Anda dapat menggunakan akses berbasis sertifikat (CBA) untuk mewajibkan sertifikat X.509 terverifikasi agar dapat mengakses resource Google Cloud. Kredensial tambahan memberikan sinyal identitas perangkat yang lebih kuat dan membantu melindungi organisasi Anda dari pencurian kredensial atau kehilangan yang tidak disengaja dengan mewajibkan kredensial pengguna dan sertifikat perangkat asli tersedia sebelum memberikan akses.
Jika Anda hanya mengandalkan kredensial, seperti token pemilik, untuk memberikan akses ke Google Cloud API dan resource, Anda dapat berisiko. Kredensial tersebut dapat terekspos oleh {i>error <i} pengguna atau menjadi target utama penyerang. Jika penyerang mendapatkan kredensial, mereka dapat memutar ulang kredensial untuk mengakses resource.
Dengan menggunakan CBA, Anda meningkatkan keamanan resource dengan mewajibkan faktor otorisasi tambahan, yaitu sertifikat perangkat. Sertifikat perangkat divalidasi dan diverifikasi menggunakan handshake TLS bersama. Hal ini mengharuskan pengguna untuk membuktikan kepemilikan kunci pribadi yang terkait dengan sertifikat, sehingga memberikan sinyal yang kuat identitas perangkat.
Berikut adalah ilustrasi tingkat tinggi dari alur akses CBA:
Manfaat menggunakan Google CBA
Berikut adalah beberapa manfaat menggunakan CBA.
- Keamanan Komprehensif
- Melindungi resource penting Anda dengan mencegah akses menggunakan kredensial yang dicuri dari perangkat tidak tepercaya, seperti pencurian cookie.
- Melindungi semua permintaan Google Cloud API terlepas dari titik akses, termasuk jaringan lokal atau Google, dan browser web atau aplikasi desktop.
- Kontrol Kebijakan yang Jelas
- Berfungsi lancar dengan perimeter layanan Kontrol Layanan VPC dan memungkinkan Anda menentukan kontrol akses yang terperinci atas resource Anda.
- Berfungsi lancar dengan grup pengguna dan memungkinkan Anda menerapkan CBA ke sekelompok pengguna.
- Pengalaman Developer yang Baik
- Dukungan CBA otomatis di library dan alat umum, seperti gcloud CLI, yang mengurangi biaya pemrograman penggunaan CBA.