É possível usar o acesso baseado em certificado (CBA) para exigir certificados X.509 verificados para acesso a Google Cloud recursos. A credencial extra fornece um sinal mais forte da identidade do dispositivo e ajuda a proteger sua organização contra roubo de credenciais ou perda acidental, exigindo que as credenciais do usuário e o certificado do dispositivo original estejam presentes antes de conceder acesso.
Confiar apenas em credenciais, como tokens de portador, para conceder acesso às APIs e aos recursos Google Cloud pode colocar você em risco. Essas credenciais podem ser expostas por erro do usuário ou se tornar alvos principais de invasores. Se os invasores conseguirem as credenciais, eles poderão usá-las para acessar recursos.
Ao usar a CBA, você aumenta a segurança dos seus recursos exigindo um fator de autorização extra, um certificado de dispositivo. Os certificados do dispositivo são validados e verificados usando um handshake TLS mútuo. Isso exige que os usuários provem a posse da chave privada associada ao certificado, fornecendo um indicador forte da identidade do dispositivo.
Confira a seguir uma ilustração de alto nível do fluxo de acesso do CBA:
Benefícios do uso do CBA do Google
Confira a seguir alguns dos benefícios do uso da CBA.
- Segurança abrangente
- Protege seus recursos importantes impedindo o acesso usando credenciais roubadas de dispositivos não confiáveis, como o roubo de cookies.
- Protege todas as solicitações de Google Cloud API, independentemente dos pontos de acesso, incluindo redes locais ou do Google, além de navegadores da Web ou aplicativos de computador.
- Controle de políticas granular
- Funciona perfeitamente com os perímetros de serviço do VPC Service Controls e permite especificar um controle de acesso detalhado sobre seus recursos.
- Funciona perfeitamente com grupos de usuários e permite aplicar a CBA a um grupo de usuários.
- Boa experiência do desenvolvedor
- Suporte automatizado de CBA em bibliotecas e ferramentas comuns, como a CLI gcloud, que reduz o custo de programação do uso de CBA.