Cette page décrit les bonnes pratiques concernant l'utilisation d'Identity-Aware Proxy (IAP).
Cache
- N'utilisez pas de CDN tiers devant votre application. Les CDN peuvent mettre des pages en cache et les diffuser auprès d'utilisateurs non authentifiés.
- Si vous disposez de ressources volumineuses non sensibles et que vous souhaitez les diffuser à partir d'un CDN, utilisez un domaine distinct, tel que
images.yourapp.com, pour ces ressources. Utilisez le CDN avec ce domaine et ajoutez l'en-tête de réponse HTTPCache-control: privateà tous les objets qui ne doivent être diffusés qu'auprès des utilisateurs authentifiés.
- Si vous disposez de ressources volumineuses non sensibles et que vous souhaitez les diffuser à partir d'un CDN, utilisez un domaine distinct, tel que
Sécuriser l'application
Afin de sécuriser correctement votre application, vous devez utiliser des en-têtes signés pour l'environnement standard App Engine, Compute Engine et les applications GKE.
Configurer le pare-feu
-
Assurez-vous que toutes les requêtes adressées à Compute Engine ou GKE sont acheminées via l'équilibreur de charge :
- Configurez une règle de pare-feu pour autoriser la vérification de l'état des machines, et assurez-vous que tout le trafic vers votre machine virtuelle (VM) provient d'une adresse IP Google Front End (GFE).
- Pour bénéficier d'une protection supplémentaire, vérifiez l'adresse IP source des requêtes dans votre application et assurez-vous qu'elles proviennent bien de la plage d'adresses IP autorisée par la règle de pare-feu.
-
Dans la console Google Cloud, IAP affiche une erreur ou un avertissement si vos règles de pare-feu ne semblent pas être configurées correctement. La console Google Cloud IAP ne détecte pas quelle VM est utilisée pour chaque service. L'analyse du pare-feu n'inclut donc pas de fonctionnalités avancées telles que les réseaux autres que ceux par défaut et les tags de règles de pare-feu. Pour contourner cette analyse, activez IAP via la commande
gcloud compute backend-services update.