Acesso seguro a aplicativos da Web particulares

Neste documento, descrevemos como configurar um gateway seguro do Chrome Enterprise Premium para proteger o acesso aos seus aplicativos da Web particulares.

Um gateway seguro do Chrome Enterprise Premium funciona como um proxy de encaminhamento, aplicando uma estrutura de acesso zero trust e oferecendo controle granular e baseado no contexto sobre quem acessa seus aplicativos da Web particulares.

Como funciona a proteção do acesso a aplicativos da Web particulares

Ao estabelecer um túnel seguro e aplicar políticas de acesso baseado no contexto, o gateway seguro mantém os aplicativos particulares protegidos e isolados da exposição à Internet pública. Uma configuração de navegador do lado do cliente direciona o tráfego desses aplicativos pelo endpoint de proxy do gateway seguro. Em seguida, o gateway seguro aplica a política de acesso relevante e, se permitido, encaminha a solicitação para o aplicativo de destino.

O gateway seguro ajuda a proteger aplicativos da Web particulares hospedados nos seguintes ambientes:

• Google Cloud projeto: o gateway seguro pode acessar diretamente aplicativos em execução na sua rede VPC Google Cloud .

• NãoGoogle Cloud (data centers locais ou outras nuvens): primeiro, estabeleça uma conexão entre sua rede VPC privada noGoogle Cloud e a rede nãoGoogle Cloud . Isso geralmente é feito usando o Cloud VPN ou o Cloud Interconnect. Em seguida, o gateway seguro usa a conexão para enviar o tráfego à rede VPC particular, que o encaminha ao ambiente nãoGoogle Cloud .

Funções exigidas

Peça ao administrador para conceder os seguintes papéis:

• Administrador do Cloud BeyondCorp (roles/beyondcorp.admin) para configurar o Chrome Enterprise Premium no projeto

• Administrador do Access Context Manager (roles/accesscontextmanager.policyAdmin) para ler e adicionar novos níveis de acesso

• Leitor do Service Usage (roles/serviceusage.serviceUsageViewer) para usar o console do Google Cloud

Saiba mais sobre os papéis do Identity and Access Management (IAM).

Antes de começar

Antes de configurar o gateway seguro, verifique se você tem o seguinte:

• Uma licença do Chrome Enterprise Premium.
• Acesse o Google Admin Console com uma conta de administrador.
• O serviçoGoogle Cloud ativado para usuários.

• Um projeto do Google Cloud com uma conta de faturamento atribuída e a seguinte API ativada: API BeyondCorp

• Para aplicativos particulares em um ambiente que não seja doGoogle Cloud , uma conexão do Cloud VPN ou do Cloud Interconnect entre o ambiente doGoogle Cloud e o ambiente que não é doGoogle Cloud em que o aplicativo reside. Para mais informações sobre como configurar conexões de rede, consulte os seguintes recursos:

  • Documentação do Cloud VPN
  • Documentação do Cloud Interconnect

Configurar o ambiente shell

Para simplificar o processo de configuração e interagir com as APIs do gateway seguro, defina as seguintes variáveis de ambiente no shell de trabalho.

• Parameters gerais

  PROJECT_ID=PROJECT_ID
        

  Substitua:

  • PROJECT_ID: o ID do projeto em que o gateway seguro é criado.
• Parâmetros de gateway seguro

  SECURITY_GATEWAY_ID=SECURITY_GATEWAY_ID
  SECURITY_GATEWAY_DISPLAY_NAME="SECURITY_GATEWAY_DISPLAY_NAME"
        

  Substitua:

  • SECURITY_GATEWAY_ID: o ID do gateway seguro que você quer criar. O ID pode ter até 63 caracteres e conter letras minúsculas, números e hífens. O primeiro caractere precisa ser uma letra, e o último pode ser uma letra ou um número.
  • SECURITY_GATEWAY_DISPLAY_NAME: o nome legível do gateway seguro. O nome pode ter até 63 caracteres e incluir caracteres imprimíveis.

Criar um gateway seguro

Um gateway seguro do Chrome Enterprise Premium é um elemento básico para estabelecer conexões seguras com seus aplicativos.

gcloud beyondcorp security-gateways create SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --display-name="SECURITY_GATEWAY_DISPLAY_NAME" \
    --service-discovery={}
      

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -X POST \
    -d '{ "display_name": "SECURITY_GATEWAY_DISPLAY_NAME", "service_discovery": {} }' \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways?security_gateway_id=SECURITY_GATEWAY_ID"
      

Configurar um aplicativo da Web particular

Antes de definir recursos específicos do aplicativo no gateway seguro, você precisa configurar as permissões e as configurações de rede necessárias para ativar a conectividade e o roteamento adequado.

Conceda permissões à conta de serviço

Para enviar tráfego à rede VPC, o gateway seguro precisa de determinadas permissões do IAM concedidas à conta de serviço de delegação. Isso permite que o gateway seguro alcance seus aplicativos particulares, hospedados em uma VPC do Google Cloud ou em um ambiente que não é doGoogle Cloud conectado pelo Cloud VPN ou pelo Cloud Interconnect.

Para conceder permissões à conta de serviço, faça o seguinte:

1. Confira os detalhes do seu gateway seguro para identificar o e-mail da conta de serviço delegada. O e-mail está no campo delegatingServiceAccount da resposta.

   gcloud

   gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID \
       --project=PROJECT_ID \
       --location=global
                  

   REST

   curl \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json" \
       "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID"
                  

2. Defina variáveis de ambiente para a conta de serviço e o projeto de VPC de destino. Para acessar o e-mail da conta de serviço, use o seguinte comando:

   DELEGATING_SERVICE_ACCOUNT=`gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID --project=PROJECT_ID --location=global --format="value(delegatingServiceAccount)"`
         

3. Conceda o papel do IAM roles/beyondcorp.upstreamAccess à conta de serviço delegada no projeto de VPC particular.

   gcloud projects add-iam-policy-binding PRIVATE_VPC_PROJECT_ID \
       --role=roles/beyondcorp.upstreamAccess \
       --member=serviceAccount:DELEGATING_SERVICE_ACCOUNT
       

   Substitua PRIVATE_VPC_PROJECT_ID pelo ID do projeto da rede VPC em que o app da Web particular está implantado ou em que o Cloud VPN/Interconnect está configurado.

Aguarde aproximadamente dois minutos para que a política do Identity and Access Management entre em vigor depois de conceder o papel.

Configurar o roteamento de rede e as regras de firewall

Para permitir que o tráfego do gateway seguro alcance seus aplicativos da Web particulares, configure regras de firewall, roteamento de rede e configurações de DNS.

Regras de firewall para aplicativos em Google Cloud

Se o aplicativo da Web particular estiver hospedado na rede VPC Google Cloud , como em uma VM do Compute Engine, um serviço do Google Kubernetes Engine com um IP interno ou atrás de um balanceador de carga TCP/UDP interno, configure as regras de firewall da VPCGoogle Cloud . Isso permite o tráfego TCP de entrada do intervalo de IP do gateway seguro: 136.124.16.0/20.

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
   --project=PRIVATE_VPC_PROJECT_ID \
   --network=NETWORK_NAME \
   --allow=tcp \
   --source-ranges=136.124.16.0/20
      

Regras de firewall para aplicativos em ambientes que não sãoGoogle Cloud

Se o aplicativo Web particular estiver em um data center local ou na rede de outro provedor de nuvem e estiver conectado à sua VPC Google Cloudusando o Cloud VPN ou o Cloud Interconnect, configure regras de firewall no firewall local ou nos controles de segurança de rede equivalentes, como grupos de segurança e ACLs de rede, no outro ambiente de nuvem. Isso permite o tráfego TCP de entrada do intervalo de IP do gateway seguro: 136.124.16.0/20.

Configurar o roteamento de ambientes que não são doGoogle Cloud para um gateway seguro

Para facilitar a comunicação bidirecional de aplicativos particulares hospedados em ambientes que não são doGoogle Cloud , como locais ou outras nuvens, sua rede externa precisa criar um caminho de retorno para o seguinte intervalo de IP do gateway seguro: 136.124.16.0/20.

Verifique se a rede particular pode acessar os intervalos de IP do gateway seguro pelo Cloud VPN ou Cloud Interconnect:

• Roteamento dinâmico: se você estiver usando roteamento dinâmico, como o protocolo de gateway de borda (BGP) com o Cloud Router, verifique se o Cloud Router em Google Cloud divulga explicitamente os intervalos de IP do gateway seguro para seu dispositivo BGP local. Embora o BGP troque dinamicamente muitas rotas, os intervalos de IP do gateway seguro exigem divulgação explícita.

  gcloud

  Para verificar se o intervalo de origem está sendo anunciado, execute o seguinte comando:

  gcloud compute routers list-bgp-routes ROUTER_NAME \
  --peer=PEER_NAME \
  --region=REGION \
  --project=PROJECT_ID \
  --route-direction=OUTBOUND \
  --address-family=IPV4 \
  --destination-range=136.124.16.0/20
        

  Substitua:

  • ROUTER_NAME: o nome do seu Cloud Router.
  • PEER_NAME: o nome do seu peering do BGP.
  • REGION: a região em que o roteador está localizado.
  • PROJECT_ID: o ID do projeto que contém o roteador.

• Roteamento estático: se você estiver usando rotas estáticas, adicione manualmente rotas para cada um dos intervalos de IP do gateway seguro no equipamento da rede local, como roteador ou firewall. Essas rotas estáticas precisam especificar que o tráfego destinado aos intervalos de IP do gateway seguro precisa ser enviado pela conexão do Cloud VPN ou do Cloud Interconnect.

  Ao usar o roteamento estático, o Cloud VPN precisa estar em uma das seguintes regiões compatíveis:

  • africa-south1
  • asia-east1
  • asia-south1
  • asia-south2
  • asia-southeast1
  • europe-central2
  • europe-north1
  • europe-southwest1
  • europe-west1
  • europe-west2
  • europe-west3
  • europe-west4
  • europe-west8
  • europe-west9
  • northamerica-northeast1
  • northamerica-northeast2
  • northamerica-south1
  • southamerica-east1
  • southamerica-west1
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-west1

Configuração de DNS para resolução de nome do host particular do gateway seguro

Para que o gateway seguro resolva os nomes de host do aplicativo particular, a rede VPCGoogle Cloud precisa resolver os nomes de host usando o Cloud DNS. A configuração específica do Cloud DNS depende de onde seus registros de DNS particulares estão hospedados de forma autoritativa:

• Aplicativos em Google Cloud usando zonas particulares do Cloud DNS: se os aplicativos particulares estiverem hospedados em Google Cloud e os registros DNS forem gerenciados em zonas particulares do Cloud DNS associadas à rede VPC, verifique se as zonas estão configuradas e acessíveis corretamente. O gateway seguro usa os recursos de resolução de DNS do Cloud DNS da sua VPC.

• Aplicativos em ambientes que não são doGoogle Cloud ou que usam servidores DNS externos: se os aplicativos particulares estiverem em ambientes que não são doGoogle Cloud(locais ou outras nuvens) ou se os registros DNS deles forem gerenciados por servidores DNS externos às zonas particulares do Cloud DNS da VPC, configure o Cloud DNS para encaminhar consultas desses domínios particulares. Normalmente, isso envolve a criação de zonas de encaminhamento do Cloud DNS na VPC. Essas zonas direcionam consultas DNS para seus domínios particulares especificados aos servidores DNS particulares autoritativos, como locais ou outras nuvens.

Para instruções detalhadas sobre a configuração de DNS, consulte Criar uma zona de encaminhamento.

Criar um recurso de aplicativo

Para dar acesso a um aplicativo da Web particular, é necessário estabelecer o aplicativo na estrutura de gateway seguro criando um recurso de aplicativo. Esse recurso define como o gateway seguro identifica o tráfego do aplicativo (com base no nome do host) e para onde ele é roteado.

1. Execute o comando a seguir para definir as variáveis de ambiente necessárias:

      APPLICATION_ID=APPLICATION_ID
      APP_DISPLAY_NAME="APP_DISPLAY_NAME"
      HOST_NAME=HOST_NAME
      PRIVATE_NETWORK_RESOURCE_NAME=PRIVATE_NETWORK_RESOURCE_NAME
      

   Substitua:
   • APPLICATION_ID: um ID exclusivo para o recurso de aplicativo.
   • APP_DISPLAY_NAME: o nome legível a ser mostrado.
   • HOST_NAME: o nome do host principal que os usuários acessam (por exemplo, private.local).
   • PRIVATE_NETWORK_RESOURCE_NAME: o nome completo do recurso da rede VPC (por exemplo, projects/my-project/global/networks/my-network).
2. Crie o recurso do aplicativo.

   Console

   Para criar o recurso de aplicativo usando o console Google Cloud , faça o seguinte:

   1. No console do Google Cloud , acesse a página gateway seguro.
      Acessar o gateway seguro
   2. Para adicionar um aplicativo, clique em Adicionar aplicativo.
   3. Selecione o tipo de aplicativo: Aplicativo particular.
   4. Insira os detalhes do aplicativo:
      • Nome do aplicativo: insira um nome, por exemplo, GitHub.
      • Correspondedores de domínio: insira uma lista separada por vírgulas de padrões de domínio para rotear pelo gateway seguro. Inclua a porta no formato domain:port. Caracteres curinga (*) são permitidos. Exemplo: github.com:443.
   5. Configure a rede VPC:
      • No projeto atual: se a rede VPC estiver no projeto atual, escolha a rede VPC no menu suspenso.
      • Em outro projeto: se a rede VPC estiver em um projeto Google Cloud diferente, especifique o nome completo do recurso da rede VPC, por exemplo, projects/my-project/global/networks/my-network.
   6. Opcional: Definir política de saída: selecione uma ou mais regiões Google Cloud no menu suspenso.
   7. Opcional: Defina uma política de acesso: selecione uma política de acesso do Access Context Manager. Você pode pular esta etapa neste guia.
   8. Para criar o recurso de aplicativo, clique em Criar.

   gcloud

   Para criar o recurso do aplicativo usando a gcloud, execute o seguinte comando:

   gcloud beyondcorp security-gateways applications create APPLICATION_ID \
       --project=PROJECT_ID \
       --security-gateway=SECURITY_GATEWAY_ID \
       --location=global \
       --display-name="APP_DISPLAY_NAME" \
       --endpoint-matchers="hostname=HOST_NAME,ports=[443]" \
       --upstreams=network=name="PRIVATE_NETWORK_RESOURCE_NAME"
           

   Para especificar uma região de saída (por exemplo, ao usar rotas estáticas), adicione a flag --egress-regions:

   gcloud beyondcorp security-gateways applications create APPLICATION_ID \
       --project=PROJECT_ID \
       --security-gateway=SECURITY_GATEWAY_ID \
       --location=global \
       --display-name="APP_DISPLAY_NAME" \
       --endpoint-matchers="hostname=HOST_NAME,ports=[443]" \
       --upstreams=network=name="PRIVATE_NETWORK_RESOURCE_NAME",egressPolicy=regions=us-central1
           

   Substitua us-central1 pela Google Cloud região (como europe-west1 ou asia-northeast1) que se alinha à sua configuração de roteamento estático regional. Se você não tiver requisitos específicos de roteamento estático regional, poderá omitir a política de saída da sua configuração.

   REST

   Para criar um recurso de aplicativo com a API, siga estas etapas:

   1. Crie um arquivo chamado application.json.

      {
      "display_name": "APP_DISPLAY_NAME",
      "endpoint_matchers": [
         {"hostname": "HOST_NAME", "ports": [443]}
      ],
      "upstreams": [{
         "network": {
            "name": "PRIVATE_NETWORK_RESOURCE_NAME"
         }
      }]
      }
               

      Para especificar uma região de saída (por exemplo, ao usar rotas estáticas), adicione um egress_policy à configuração upstream:

      {
      "display_name": "APP_DISPLAY_NAME",
      "endpoint_matchers": [
         {"hostname": "HOST_NAME", "ports": [443]}
      ],
      "upstreams": [{
         "network": {
            "name": "PRIVATE_NETWORK_RESOURCE_NAME"
         },
         "egress_policy": {
            "regions": [
            "us-central1"
            ]
         }
      }]
      }
                

      Substitua us-central1 pela Google Cloud região (como europe-west1 ou asia-northeast1) que se alinha à sua configuração de roteamento estático regional. Se você não tiver requisitos específicos de roteamento estático regional, poderá omitir a política de saída da sua configuração.

   2. Chame o método de API Create.

      curl \
          -H "Authorization: Bearer $(gcloud auth print-access-token)" \
          -H "Content-Type: application/json" \
          -X POST \
          -d @application.json \
          "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications?application_id=APPLICATION_ID"
                

Configurar uma política de acesso

É possível aplicar uma política de acesso para controlar o acesso no nível do aplicativo. Se nenhuma política de acesso for configurada, o acesso ao aplicativo será negado por padrão.

gcloud beyondcorp security-gateways add-iam-policy-binding SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.serviceDiscoveryUser" \
    --member=MEMBER
  

gcloud beyondcorp security-gateways applications add-iam-policy-binding APPLICATION_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.sgApplicationUser" \
    --member=MEMBER
  

gcloud beyondcorp security-gateways applications add-iam-policy-binding APPLICATION_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.sgApplicationUser" \
    --member=MEMBER \
    --condition="expression='accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels,title=Source IP must be in US"
  

gcloud beyondcorp security-gateways remove-iam-policy-binding SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.serviceDiscoveryUser" \
    --member=MEMBER
  

gcloud beyondcorp security-gateways applications remove-iam-policy-binding APPLICATION_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.sgApplicationUser" \
    --member=MEMBER
  

gcloud beyondcorp security-gateways applications remove-iam-policy-binding APPLICATION_ID \
    --security-gateway=SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global \
    --role="roles/beyondcorp.sgApplicationUser" \
    --member=MEMBER \
    --condition="expression='accessPolicies/1234567890/accessLevels/in_us' in request.auth.access_levels,title=Source IP must be in US"
  

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID:getIamPolicy" > gateway_policy.json
  

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.serviceDiscoveryUser",
      "members": [
        "group:existing-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}
  

jq '{policy: .}' gateway_policy.json | curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d @- \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID:setIamPolicy"
  

curl \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:getIamPolicy" > policy.json
  

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:existing-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}
      

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:existing-group@example.com",
        "group:new-group@example.com"
      ]
    }
  ],
  "etag": "BwXN8_d-bOM="
}
    

jq '{policy: .}' policy.json | curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d @- \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID/applications/APPLICATION_ID:setIamPolicy"
  

{
  "version": 3,
  "bindings": [
    {
      "role": "roles/beyondcorp.sgApplicationUser",
      "members": [
        "group:group@example.com"
      ],
      "condition": {
        "expression": "request.auth.access_levels.contains('accessPolicies/1234567890/accessLevels/in_us')",
        "title": "Source IP must be in US"
      }
    }
  ],
  "etag": "BwXN8_d-bOM="
}
  

  device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_PROFILE_MANAGED
  

Instalar a extensão do Chrome Enterprise Premium

A extensão do Chrome Enterprise Premium é parte integrante de um gateway seguro e ajuda na autenticação. Instale a extensão para todos os usuários do gateway seguro. Para informações sobre como implantar a extensão, consulte Ver e configurar apps e extensões. Para instalar a extensão do Chrome Enterprise Premium, faça o seguinte:

1. Acesse o Google Admin Console.
2. Clique em Navegador Chrome > Apps e extensões.
3. Clique na guia Usuários e navegadores.
4. Para adicionar a extensão do Chrome, clique no botão + e selecione Adicionar o app ou a extensão do Chrome pelo código.

5. Procure a extensão Secure Enterprise Browser usando o seguinte ID e defina a política de instalação como Instalação forçada para todos os usuários na unidade organizacional ou no grupo:

   ekajlcmdfcigmdbphhifahdfjbkciflj

6. Clique na extensão instalada e, no campo Política para extensões, insira o seguinte valor JSON:

   {
     "securityGateway": {
       "Value": {
         "authentication": {},
         "context": { "resource": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" },
         "serviceDiscovery": { "routes": {} }
       }
     }
   }

   Substitua:

   • PROJECT_ID: o ID do projeto em que o gateway seguro está configurado
   • SECURITY_GATEWAY_ID: o ID do gateway seguro

7. Para salvar a configuração, clique em Salvar.

Configuração legada de arquivo PAC

Quando ativada, a descoberta de serviços permite que o cliente do navegador Chrome detecte e roteie automaticamente o tráfego para os aplicativos configurados pelo gateway seguro. Assim, não é necessário fazer configurações de roteamento manuais usando um arquivo PAC.

Se o Service Discovery não estiver ativado no gateway seguro, você terá uma configuração legada. Você precisará configurar um arquivo PAC para controlar o roteamento no cliente do navegador Chrome.

Para verificar se você tem a configuração legada, use os comandos a seguir para conferir se a descoberta de serviços está ativada:

gcloud beyondcorp security-gateways describe SECURITY_GATEWAY_ID \
    --project=PROJECT_ID \
    --location=global | grep -i "serviceDiscovery"
      

curl --silent \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID" | grep -i "serviceDiscovery"
      

Se o comando não retornar nada, seu gateway usa a configuração legada. Para gateways que usam a configuração legada, o roteamento é processado usando um arquivo PAC hospedado.

Etapa 1: criar e hospedar o arquivo PAC

1. Crie um arquivo chamado pac_config.js com o seguinte JavaScript, substituindo HOST_NAME pelo domínio do seu aplicativo (por exemplo, myapp.example.com):

   function FindProxyForURL(url, host) {
     const PROXY = "HTTPS via.prod.securegateway.goog:443";
     const sites = ["HOST_NAME"];
   
     for (const site of sites) {
       if (shExpMatch(url, 'https://' + site + '/*') || shExpMatch(url, '*.' + site + '/*')) {
         return PROXY;
       }
     }
     return 'DIRECT';
   }

2. Faça upload do arquivo PAC para um serviço de hospedagem, como um bucket do Cloud Storage.

   • Verifique se o arquivo pode ser baixado publicamente.
   • Defina o cabeçalho HTTP Cache-Control como no-cache para que os navegadores sempre busquem as regras de roteamento mais recentes.

3. Copie o URL público do arquivo PAC enviado.

Etapa 2: aplicar o arquivo PAC no Google Admin Console

1. Acesse o Google Admin Console.
2. Acesse Dispositivos > Chrome > Configurações.
3. Selecione sua unidade organizacional ou grupo e clique em Modo de proxy.
4. Em Modo de proxy, selecione Sempre usar a configuração automática de proxy especificada abaixo.
5. Insira o URL público do arquivo PAC hospedado no campo fornecido.
6. Clique em Salvar.

Etapa 3: configurar a extensão do Chrome Enterprise Premium

A extensão é necessária para processar a autenticação. Essa política de extensão difere da configuração padrão porque exclui o bloco serviceDiscovery.

1. No Google Admin Console, acesse Navegador Chrome > Apps e extensões.
2. Acesse a guia Usuários e navegadores e verifique se a extensão do Secure Enterprise Browser (ekajlcmdfcigmdbphhifahdfjbkciflj) foi adicionada e aplicada.

3. Clique na extensão e, no campo Política para extensões, insira o seguinte valor JSON:

   {
     "securityGateway": {
       "Value": {
         "authentication": {},
         "context": {
           "resource": "projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID"
         }
       }
     }
   }

4. Clique em Salvar.

Fazer a transição para a configuração de descoberta de serviços

Para fazer a transição do gateway seguro legado de uma configuração de arquivo PAC para a configuração mais recente de descoberta de serviços, é necessário ativar manualmente o recurso e atualizar as configurações.

1. Ative a descoberta de serviços no gateway seguro: atualize o gateway atual para ativar a descoberta de serviços.

   gcloud

   gcloud beyondcorp security-gateways update SECURITY_GATEWAY_ID \
   --project=PROJECT_ID \
   --location=global \
   --service-discovery={}
         

   REST

   curl -X PATCH \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   -d '{ "service_discovery": {} }' \
   "https://beyondcorp.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityGateways/SECURITY_GATEWAY_ID?updateMask=service_discovery"
         

2. Defina a política de acesso no nível do gateway: conceda aos usuários a função roles/beyondcorp.serviceDiscoveryUser no nível do gateway para que eles possam usar a descoberta de serviços. Siga as instruções na seção Adicionar uma vinculação no nível do gateway do Service Discovery.

3. Atualize a configuração da extensão do Chrome Enterprise Premium: siga as instruções na seção Instalar a extensão do Chrome Enterprise Premium para atualizar sua política de extensão. A nova configuração JSON precisa incluir o bloco "serviceDiscovery": { "routes": {} }.

4. Remova o arquivo PAC legado: depois que a descoberta de serviços for ativada, o arquivo PAC legado não será mais necessário.

   1. No Google Admin Console, acesse Dispositivos > Chrome > Configurações > Configurações do navegador e usuário > Rede.
   2. Encontre a configuração Modo de proxy.
   3. Remova o URL de configuração automática de proxy (PAC) ou mude a configuração de Sempre usar a configuração automática de proxy especificada abaixo para um modo adequado à sua rede, como Permitir que o usuário configure.
   4. Clique em Salvar.

Experiência do usuário final

Quando a configuração é concluída, os usuários finais que acessam o aplicativo SaaS protegido recebem ou têm o acesso negado com base na política de acesso aplicada ao aplicativo.

Como acessar o aplicativo no Chrome

A extensão do Chrome Enterprise Premium é necessária para direcionar o tráfego pelo gateway seguro. A extensão processa a autenticação entre o usuário e o gateway seguro. A extensão é instalada automaticamente pela política do domínio.

Quando os usuários acessam o aplicativo SaaS configurado, o tráfego deles passa pelo gateway seguro, que verifica se eles atendem à política de acesso. Se os usuários passarem nas verificações da política de acesso, eles vão receber acesso ao aplicativo.

Quando o acesso do navegador ao aplicativo é rejeitado pela política de autorização, os usuários recebem uma mensagem Access denied.

A seguir

• Resolver problemas de gateway seguro
• Gerenciar um gateway seguro