您可以使用基于证书的访问权限 (CBA) 来要求用户必须提供经过验证的 X.509 证书才能访问 Google Cloud 资源。额外的凭据可以提供更强的设备身份信号,并且要求在同时存在用户凭据和原始设备证书的情况下才授予访问权限,从而有助于更好地保护贵组织,避免凭据盗用或意外丢失。
仅依靠凭据(例如 Bearer 令牌)授予对 API 和资源的访问权限可能会使您面临风险。 Google Cloud这些凭据可能会因用户错误而泄露,或成为攻击者的首要目标。如果攻击者获取了凭据,则可以重放凭据来访问资源。
通过使用 CBA,您可以要求使用额外的授权因素(设备证书)来增强资源的安全性。系统会使用双向 TLS 握手来验证和确认设备证书。这要求用户证明自己拥有与证书关联的私钥,从而提供强大的设备身份信号。
以下是 CBA 访问流程的概要图示:
使用 Google CBA 的好处
以下是使用 CBA 的一些好处。
- 全面安全保障
- 通过防止使用来自不可信设备(例如 Cookie 盗窃)的被盗凭据访问您的重要资源,保护您的重要资源。
- 保护所有 Google Cloud API 请求,无论是通过哪个接入点(包括本地网络或 Google 网络),以及通过哪个 Web 浏览器或桌面应用发出。
- 精细的政策控制
- 可与 VPC Service Controls 服务边界无缝协作,让您可以为资源指定精细的访问权限控制。
- 可与用户群组无缝协作,让您能够将 CBA 应用于一组用户。
- 良好的开发者体验
- 在常用库和工具(例如 gcloud CLI)中提供自动化 CBA 支持,从而降低使用 CBA 的编程成本。