É possível usar o acesso baseado em certificado (CBA, na sigla em inglês) para exigir certificados X.509 verificados de acesso aos recursos do Google Cloud. A credencial extra fornece um sinal mais forte de identidade do dispositivo e ajuda a proteger sua organização contra roubo de credenciais ou perda acidental, exigindo que as credenciais do usuário e o certificado original do dispositivo estejam presentes antes de conceder o acesso.
Confiar apenas em credenciais, como tokens do portador, para conceder acesso às APIs e aos recursos do Google Cloud pode colocar você em risco. Essas credenciais podem ser expostas por erros do usuário ou se tornarem alvos principais de invasores. Se os invasores receberem as credenciais, eles poderão repeti-las para acessar os recursos.
Ao usar a CBA, você melhora a segurança dos seus recursos exigindo um fator de autorização adicional, um certificado de dispositivo. Os certificados de dispositivo são validados e verificados usando um handshake de TLS mútuo. Isso exige que os usuários comprovem a posse da chave privada associada ao certificado, fornecendo um forte indicador de identidade do dispositivo.
Veja a seguir uma ilustração detalhada do fluxo de acesso da CBA:
Os benefícios de usar a CBA do Google
Veja a seguir alguns dos benefícios de usar a CBA.
- Segurança abrangente
- Protege recursos importantes impedindo o acesso usando credenciais roubadas de dispositivos não confiáveis, como o roubo de cookies.
- Protege todas as solicitações de APIs do Google Cloud, independente de pontos de acesso, incluindo redes locais ou do Google e navegadores da Web ou aplicativos para computadores.
- Controle de políticas granular
- Funciona perfeitamente com os perímetros de serviço do VPC Service Controls e permite especificar um controle de acesso refinado sobre os recursos.
- Funciona perfeitamente com grupos de usuários e permite aplicar a CBA a um grupo deles.
- Boa experiência do desenvolvedor
- Suporte automatizado à CBA em bibliotecas e ferramentas comuns, como a CLI gcloud, o que reduz o custo de programação do uso da CBA.