Puoi utilizzare l'accesso basato su certificati (CBA) per richiedere certificati X.509 verificati per l'accesso alle risorse Google Cloud. La credenziale aggiuntiva fornisce un indicatore più forte dell'identità del dispositivo e contribuisce a proteggere la tua organizzazione da furti di credenziali o perdita accidentale richiedendo che siano presenti sia le credenziali utente sia il certificato del dispositivo originale prima di concedere l'accesso.
Affidarsi alle sole credenziali, come i token di connessione, per concedere l'accesso alle API e alle risorse di Google Cloud può mettervi a rischio. Queste credenziali possono essere compromesse da un errore dell'utente o diventare il principale bersaglio di utenti malintenzionati. Se gli utenti malintenzionati ottengono le credenziali, possono riprodurre le credenziali per accedere alle risorse.
L'utilizzo di CBA migliora la sicurezza delle tue risorse richiedendo un ulteriore fattore di autorizzazione, ovvero un certificato del dispositivo. I certificati del dispositivo vengono convalidati e verificati utilizzando un handshake TLS reciproco. Ciò richiede agli utenti di dimostrare di essere in possesso della chiave privata associata al certificato, fornendo così un indicatore significativo dell'identità del dispositivo.
Di seguito è riportata un'illustrazione generale del flusso di accesso alla CBA:
I vantaggi dell'utilizzo di Google CBA
Di seguito sono riportati alcuni dei vantaggi dell'utilizzo di CBA.
- Sicurezza completa
- Protegge le tue risorse importanti impedendo l'accesso utilizzando credenziali rubate da dispositivi non attendibili, come il furto di cookie.
- Protegge tutte le richieste API di Google Cloud indipendentemente dai punti di accesso, comprese le reti on-premise o Google e le applicazioni da browser web o desktop.
- Controllo granulare dei criteri
- Funziona perfettamente con i perimetri di servizio dei Controlli di servizio VPC e ti consente di specificare un controllo granulare degli accessi alle tue risorse.
- Funziona perfettamente con i gruppi di utenti e consente di applicare l'approccio CBA a un gruppo di utenti.
- Buona esperienza degli sviluppatori
- Supporto automatizzato di CBA in librerie e strumenti comuni come gcloud CLI, che riduce i costi di programmazione legati all'utilizzo di CBA.