Sie können den zertifikatbasierten Zugriff verwenden, um verifizierte X.509-Zertifikate für den Zugriff auf Google Cloud-Ressourcen anzufordern. Die zusätzlichen Anmeldedaten bieten ein stärkeres Signal für die Geräteidentität und schützen Ihre Organisation vor Diebstahl oder versehentlichem Verlust von Anmeldedaten, da vor dem Gewähren des Zugriffs sowohl die Nutzeranmeldedaten als auch das ursprüngliche Gerätezertifikat vorhanden sein müssen.
Die Verwendung von Anmeldedaten wie Inhabertokens, um Zugriff auf die APIs und Ressourcen von Google Cloud zu gewähren, kann Risiken darstellen. Diese Anmeldedaten können durch einen Nutzerfehler preisgegeben oder zu wichtigen Zielen für Angreifer werden. Wenn Angreifer Zugriff auf die Anmeldedaten erhalten, können sie die Anmeldedaten für den Zugriff auf Ressourcen noch einmal verwenden.
Mit CBA erhöhen Sie die Sicherheit Ihrer Ressourcen, da Sie einen zusätzlichen Autorisierungsfaktor, ein Gerätezertifikat, anfordern. Gerätezertifikate werden über einen gegenseitigen TLS-Handshake validiert und verifiziert. Dazu müssen Nutzer den privaten Schlüssel, der mit dem Zertifikat verknüpft ist, nachweisen und so ein starkes Signal für die Geräteidentität liefern.
Im Folgenden finden Sie eine allgemeine Darstellung des CBA-Zugriffsablaufs:
Vorteile von Google CBA
Nachfolgend sind einige Vorteile der CBA aufgeführt.
- Umfassende Sicherheit
- Schützt Ihre wichtigen Ressourcen, indem der Zugriff über gestohlene Anmeldedaten von nicht vertrauenswürdigen Geräten, z. B. Cookie-Diebstahl, verhindert wird.
- Schützt alle Google Cloud API-Anfragen unabhängig von Zugangspunkten, einschließlich lokaler oder Google-Netzwerke und Webbrowser oder Desktopanwendungen.
- Detaillierte Richtliniensteuerung
- Funktioniert nahtlos mit VPC Service Controls-Dienstperimetern und ermöglicht Ihnen, eine fein abgestimmte Zugriffssteuerung für Ihre Ressourcen festzulegen.
- Sie können nahtlos mit Nutzergruppen verwendet werden und Sie können CBA auf eine Gruppe von Nutzern anwenden.
- Gute Entwicklererfahrung
- Automatisierte CBA-Unterstützung in gängigen Bibliotheken und Tools wie der gcloud CLI, wodurch die Programmierkosten für die Verwendung von CBA gesenkt werden.