Mit dem zertifikatbasierten Zugriff können Sie für den Zugriff auf Google Cloud Ressourcen bestätigte X.509-Zertifikate verlangen. Die zusätzlichen Anmeldedaten sorgen für ein stärkeres Signal der Geräteidentität und helfen, Ihre Organisation vor Anmeldedatendiebstahl oder versehentlichem Verlust zu schützen, da vor dem Gewähren des Zugriffs sowohl die Anmeldedaten des Nutzers als auch das ursprüngliche Gerätezertifikat vorliegen müssen.
Wenn Sie nur Anmeldedaten wie Bearer-Tokens verwenden, um Zugriff auf die Google CloudAPIs und Ressourcen zu gewähren, kann das ein Risiko darstellen. Diese Anmeldedaten können durch Nutzerfehler offengelegt werden oder zu bevorzugten Zielen für Angreifer werden. Wenn Angreifer die Anmeldedaten erhalten, können sie sie wiedergeben, um auf Ressourcen zuzugreifen.
Mit der gerätebasierten Autorisierung erhöhen Sie die Sicherheit Ihrer Ressourcen, da ein zusätzlicher Autorisierungsfaktor, ein Gerätezertifikat, erforderlich ist. Gerätezertifikate werden mithilfe eines mTLS-Handshakes validiert und verifiziert. Dazu müssen Nutzer nachweisen, dass sie im Besitz des mit dem Zertifikat verknüpften privaten Schlüssels sind. Dies ist ein starkes Signal für die Geräteidentität.
Im Folgenden findest du eine allgemeine Abbildung des CBA-Zugriffsflusses:
Vorteile der Verwendung von Google CBA
Im Folgenden sind einige Vorteile der CBA aufgeführt.
- Umfassende Sicherheit
- Schützt Ihre wichtigen Ressourcen, indem der Zugriff mit gestohlenen Anmeldedaten von nicht vertrauenswürdigen Geräten verhindert wird, z. B. Cookie-Diebstahl.
- Schützt alle Google Cloud API-Anfragen unabhängig von den Zugriffspunkten, einschließlich On-Premises- oder Google-Netzwerken sowie Webbrowsern oder Desktopanwendungen.
- Detaillierte Richtliniensteuerung
- Funktioniert nahtlos mit den Dienstperimetern von VPC Service Controls und ermöglicht eine detaillierte Zugriffssteuerung für Ihre Ressourcen.
- Funktioniert nahtlos mit Nutzergruppen und ermöglicht die Anwendung von CBA auf eine Gruppe von Nutzern.
- Gute Entwicklererfahrung
- Automatische CBA-Unterstützung in gängigen Bibliotheken und Tools wie der gcloud CLI, wodurch die Programmierkosten für die Verwendung von CBA gesenkt werden.