Chrome Enterprise Premium, basado en el modelo de seguridad BeyondCorp, es un enfoque que utiliza una variedad de Google Cloud ofertas para aplicar un control de acceso granular basado en la identidad de un usuario y el contexto de la solicitud.
Por ejemplo, en función de la configuración de la política, tu aplicación o recurso sensible puede hacer lo siguiente:
- Concede acceso a todos los empleados si utilizan un dispositivo corporativo de confianza desde tu red corporativa.
- Concede acceso a los empleados del grupo Acceso remoto si usan un dispositivo corporativo de confianza con una contraseña segura y un nivel de parche actualizado desde cualquier red.
- Concede acceso a los administradores a la Google Cloud consola (a través de la interfaz de usuario o de la API) solo si se conectan desde una red corporativa.
- Concede a los desarrolladores acceso SSH a las máquinas virtuales.
Cuándo usar Chrome Enterprise Premium
Usa Chrome Enterprise Premium cuando quieras establecer un control de acceso detallado basado en una amplia gama de atributos y condiciones, como el dispositivo que se está usando y la dirección IP. Si tus recursos corporativos tienen en cuenta el contexto, mejorarás tu posición de seguridad.
También puedes aplicar Chrome Enterprise Premium a las aplicaciones de Google Workspace. Para obtener más información sobre cómo implementar Chrome Enterprise Premium con Google Workspace, consulta la descripción general de Google Workspace.
Cómo funciona Chrome Enterprise Premium
Implementar Chrome Enterprise Premium supone adoptar un modelo de confianza cero. Nadie puede acceder a tus recursos a menos que cumpla todas las reglas y condiciones. En lugar de proteger tus recursos a nivel de red, los controles de acceso se aplican a dispositivos y usuarios concretos.
IAP es la base de Chrome Enterprise Premium, que te permite conceder acceso a tus aplicaciones y recursos HTTPS. Una vez que hayas protegido tus aplicaciones y recursos con IAP, tu organización podrá ampliar gradualmente Chrome Enterprise Premium a medida que necesite reglas más complejas. Los recursos de Chrome Enterprise Premium ampliados pueden limitar el acceso en función de propiedades como los atributos del dispositivo del usuario, la hora del día y la ruta de la solicitud.
Chrome Enterprise Premium funciona aprovechando cuatro Google Cloud ofertas:
Identity-Aware Proxy (IAP): un servicio que permite a los empleados acceder a aplicaciones y recursos corporativos desde redes que no son de confianza sin tener que usar una VPN.
Gestión de Identidades y Accesos (IAM): servicio de gestión de identidades y autorización de Google Cloud.
Administrador de contextos de acceso: un motor de reglas que permite controlar el acceso de forma pormenorizada.
Verificación de puntos finales: una extensión de Google Chrome que recoge detalles de los dispositivos de los usuarios.
Recopilando información del dispositivo
Verificación de endpoints recopila información sobre los dispositivos de los empleados, como el estado del cifrado, el SO y los detalles del usuario. Una vez que la hayas habilitado en la consola de administración de Google, podrás desplegar la extensión de Chrome Verificación de puntos finales en los dispositivos de la empresa. Los empleados también pueden instalarla en sus dispositivos personales gestionados. Esta extensión recoge información sobre el dispositivo y la envía, sincronizándose constantemente con Google Workspace. El resultado final es un inventario de todos los dispositivos corporativos y personales que acceden a tus recursos corporativos.
Limitar el acceso
Con Administrador de contextos de acceso, se crean niveles de acceso para definir reglas de acceso. Los niveles de acceso aplicados a tus recursos con condiciones de gestión de identidades y accesos permiten aplicar un control de acceso pormenorizado en función de diversos atributos.
Los niveles de acceso restringen el acceso en función de los siguientes atributos:
Cuando creas un nivel de acceso basado en dispositivos, Administrador de contextos de acceso hace referencia al inventario de dispositivos creado por Verificación de puntos finales. Por ejemplo, un nivel de acceso puede restringir el acceso solo a los empleados que utilicen dispositivos cifrados. Si lo combinas con condiciones de gestión de identidades y accesos, puedes hacer que este nivel de acceso sea más granular restringiendo el acceso al periodo comprendido entre las 9:00 y las 17:00.
Proteger recursos con IAP
IAP lo une todo, ya que te permite aplicar condiciones de gestión de identidades y accesos a los Google Cloud recursos. IAP te permite establecer una capa de autorización central para tus Google Cloud recursos a los que se accede mediante tráfico HTTPS y SSH/TCP. Con IAP, puedes establecer un modelo de control de acceso a nivel de recurso en lugar de depender de firewalls a nivel de red. Una vez protegidos, tus recursos serán accesibles para cualquier empleado, desde cualquier dispositivo y en cualquier red, siempre que cumpla las reglas y condiciones de acceso.
Aplicar condiciones de gestión de identidades y accesos
Las condiciones de gestión de identidades y accesos (IAM) te permiten definir y aplicar un control de acceso condicional basado en atributos para los Google Cloud recursos.
Con las condiciones de gestión de identidades y accesos, puede conceder permisos a principales solo si se cumplen las condiciones configuradas. Las condiciones de gestión de identidades y accesos pueden limitar el acceso con una gran variedad de atributos, incluidos los niveles de acceso.
Las condiciones se especifican en las vinculaciones de roles de IAP de la política de gestión de identidades y accesos de un recurso. Cuando se da una condición, el rol solo se concede si la expresión de la condición da como resultado el valor true. Cada expresión de condición se define como un conjunto de instrucciones lógicas que te permiten especificar uno o varios atributos que se deben comprobar.
Siguientes pasos
- Empieza a usar Chrome Enterprise Premium con la guía de inicio rápido.
- Más información sobre:
- Protege tus aplicaciones de Google Workspace con Chrome Enterprise Premium.