Puedes usar el acceso basado en certificados (CBA) para requerir certificados X.509 verificados para acceder a los recursos de Google Cloud . La credencial adicional proporciona una señal más sólida de la identidad del dispositivo y ayuda a proteger tu organización frente al robo o la pérdida accidental de credenciales, ya que requiere que tanto las credenciales de usuario como el certificado del dispositivo original estén presentes para conceder acceso.
Si solo usas credenciales, como tokens de portador, para conceder acceso a las APIs y los recursos de Google Cloud, puedes correr riesgos. Esas credenciales pueden exponerse por un error del usuario o convertirse en objetivos principales para los atacantes. Si los atacantes obtienen las credenciales, pueden reproducirlas para acceder a los recursos.
Al usar la autenticación basada en certificados, aumentas la seguridad de tus recursos, ya que se requiere un factor de autorización adicional: un certificado de dispositivo. Los certificados de dispositivo se validan y verifican mediante un handshake TLS mutuo. Para ello, los usuarios deben demostrar que tienen la clave privada asociada al certificado, lo que proporciona una señal sólida de la identidad del dispositivo.
A continuación, se muestra una ilustración general del flujo de acceso de la CBA:
Ventajas de usar la CBA de Google
A continuación se indican algunas de las ventajas de usar CBA.
- Comprehensive Security
- Protege tus recursos importantes impidiendo el acceso con credenciales robadas de dispositivos no fiables, como el robo de cookies.
- Protege todas las solicitudes a la API, independientemente de los puntos de acceso, incluidas las redes locales o de Google, y los navegadores web o las aplicaciones de escritorio. Google Cloud
- Control de políticas pormenorizado
- Funciona a la perfección con los perímetros de servicio de Controles de Servicio de VPC y te permite especificar un control de acceso detallado a tus recursos.
- Funciona a la perfección con los grupos de usuarios y te permite aplicar la autenticación basada en certificados a un grupo de usuarios.
- Buena experiencia de desarrollo
- Compatibilidad automatizada con CBA en bibliotecas y herramientas comunes, como la CLI de gcloud, lo que reduce el coste de programación de CBA.