証明書ベースのアクセスの概要

証明書ベースのアクセス（CBA）を使用して、 Google Cloud リソースへのアクセスに検証済みの X.509 証明書を必須にできます。追加の認証情報はデバイス ID のシグナルを強化し、アクセス権を付与する前に、ユーザー認証情報と元のデバイス証明書の両方を要求することで、認証情報の盗難や偶発的な紛失から組織を保護します。

署名なしトークンなどの認証情報のみを使用して Google CloudAPI とリソースへのアクセス権を付与すると、リスクが生じる可能性があります。これらの認証情報は、ユーザーエラーによって公開されたり、攻撃者の主要な標的になったりするおそれがあります。攻撃者が認証情報を取得すると、認証情報をリプレイしてリソースにアクセスできるようになります。

CBA を使用すると、追加の承認要素（デバイス証明書）を要求することで、リソースのセキュリティを強化できます。デバイス証明書は、相互 TLS handshake を使用して検証および確認されます。これにより、ユーザーは証明書に関連付けられた秘密鍵を保持していることを証明する必要が生じるため、デバイス ID のシグナルが強化されます。

CBA アクセス フローの概要は次のとおりです。

Google CBA を使用するメリット

CBA を使用するメリットは次のとおりです。

包括的なセキュリティ

信頼できないデバイスから盗まれた認証情報（Cookie の盗難など）を使用してアクセスできないようにすることで、重要なリソースを保護します。

オンプレミス ネットワークや Google ネットワーク、ウェブブラウザやデスクトップ アプリケーションなどのアクセス ポイントに関係なく、すべての Google Cloud API リクエストを保護します。

きめ細かいポリシー制御

VPC Service Controls サービス境界とシームレスに連携し、リソースに対するきめ細かいアクセス制御を指定できます。

ユーザー グループとシームレスに連携し、ユーザーのグループに CBA を適用できます。

優れた開発者エクスペリエンス

gcloud CLI などの一般的なライブラリとツールで CBA のサポートを自動化しました。これにより、CBA の使用によって生じるプログラミング コストを削減できます。

次のステップ

• Google Cloudでの相互 TLS について
• 証明書ベースのアクセスを設定する