こんにちは、さとうです。
いきなりですが、タイトルは釣りです。
BeyondCorp Remote Accessではなく、「Securing App Engine apps with IAP を やってみた」 が 正しいです。
BeyondCorp Remote Accessとは?
BeyondCorp Remote Accessというソリューション単独ではなく、機能の集合体の結果としてBeyondCorp Remote Accessが実現できるものになります。
また、現時点ではこれができたからBeyondCorp Remote Accessが終わったという定義は無いとドキュメントを見る限りでは判断しています。
https://cloud.google.com/solutions/beyondcorp-remote-access
私なりの理解ですが、、、、
BeyondCorp Remote Accessは、GAEやGCP/オンプレミスのアプリケーションをGoogleアカウントを利用した認証を行うことによってセキュアにインターネットに公開できる仕組みかと思っています。
ユースケースの検証
今回は、BeyondCorp Remote Accessのユースケースとして記載されている2つのケースから、Googleクラウド上でホストされている場合について検証します。
-
Enable secure access to apps hosted on-premises or on another cloud オンプレミスまたは別のクラウド上でホストされているアプリへの安全なアクセスを可能にします。
-
Enable secure access to apps hosted on Google Cloud 【こちらを検証】 Google クラウド上でホストされているアプリへの安全なアクセスを可能にする
Securing App Engine apps with IAP
Identity-Aware Proxyを利用して、GAEのアプリケーションをGoogle認証した状態で公開する手順となります。
Identity-Aware ProxyはContext-Aware Accessの環境を実現するための機能となり、ライセンスが必要になります。
この機能は、G Suite Enterprise、G Suite Enterprise for Education、Drive Enterprise、Cloud Identity Premium でご利用いただけます。
https://support.google.com/a/answer/9275380?hl=ja
設定のドキュメントと構成図はこちらになります。
https://cloud.google.com/context-aware-access/docs/securing-app-engine
Google App Engine の構築
手順通りに進めていきます。
サンプルのApp Engineが用意されているため、Cloud Shellからデプロイします。
https://github.com/GoogleCloudPlatform/python-docs-samples
@cloudshell:~ ()$ gcloud projects list
@cloudshell:~ ()$ gcloud config set project YOUR-PROJECT-ID
@cloudshell:~ ()$ git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
@cloudshell:~ ()$ cd python-docs-samples/appengine/standard/users/
@cloudshell:~ ()$ gcloud app deploy
Identity-Aware Proxy の設定
Identity-Aware Proxyを有効化します。
OAuthの設定を行います。今回は設定名だけいれて内部向けとして保存します。
Identity-Aware Proxyに作成したサンプルアプリケーションが表示されてました。
ユーザをアサインして、設定を有効化します。
アプリケーションへアクセス
Identity-Aware Proxyに表示されている、アプリケーションのURLを選択します。
サンプルアプリケーションの画面が表示され、ログイン処理をするとGoogleの認証が求められアプリケーションにアクセスすることができました。
終わりに
今回は簡単なユースケースについてご紹介となりましたが、オンプレミスのアプリケーション公開もすることが可能とのことです。
BeyondCorp Remote Accessの考えを取り入れていき、VPNを利用しているアプリをインターネット公開していくことでVPNの削減、撤廃につなげることができるかと思われます。
さとうでした。
