証明書ベースのアクセス(CBA)を使用すると、Google Cloud リソースへのアクセスに検証済みの X.509 証明書を要求できます。追加の認証情報はデバイス ID のシグナルを強化し、アクセス権を付与する前に、ユーザー認証情報と元のデバイス証明書の両方を要求することで、認証情報の盗難や偶発的な紛失から組織を保護します。
署名なしトークンなどの認証情報のみを使用して Google Cloud APIs とリソースへのアクセスを許可すると、リスクが発生する可能性があります。これらの認証情報は、ユーザーエラーによって公開されたり、攻撃者の主要な標的になったりするおそれがあります。認証情報を取得したら、認証情報をリプレイしてリソースにアクセスできます。
CBA を使用すると、追加の承認要素(デバイス証明書)を要求することで、リソースのセキュリティを強化できます。デバイス証明書は、相互 TLS handshake を使用して検証および確認されます。この場合、ユーザーは証明書に関連付けられた秘密鍵の所有を証明する必要があるため、デバイス ID の強力なシグナルが得られます。
次の図は、CBA のアクセスフローの概要を示しています。
Google CBA を使用するメリット
CBA を使用するメリットは次のとおりです。
- 包括的なセキュリティ
- Cookie 盗難など、信頼されていないデバイスからの盗まれた認証情報を使用したアクセスを防ぐことで、重要なリソースを保護します。
- アクセス ポイントに関係なく、すべての Google Cloud API リクエスト(オンプレミスや Google ネットワーク、ウェブブラウザやデスクトップ アプリケーションなど)を保護します。
- きめ細かいポリシー制御
- VPC Service Controls のサービス境界とシームレスに連携するため、リソースに対してきめ細かいアクセス制御を指定できます。
- ユーザー グループとシームレスに連携し、ユーザーのグループに CBA を適用できます。
- 優れたデベロッパー エクスペリエンス
- gcloud CLI などの一般的なライブラリとツールでの CBA のサポートが自動化されるため、CBA の使用によるプログラミング費用を削減できます。