En esta página se describen las prácticas recomendadas para usar Identity-Aware Proxy (IAP).
Almacenamiento en caché
- No utilices una CDN de terceros delante de tu aplicación. Las CDNs pueden almacenar en caché contenido y servir páginas almacenadas en caché a usuarios no autenticados.
- Si tienes recursos grandes y no sensibles que quieres servir desde una CDN, usa un dominio independiente, como
images.yourapp.com, para estos recursos. Usa la CDN con ese dominio y añade el encabezado de respuesta HTTPCache-control: privatea todos los objetos que solo se deban servir a usuarios autenticados.
- Si tienes recursos grandes y no sensibles que quieres servir desde una CDN, usa un dominio independiente, como
Proteger tu aplicación
Para proteger correctamente tu aplicación, debes usar encabezados firmados en las aplicaciones de entorno estándar de App Engine, Compute Engine y GKE.
Configurar el cortafuegos
-
Asegúrate de que todas las solicitudes a Compute Engine o GKE se enruten a través del balanceador de carga:
- Configura una regla de cortafuegos para permitir la comprobación del estado y asegúrate de que todo el tráfico que se dirige a tu máquina virtual (VM) proceda de una IP de Google Front End (GFE).
- Para disfrutar de una protección adicional, comprueba la IP de origen de las solicitudes de tu aplicación para asegurarte de que proceden del mismo intervalo de IPs que permite la regla de firewall.
-
En la Google Cloud consola, IAP muestra un error o una advertencia si las reglas de tu firewall parecen estar configuradas incorrectamente. La consola de IAP Google Cloud no
detecta qué VM se usa para cada servicio, por lo que el análisis del cortafuegos no incluye funciones avanzadas
como redes no predeterminadas y etiquetas de reglas de cortafuegos. Para omitir este análisis, habilita las compras en la aplicación mediante el comando
gcloud compute backend-services update.