인증서 기반 액세스(CBA)를 사용하여 Google Cloud 리소스 액세스를 위해 확인된 X.509 인증서를 요구할 수 있습니다. 추가 사용자 인증 정보는 기기 ID에 대한 더 강력한 신호를 제공하며, 액세스 권한을 부여하기 전에 사용자 인증 정보와 원래 기기 인증서가 모두 있어야 하므로 사용자 인증 정보 도난 또는 실수로 인한 손실로부터 조직을 보호할 수 있습니다.
Google Cloud API 및 리소스에 대한 액세스 권한을 부여하는 데 Bearer 토큰과 같은 사용자 인증 정보만 사용하면 위험에 처할 수 있습니다. 이러한 사용자 인증 정보는 사용자의 실수로 인해 노출되거나 공격자의 주요 대상이 될 수 있습니다. 공격자가 사용자 인증 정보를 획득하면 사용자 인증 정보를 이용해 리소스에 액세스할 수 있습니다.
CBA를 사용하면 추가 승인 요소인 기기 인증서를 요구하여 리소스의 보안을 강화할 수 있습니다. 상호 TLS 핸드셰이크를 사용하여 기기 인증서의 유효성을 검사하고 확인합니다. 이렇게 하려면 사용자가 인증서와 연결된 비공개 키를 소유해야 하므로 기기 ID에 대한 강력한 신호가 제공됩니다.
다음은 CBA 액세스 흐름을 대략적으로 보여줍니다.
Google CBA 사용의 이점
CBA 사용의 이점은 다음과 같습니다.
- 포괄적인 보안
- 쿠키 도용과 같이 신뢰할 수 없는 기기에서 도용된 사용자 인증 정보를 사용하여 액세스하지 못하도록 방지하여 중요한 리소스를 보호합니다.
- 온프레미스 또는 Google 네트워크, 웹브라우저 또는 데스크톱 애플리케이션 등 액세스 포인트에 상관없이 모든 Google Cloud API 요청을 보호합니다.
- 세밀한 정책 제어
- VPC 서비스 제어 서비스 경계와 원활하게 연동되므로 리소스에 대해 세분화된 액세스 제어를 지정할 수 있습니다.
- 사용자 그룹과 원활하게 연동되므로 CBA를 사용자 그룹에 적용할 수 있습니다.
- 우수한 개발자 환경
- gcloud CLI와 같은 일반적인 라이브러리와 도구에서 자동화된 CBA 지원되면 CBA 사용 시 프로그래밍 비용이 절감됩니다.