Vous pouvez utiliser l'accès basé sur des certificats (CBA) pour exiger des certificats X.509 validés pour l'accès aux ressources Google Cloud. Le justificatif d'identité supplémentaire fournit un signal plus fort de l'identité de l'appareil et contribue à protéger votre organisation contre le vol d'identifiants ou la perte accidentelle en exigeant la présence des identifiants de l'utilisateur et du certificat de l'appareil d'origine avant d'accorder l'accès.
Le recours uniquement à des identifiants, comme les jetons de support, pour accorder l'accès aux API et aux ressources Google Cloud peut vous mettre en danger. Ces identifiants peuvent être exposés par les erreurs des utilisateurs ou devenir des cibles de choix pour les pirates informatiques. Si des pirates informatiques obtiennent les identifiants, ils peuvent les répéter pour accéder aux ressources.
En utilisant la CBA, vous renforcez la sécurité de vos ressources en exigeant un facteur d'autorisation supplémentaire : un certificat d'appareil. Les certificats d'appareil sont validés et validés à l'aide d'un handshake TLS mutuel. Les utilisateurs doivent prouver qu'ils sont en possession de la clé privée associée au certificat, fournissant ainsi un signal fort de l'identité de l'appareil.
Voici une illustration générale du flux d'accès à la CBA:
Avantages de l'utilisation de la CBA de Google
Voici quelques-uns des avantages de la CBA.
- Sécurité complète
- Protège vos ressources importantes en empêchant l'accès à l'aide d'identifiants volés à partir d'appareils non approuvés, comme le vol de cookies.
- Protège toutes les requêtes API Google Cloud, quels que soient les points d'accès, y compris les réseaux sur site ou Google, les navigateurs Web ou les applications de bureau.
- Contrôle ultraprécis des règles
- Elle est parfaitement compatible avec les périmètres de service VPC Service Controls et vous permet de spécifier un contrôle des accès précis à vos ressources.
- S'intègre parfaitement aux groupes d'utilisateurs et vous permet d'appliquer la CBA à un groupe d'utilisateurs.
- Bonne expérience de développement
- Prise en charge automatisée de la CBA dans les bibliothèques et les outils courants, tels que gcloud CLI, qui réduit les coûts de programmation liés à l'utilisation de la CBA.