Halaman ini menjelaskan praktik terbaik untuk menggunakan Identity-Aware Proxy (IAP).
Menyimpan data ke dalam cache
- Jangan gunakan CDN pihak ketiga di depan aplikasi Anda. CDN dapat meng-cache
konten dan menayangkan halaman yang di-cache kepada pengguna yang tidak diautentikasi.
- Jika Anda memiliki resource besar yang tidak sensitif yang ingin ditayangkan dari
CDN, gunakan domain terpisah seperti
images.yourapp.comuntuk resource ini. Gunakan CDN dengan domain tersebut dan tambahkan header respons HTTPCache-control: privateke semua objek yang hanya boleh ditayangkan kepada pengguna yang diautentikasi.
- Jika Anda memiliki resource besar yang tidak sensitif yang ingin ditayangkan dari
CDN, gunakan domain terpisah seperti
Mengamankan aplikasi Anda
Untuk mengamankan aplikasi dengan benar, Anda harus menggunakan header yang ditandatangani untuk lingkungan standar App Engine, Compute Engine, dan aplikasi GKE.
Mengonfigurasi firewall
-
Pastikan semua permintaan ke Compute Engine atau GKE dirutekan melalui load balancer:
- Konfigurasikan aturan firewall untuk mengizinkan pemeriksaan status dan pastikan semua traffic ke Virtual Machine (VM) Anda berasal dari IP Google Front End (GFE).
- Untuk perlindungan tambahan, periksa IP sumber permintaan di aplikasi Anda untuk memastikan permintaan tersebut berasal dari rentang IP yang sama dengan yang diizinkan oleh aturan firewall.
-
Di konsol Google Cloud, IAP menampilkan error atau peringatan jika aturan
firewall Anda tampaknya tidak disiapkan dengan benar. Konsol Google Cloud IAP tidak mendeteksi VM mana yang digunakan untuk setiap layanan, sehingga analisis firewall tidak menyertakan fitur lanjutan seperti jaringan non-default dan tag aturan firewall. Untuk mengabaikan analisis ini, aktifkan
IAP melalui
perintah
gcloud compute backend-services update.