您可以使用憑證式存取權 (CBA),要求使用者必須提供經過驗證的 X.509 憑證,才能存取 Google Cloud 資源。額外的憑證可提供更強的裝置身分信號,並要求使用者提供使用者憑證和原始裝置憑證,才能授予存取權,進而保護貴機構免於憑證遭竊或意外遺失。
如果您只依賴憑證 (例如權杖憑證) 來授予 Google CloudAPI 和資源的存取權,可能會發生風險。這些憑證可能會因使用者操作錯誤而曝光,或是成為攻擊者的首要目標。如果攻擊者取得憑證,就能重播憑證來存取資源。
使用 CBA 時,您必須提供額外的授權因素 (裝置憑證),藉此強化資源安全性。裝置憑證會透過 mTLS 握手驗證及驗證。這項功能要求使用者證明自己擁有與憑證相關聯的私密金鑰,藉此提供強烈的裝置身分信號。
以下概略說明 CBA 存取流程:
使用 Google CBA 的優點
以下是使用 CBA 的部分優點。
- Comprehensive Security
- 透過防止未經授權的裝置 (例如 Cookie 竊取) 使用遭竊的憑證,保護重要資源。
- 無論存取點為何 (包括內部或 Google 網路,以及網路瀏覽器或電腦應用程式),都能保護所有 Google Cloud API 要求。
- 精細的政策控制
- 可與 VPC Service Controls 服務範圍無縫搭配運作,讓您指定資源的精細存取權控管。
- 可與使用者群組完美搭配,讓您將 CBA 套用至一組使用者。
- 良好的開發人員體驗
- 在常見的程式庫和工具 (例如 gcloud CLI) 中提供自動化 CBA 支援功能,以降低使用 CBA 的程式設計成本。