您可以使用基于证书的访问权限 (CBA),要求经过验证的 X.509 证书才能访问 Google Cloud 资源。通过要求在授予访问权限之前同时提供用户凭据和原始设备证书,该附加凭据可以提供更强大的设备标识信号,并有助于保护您的组织免遭凭据被盗或意外丢失。
仅依赖不记名令牌等凭据来授予对 Google Cloud API 和资源的访问权限可能会让您面临风险。这些凭据可能会因用户错误而暴露,或者成为攻击者的主要目标。如果攻击者获取凭据,则可以重放凭据来访问资源。
通过使用 CBA,您可以要求额外的授权因素(设备证书),从而提高资源的安全性。设备证书使用双向 TLS 握手进行验证和验证。这要求用户证明拥有与证书关联的私钥,从而提供强烈的设备身份信号。
下图是 CBA 访问流程的简要说明:
使用 Google CBA 的优势
以下是使用 CBA 的一些好处。
- 全面安全保障
- 防止使用不受信任的设备被盗凭据进行访问(例如盗取 Cookie),从而保护您的重要资源。
- 保护所有 Google Cloud API 请求,无论接入点如何,包括本地或 Google 网络,以及网络浏览器或桌面应用。
- 精细的政策控制
- 可与 VPC Service Controls 服务边界无缝配合使用,并允许您指定对资源的精细访问权限控制。
- 与用户群组无缝协作,让您可以将 CBA 应用于一组用户。
- 良好的开发者体验
- 在 gcloud CLI 等常用库和工具中提供自动 CBA 支持,从而降低使用 CBA 的编程成本。