Puedes usar el acceso basado en certificados (CBA) para exigir certificados X.509 verificados para el acceso a los recursos de Google Cloud . La credencial adicional proporciona una señal más sólida de identidad de dispositivo y ayuda a proteger a tu organización contra el robo de credenciales o la pérdida accidental, ya que requiere que se presenten las credenciales del usuario y el certificado de dispositivo original antes de otorgar acceso.
Depender solo de credenciales, como tokens de portador, para otorgar acceso a las APIs y los recursos de Google Cloudpuede ponerte en riesgo. Esas credenciales pueden exponerse por un error del usuario o convertirse en objetivos principales para los atacantes. Si los atacantes obtienen las credenciales, pueden volver a reproducirlas para acceder a los recursos.
Cuando usas la CBA, mejoras la seguridad de tus recursos, ya que requieres un factor de autorización adicional, un certificado de dispositivo. Los certificados del dispositivo se validan y verifican con un protocolo de enlace TLS mutuo. Esto requiere que los usuarios demuestren la posesión de la clave privada asociada con el certificado, lo que proporciona un indicador sólido de la identidad del dispositivo.
A continuación, se muestra una ilustración de alto nivel del flujo de acceso de la CBA:
Beneficios de usar el CBA de Google
A continuación, se muestran algunos de los beneficios de usar el CBA.
- Seguridad integral
- Protege tus recursos importantes, ya que evita el acceso con credenciales robadas desde dispositivos no confiables, como el robo de cookies.
- Protege todas las Google Cloud solicitudes a la API, independientemente de los puntos de acceso, incluidas las redes locales o de Google, y los navegadores web o las aplicaciones para computadoras de escritorio.
- Control de políticas detallado
- Funciona sin problemas con los perímetros de servicio de los Controles del servicio de VPC y te permite especificar un control de acceso detallado sobre tus recursos.
- Funciona sin problemas con los grupos de usuarios y te permite aplicar la CBA a un grupo de usuarios.
- Buena experiencia del desarrollador
- Compatibilidad automatizada con CBA en bibliotecas y herramientas comunes, como la CLI de gcloud, que reduce el costo de programación de usar CBA.