En este documento se ofrece una descripción general del servicio Administrador de contextos de acceso y sus funciones. Trusted Cloud by S3NS Los administradores de organizaciones pueden usar Administrador de contextos de acceso para definir controles de acceso pormenorizados y basados en atributos para proyectos y recursos en Trusted Cloud. Como administrador, primero debes definir una política de acceso, que es un contenedor de toda la organización para niveles de acceso y perímetros de servicio.
Los niveles de acceso describen los requisitos que deben cumplir las solicitudes para que se acepten. Estos son algunos ejemplos:
- Tipo de dispositivo y sistema operativo
- Dirección IP
- Identidad de usuario
Los perímetros de servicio definen sandboxes de recursos que pueden intercambiar datos libremente dentro del perímetro, pero no pueden exportar datos fuera de él. Administrador de contextos de acceso no es responsable de aplicar las políticas. En cambio, Access Context Manager se ha diseñado para definir reglas o contextos específicos. La política se configura y se aplica en varios puntos, como Controles de Servicio de VPC. Puedes consultar más información sobre estos servicios en sus respectivas guías de usuario.
Puedes configurar y aplicar políticas de Administrador de contextos de acceso en los siguientes componentes de la solución Chrome Enterprise Premium:
Ventajas
Muchas empresas utilizan un modelo de seguridad perimetral, como un cortafuegos, para proteger los recursos internos. Un modelo de seguridad perimetral está muy protegido con un único punto de entrada y salida. Todo lo que se encuentre fuera se considera peligroso. Se confía en todo lo que haya dentro.
Los cortafuegos y el modelo de seguridad perimetral funcionan bien si hay un límite preciso en torno a usuarios y servicios específicos. Sin embargo, si la plantilla es móvil, la variedad de dispositivos aumenta, ya que los usuarios traen sus propios dispositivos (BYOD) y utilizan servicios basados en la nube. En este caso, se producen vectores de ataque adicionales que no se tienen en cuenta en el modelo de perímetro. Por lo tanto, el perímetro ya no es solo la ubicación física de la empresa, y no se puede dar por hecho que lo que hay dentro es seguro.
Puedes usar el Administrador de contextos de acceso para reducir el tamaño de la red privilegiada y pasar a un modelo en el que los endpoints no tengan autoridad ambiental en función de la red. En su lugar, puedes conceder acceso en función del contexto de la solicitud, como el tipo de dispositivo o la identidad del usuario, entre otros, y seguir comprobando el acceso a la red corporativa cuando sea necesario.
Políticas de acceso
Una política de acceso es un contenedor de todos tus recursos de Access Context Manager, como los niveles de acceso y los perímetros de servicio.
Puedes crear una política de acceso en el contexto de una organización y usarla en cualquier parte de la organización. Para delegar la administración de una política de acceso, puedes crear una política de acceso con ámbito y definir el ámbito de la política a nivel de carpeta o de proyecto. El administrador delegado al que se le asigna la política de ámbito solo puede gestionar la política de acceso de ámbito y no la política de acceso a nivel de organización.
Las políticas de acceso se versionan mediante un etag.
Puedes usar etag para orientar los cambios a tu política de acceso, como
modificaciones en los niveles de acceso o en una versión específica de la política. Si varias fuentes cambian tu política de acceso, usar el campo etag para la herramienta de línea de comandos gcloud y las llamadas a la API ayuda a evitar sobrescrituras y conflictos no deseados.
Para saber cómo crear políticas de acceso, consulta Crear una política de acceso.
Niveles de acceso
Los niveles de acceso se usan para permitir el acceso a los recursos en función de la información contextual de la solicitud. Con los niveles de acceso, puedes empezar a organizar los niveles de confianza. Por ejemplo, puedes crear un nivel de acceso llamado High_Level que permita las solicitudes de un pequeño grupo de personas con muchos privilegios. También puede identificar un grupo más general en el que confíe, como un intervalo de IPs desde el que quiera permitir solicitudes. En ese caso, puedes crear un nivel de acceso llamado Medium_Level para permitir esas solicitudes.
Una vez que hayas definido los niveles de acceso, los servicios de implementación podrán usarlos para determinar si se debe aceptar una solicitud. Por ejemplo, puedes especificar que, aunque Medium_Trust tenga acceso a muchos recursos, algunos más sensibles requieran el nivel High_Trust. Estas comprobaciones se aplican además de la política de IAM estándar.
Los niveles de acceso se pueden personalizar. Los niveles de acceso High_Trust y Medium_Trust son ejemplos. Puedes especificar varios niveles de acceso como parte de una política de acceso.
!(origin.region_code in ['RU', 'BY', 'UA']) -> FAILED // levels.regions_check
inIpRange(origin.ip, ['205.220.128.0/23']) -> GRANTED // levels.ip_check
!(origin.region_code in ['RU', 'BY', 'UA']) || inIpRange(origin.ip, ['205.220.128.0/23']) -> GRANTED
levels.regions_check || levels.ip_check -> GRANTED
Dirección IP
Puedes conceder un nivel de acceso en función de la dirección IP de la solicitud de origen. El intervalo de IPs que se va a permitir se especifica en forma de bloque de enrutamiento de interdominios sin clases (CIDR), lo que permite controlar con precisión las IPs permitidas.
Un solo nivel de acceso puede contener varios intervalos de IPs.
Para saber cómo crear un nivel de acceso que solo permita el acceso a un intervalo de direcciones IP específico, como las de una sola red corporativa, consulta el artículo Crear un nivel de acceso para acceder a una red corporativa.
Identidad de usuario
En algunos casos, puede que quieras conceder un nivel de acceso a entidades concretas. En estos casos, la identidad de la persona que llama determina si se cumple la condición. Este caso se suele usar junto con las cuentas de servicio y los Controles de Servicio de VPC.
Puedes crear y gestionar niveles de acceso solo de identidad con la herramienta de línea de comandos gcloud, pero no con la consola Trusted Cloud .
Para empezar a crear un nivel de acceso básico, consulta el artículo Crear un nivel de acceso para el Administrador de contextos de acceso.
Combinar condiciones
Un solo nivel de acceso puede contener varias condiciones. Las condiciones se pueden evaluar con los operadores AND u OR. Puedes especificar el modo al crear o actualizar un nivel de acceso.
La opción AND es la más estricta y la predeterminada. Esta opción solo concede el nivel de acceso si se cumplen todas las condiciones. Por ejemplo, puedes exigir que una solicitud
proceda de la red corporativa y de un dispositivo que ejecute la versión más reciente
de un sistema operativo.
OR es una opción menos restrictiva. Esta opción solo requiere que se cumpla una de las muchas condiciones. A veces, esto resulta útil cuando se trata de identidades de usuario, por ejemplo, para excluir entidades específicas (como cuentas de servicio) de los requisitos normales.
Condiciones de anidación
Las condiciones se pueden anidar de forma que una condición dependa de otra. Por ejemplo, si tienes los niveles de acceso de confianza "Medio" y "Alto", puedes definir los requisitos de "Alto" para que requiera "Medio", además de otras condiciones.
Anidar condiciones puede facilitar la gestión de los niveles de acceso. Por ejemplo, imagina que tu nivel de acceso más permisivo contiene una versión mínima del sistema operativo y que configuras los niveles más restrictivos para que dependan de él. Si actualiza la versión mínima en el futuro, solo tendrá que actualizar una condición, en lugar de cada nivel de acceso de la política.
Más información
- Consulta las diferencias entre Administrador de contextos de acceso en Trusted Cloud y Google Cloud.
- Guía de inicio rápido: Crea un nivel de acceso para el Administrador de contextos de acceso
- Crear un nivel de acceso básico