Puedes usar el acceso basado en certificados (CBA) a fin de solicitar certificados X.509 verificados para el acceso a los recursos de Google Cloud. La credencial adicional proporciona un indicador más sólido de la identidad del dispositivo y ayuda a proteger tu organización del robo de credenciales o la pérdida accidental, ya que requiere que las credenciales de usuario y el certificado del dispositivo original estén presentes antes de otorgar acceso.
Confiar solo en las credenciales, como los tokens del portador, para otorgar acceso a las API y los recursos de Google Cloud puede ponerte en riesgo. Esas credenciales pueden quedar expuestas por error del usuario o pueden convertirse en objetivos principales de los atacantes. Si los atacantes obtienen las credenciales, pueden volver a reproducirlas para acceder a los recursos.
Cuando usas la CBA, mejoras la seguridad de tus recursos, ya que requiere un factor de autorización adicional, un certificado del dispositivo. Los certificados del dispositivo se validan y se verifican mediante un protocolo de enlace de TLS mutuo. Esto requiere que los usuarios demuestren que poseen la clave privada asociada con el certificado, lo que proporciona un indicador claro de identidad del dispositivo.
A continuación, se muestra una ilustración de alto nivel del flujo de acceso a la CBA:
Beneficios de usar la CBA de Google
A continuación, presentamos algunos de los beneficios de usar CBA.
- Seguridad integral
- Protege tus recursos importantes, ya que evita el acceso mediante credenciales robadas de dispositivos que no sean de confianza, como el robo de cookies.
- Protege todas las solicitudes a la API de Google Cloud sin importar los puntos de acceso, incluidas las redes locales o de Google, y los navegadores web o las aplicaciones de escritorio.
- Control de políticas detallado
- Funciona sin problemas con los perímetros de servicio de los Controles del servicio de VPC y te permite especificar un control de acceso detallado sobre tus recursos.
- Funciona sin inconvenientes con los grupos de usuarios y le permite aplicar la CBA a un grupo de usuarios.
- Buena experiencia del desarrollador
- Asistencia de CBA automatizada en bibliotecas y herramientas comunes, como la CLI de gcloud, que reduce el costo de programación por usar CBA.