Veja nesta página as práticas recomendadas para usar o Identity-Aware Proxy (IAP).
Armazenamento em cache
- Não use um CDN de terceiros na frente do aplicativo. Os CDNs podem armazenar conteúdo em cache e disponibilizar páginas armazenadas em cache para usuários não autenticados.
- Se você tiver recursos grandes e não confidenciais para disponibilizar a partir de um CDN, use um domínio separado para esses recursos, como
images.yourapp.com. Use o CDN com esse domínio e adicione o cabeçalho de resposta HTTPCache-control: privatea todos os objetos que precisam ser disponibilizados somente aos usuários autenticados.
- Se você tiver recursos grandes e não confidenciais para disponibilizar a partir de um CDN, use um domínio separado para esses recursos, como
Como proteger seu app
Para proteger adequadamente seu aplicativo, você precisa usar cabeçalhos assinados para aplicativos do ambiente padrão do App Engine, do Compute Engine e do GKE.
Como configurar o firewall
-
Verifique se todas as solicitações para o Compute Engine ou o GKE são roteadas
pelo balanceador de carga:
- Configure uma regra de firewall para permitir a verificação da integridade e verifique se todo o tráfego para sua máquina virtual (VM, na sigla em inglês) provém de um IP do Google Front End (GFE).
- Para maior proteção, verifique o IP de origem das solicitações no aplicativo para verificar se elas são do intervalo de IPs que a regra de firewall permite.
-
No console do Google Cloud, o IAP exibirá um erro ou aviso se as regras de firewall estiverem configuradas incorretamente. O console do IAP no Google Cloud não detecta qual VM é usada para cada serviço. Portanto, a análise do firewall não inclui recursos avançados, como redes não padrão e tags de regras de firewall. Para ignorar essa análise, ative o IAP por meio do comando
gcloud compute backend-services update.