Puedes usar el acceso basado en certificados (CBA) para solicitar certificados X.509 verificados a fin de acceder a los recursos de Google Cloud. La credencial adicional proporciona un indicador más claro de la identidad del dispositivo y ayuda a proteger tu organización contra el robo de credenciales o la pérdida accidental, ya que requiere que las credenciales del usuario y el certificado original del dispositivo estén presentes antes de otorgar acceso.
Depender solo de credenciales, como los tokens del portador, para otorgar acceso a las APIs y los recursos de Google Cloud puede ponerte en riesgo. Esas credenciales pueden quedar expuestas por un error del usuario o convertirse en los objetivos principales de los atacantes. Si los atacantes obtienen las credenciales, pueden volver a reproducirlas para acceder a los recursos.
Cuando usas la CBA, mejoras la seguridad de tus recursos, ya que requieres un factor de autorización adicional, un certificado del dispositivo. Los certificados del dispositivo se validan y verifican mediante un protocolo de enlace TLS mutuo. Esto requiere que los usuarios prueben la posesión de la clave privada asociada con el certificado, lo que proporciona un indicador claro de la identidad del dispositivo.
A continuación, se incluye una ilustración de alto nivel del flujo de acceso a la CBA:
Los beneficios de usar la CBA de Google
A continuación, presentamos algunos de los beneficios de usar la CBA.
- Seguridad integral
- Protege tus recursos importantes evitando el acceso con credenciales robadas de dispositivos que no son de confianza, como el robo de cookies.
- Protege todas las solicitudes a la API de Google Cloud sin importar los puntos de acceso, incluidas las redes locales o de Google, y los navegadores web o las aplicaciones para computadoras.
- Control de políticas detallado
- Funciona a la perfección con los perímetros de servicio de los Controles del servicio de VPC y te permite especificar un control de acceso detallado sobre tus recursos.
- Funciona a la perfección con los grupos de usuarios y te permite aplicar CBA a un grupo de usuarios.
- Buena experiencia para desarrolladores
- Compatibilidad automatizada con CBA en bibliotecas y herramientas comunes, como gcloud CLI, que reduce el costo de programación de usar CBA.