如何使用 BeyondCorp Enterprise 確保員工於受信任的網路下存取 Google Cloud 資源?

金融業或高科技製造業等產業對於資安合規有較高的要求,在使用公有雲時往往會需要遵守嚴謹的資安規範,而其中最常見的一項資安政策為「使用者必需在公司所信任的網路環境上才能存取公司的資源」。對此,Google Cloud 零信任資安平台 BeyondCorp Enterprise 可以有效滿足企業此項需求。本文會簡介 BeyondCorp Enterprise,並實際手把手操作 Access Context Manager 及 Cloud Identity Group 等服務設定,限制使用者只能在特定網路(例如:公司內部網路)環境才能使用 GCP 資源。

簡介 BeyondCorp

BeyondCorp 是 Google 內部採用超過 10 年的與零信任模型 (Zero Trust Model)。所謂的零信任是一種不預設信任任何使用者或裝置並強制實行嚴格的身分驗證和授權機制的安全模型。

BeyondCorp Enterprise 是 Google 透過零信任解決方案提供安全的應用程式和資源存取方式。其背後更是以 Google 超過 200 多個國家和地區(Region)、187 個網路邊緣位置 ( PoP) 的基礎架構及 Google Chrome 所支持。現在,所有的 GCP 企業組織 (Organization) 都能免費使用此服務對使用者進行 GCP Console 及所有 API 的限制。

簡單了解 BeyondCorp Enterprise 之後,那我們實際該怎麼進行設定呢?

定義「使用者」與「存取來源」

首先,我們會需要定義兩個元件,分別是「使用者」及「存取來源」。這時候就需要使用以下兩個服來進行定義:

Google Groups

  • 將需套用的目標使用者都加入一個 Google Groups 內
  • 只要擁有 GCP Organization,不管是付費的 Google Workspace (GWS) 或是免費的 Cloud Identity 都能在 admin.google.com 的網頁中進行此群組的設定

Access Context Manager

  • 設定訪問政策
  • 免費版本提供 IP 及國家來源為主,付費版本則增加裝置認證
圖一:上圖為兩個服務所扮演的角色示意圖
icon/enlarge

執行步驟與驗證

Step 1:將使用者加入 Google Groups

  • 登入 admin.google.com > Directory > Groups 並建立新群組
圖二
icon/enlarge
圖三
icon/enlarge
圖四
icon/enlarge
  • 加入使用者至 Google Groups 中

註:為避免發生所有人都無法存取 Google Console 的風險發生,會建議至少排除一位 Organization Admin 或 Organization Owner 於此群組中。

圖五
icon/enlarge
圖六
icon/enlarge
圖七
icon/enlarge

Step 2:Access Context Manager 建立訪問政策

  • GCP Console > Security > Access Context Manager > Create Access level

註:因 Access Context Manager 為 Organization 層級服務,Console 上方需切換至 Org 層級

圖八
icon/enlarge
圖九
icon/enlarge
  • 填入 Access Level 名稱與 IP 網段
圖十
icon/enlarge
圖十一
icon/enlarge

Step 3:設定 BeyondCorp Enterprise

  • GCP Console > Security > BeyondCorp Enterprise > MANAGE ACCESS TO CLOUD CONSOLE AND API

註:需注意的是上方會需要選擇任一 Project 才能看到 manage access to cloud console and api 的按鈕

圖十二
icon/enlarge
  • 跳轉到 Org 下的 BeyondCorp Enterprise  > manage access
圖十三
icon/enlarge
  • 點擊上方 ADD 按鈕 > 並套用之前設定好的 Google Groups 及 Access Level 
圖十四
icon/enlarge

Step 4:驗證是否只有信任的網段才能存取 GCP Console 及 API

  • 使用公司網路 211 開頭之 IP 登入 GCP Console,會發現可以順利訪問
圖十五
icon/enlarge
圖十六
icon/enlarge
  • 使用外部內部網路 - 34 開頭之 IP 登入 GCP Console 會出現沒有權限的錯誤畫面
圖十七
icon/enlarge
圖十八
icon/enlarge

常見問題:設定了 BeyondCorp 之後 Cloud Shell 還能使用嗎?

答案是「不行」喔,因為 Cloud Shell 實際上是使用 Google 提供的機器與網路,所以會被 BeyondCorp 擋下來。

圖十九
icon/enlarge
訂閱 CloudMile 電子報

所有 CloudMile 最新消息、產品動態、活動資訊和特別優惠,立即掌握。