權控管。

存取層級會根據下列屬性限制存取權:

建立以裝置為準的存取層級時,Access Context Manager 會參照端點驗證建立的裝置清單。舉例來說,您可以設定存取層級,只允許使用加密裝置的員工存取資料。搭配IAM 條件,您可以將這個存取層級設為更精細的時間範圍,例如上午 9 點到下午 5 點。

使用 IAP 保護資源

IAP 可讓您在 Google Cloud 資源上套用IAM 條件,將所有內容串連起來。透過 IAP,您可以為透過 HTTPS 和 SSH/TCP 流量存取的Google Cloud 資源建立中央授權層。您可以使用 IAP 建立資源層級存取權控管模型,而非依賴網路層級防火牆。安全防護措施完成後,任何符合存取規則和條件的員工,都能透過任何裝置和網路存取資源。

套用 IAM 條件

IAM 條件可讓您針對 Google Cloud 資源定義並強制執行條件式、以屬性為基礎的存取權控管。

有了 IAM 條件,您可以選擇僅在符合所設條件的情況下,才會將權限授予主體。IAM 條件可透過各種屬性 (包括存取層級) 限制存取權。

條件可在資源的 IAM 政策 IAP 角色繫結中指定。條件存在時,只有在條件運算式評估為 true 時,才會授予角色。每個條件運算式都定義為一組邏輯陳述式,可讓您指定一或多個要檢查的屬性。

後續步驟