金融業或高科技製造業等產業對於資安合規有較高的要求,在使用公有雲時往往會需要遵守嚴謹的資安規範,而其中最常見的一項資安政策為「使用者必需在公司所信任的網路環境上才能存取公司的資源」。對此,Google Cloud 零信任資安平台 BeyondCorp Enterprise 可以有效滿足企業此項需求。本文會簡介 BeyondCorp Enterprise,並實際手把手操作 Access Context Manager 及 Cloud Identity Group 等服務設定,限制使用者只能在特定網路(例如:公司內部網路)環境才能使用 GCP 資源。
簡介 BeyondCorp
BeyondCorp 是 Google 內部採用超過 10 年的與零信任模型 (Zero Trust Model)。所謂的零信任是一種不預設信任任何使用者或裝置並強制實行嚴格的身分驗證和授權機制的安全模型。
BeyondCorp Enterprise 是 Google 透過零信任解決方案提供安全的應用程式和資源存取方式。其背後更是以 Google 超過 200 多個國家和地區(Region)、187 個網路邊緣位置 ( PoP) 的基礎架構及 Google Chrome 所支持。現在,所有的 GCP 企業組織 (Organization) 都能免費使用此服務對使用者進行 GCP Console 及所有 API 的限制。
簡單了解 BeyondCorp Enterprise 之後,那我們實際該怎麼進行設定呢?
定義「使用者」與「存取來源」
首先,我們會需要定義兩個元件,分別是「使用者」及「存取來源」。這時候就需要使用以下兩個服來進行定義:
Google Groups
- 將需套用的目標使用者都加入一個 Google Groups 內
- 只要擁有 GCP Organization,不管是付費的 Google Workspace (GWS) 或是免費的 Cloud Identity 都能在 admin.google.com 的網頁中進行此群組的設定
Access Context Manager
- 設定訪問政策
- 免費版本提供 IP 及國家來源為主,付費版本則增加裝置認證