Mit dem zertifikatbasierten Zugriff können Sie verifizierte X.509-Zertifikate für den Zugriff auf Google Cloud-Ressourcen anfordern. Die zusätzlichen Anmeldedaten bieten ein stärkeres Signal für die Geräteidentität und tragen zum Schutz Ihrer Organisation vor Anmeldedatendiebstahl oder versehentlichen Verlusten bei, da sowohl die Nutzeranmeldedaten als auch das ursprüngliche Gerätezertifikat vorhanden sein müssen, bevor Zugriff gewährt wird.
Wenn Sie nur Anmeldedaten wie Inhabertokens verwenden, um Zugriff auf die APIs und Ressourcen von Google Cloud zu gewähren, kann dies ein Risiko darstellen. Diese Anmeldedaten können durch Nutzerfehler preisgegeben oder zu Hauptzielen für Angreifer werden. Wenn Angreifer die Anmeldedaten erhalten, können sie die Anmeldedaten noch einmal abspielen, um auf Ressourcen zuzugreifen.
Mit CBA erhöhen Sie die Sicherheit Ihrer Ressourcen, da ein zusätzlicher Autorisierungsfaktor und ein Gerätezertifikat erforderlich sind. Gerätezertifikate werden mithilfe eines gegenseitigen TLS-Handshakes validiert und überprüft. Dies erfordert, dass Nutzer einen privaten Schlüssel für das Zertifikat haben, was ein starkes Signal für die Geräteidentität ist.
Im Folgenden finden Sie eine detaillierte Darstellung des CBA-Zugriffsablaufs:
Vorteile der CBA von Google
Im Folgenden sind einige Vorteile der CBA aufgeführt.
- Umfassende Sicherheit
- Schützt Ihre wichtigen Ressourcen, indem der Zugriff mit gestohlenen Anmeldedaten von nicht vertrauenswürdigen Geräten wie Cookie-Diebstahl verhindert wird.
- Schützt alle Google Cloud API-Anfragen unabhängig von Zugriffspunkten, einschließlich lokaler oder Google-Netzwerke, und Webbrowser- oder Desktopanwendungen.
- Detaillierte Richtlinienkontrolle
- Funktioniert nahtlos mit Dienstperimetern von VPC Service Controls und ermöglicht die präzise Zugriffssteuerung über Ihre Ressourcen.
- Funktioniert nahtlos mit Nutzergruppen und ermöglicht Ihnen, CBA auf eine Gruppe von Nutzern anzuwenden.
- Gute Entwicklererfahrung
- Automatische Unterstützung der CBA in gängigen Bibliotheken und Tools, z. B. der gcloud CLI, reduziert die Programmierkosten für die Verwendung der CBA.