Anda dapat menggunakan akses berbasis sertifikat (CBA) untuk mewajibkan sertifikat X.509 terverifikasi untuk akses ke resource Google Cloud. Kredensial tambahan memberikan sinyal identitas perangkat yang lebih kuat dan membantu melindungi organisasi Anda dari pencurian kredensial atau kehilangan tidak disengaja dengan mewajibkan kredensial pengguna dan sertifikat perangkat asli ada sebelum memberikan akses.
Hanya mengandalkan kredensial, seperti token pembawa, untuk memberikan akses ke API dan resource Google Cloud dapat membahayakan Anda. Kredensial tersebut dapat terekspos oleh error pengguna atau menjadi target utama bagi penyerang. Jika penyerang mendapatkan kredensial, mereka dapat memutar ulang kredensial untuk mengakses resource.
Dengan menggunakan CBA, Anda meningkatkan keamanan resource dengan mewajibkan faktor otorisasi tambahan, yaitu sertifikat perangkat. Sertifikat perangkat divalidasi dan diverifikasi menggunakan handshake TLS timbal balik. Hal ini mengharuskan pengguna membuktikan kepemilikan kunci pribadi yang terkait dengan sertifikat, sehingga memberikan sinyal identitas perangkat yang kuat.
Berikut adalah ilustrasi tingkat tinggi alur akses CBA:
Manfaat menggunakan CBA Google
Berikut adalah beberapa manfaat penggunaan CBA.
- Keamanan Komprehensif
- Melindungi resource penting Anda dengan mencegah akses menggunakan kredensial yang dicuri dari perangkat yang tidak tepercaya, seperti pencurian cookie.
- Melindungi semua permintaan Google Cloud API, terlepas dari titik aksesnya, termasuk jaringan Google atau lokal, serta aplikasi desktop atau browser web.
- Kontrol Kebijakan yang Sangat Terperinci
- Berfungsi dengan lancar dengan perimeter layanan Kontrol Layanan VPC dan memungkinkan Anda menentukan kontrol akses terperinci atas resource Anda.
- Berfungsi dengan lancar dengan grup pengguna dan memungkinkan Anda menerapkan CBA ke sekelompok pengguna.
- Pengalaman Developer yang Baik
- Dukungan CBA otomatis di library dan alat umum, seperti gcloud CLI, yang mengurangi biaya pemrograman penggunaan CBA.