ベスト プラクティス

このページでは、Identity-Aware Proxy(IAP)の使用に関するベスト プラクティスについて説明します。

キャッシュ

  • アプリケーションより前にサードパーティの CDN を使用しないでください。CDN は、コンテンツをキャッシュに保存するため、キャッシュに保存したページを未認証のユーザーに配信する可能性があります。
    • 機密性の低い大量のリソースを CDN から提供する場合、リソースに対して images.yourapp.com などの別のドメインを使用します。そのドメインで CDN を使用し、認証されたユーザーにのみ配信するオブジェクトすべてに Cache-control: private HTTP レスポンス ヘッダーを追加します。

アプリの保護

アプリを適切に保護するには、App Engine標準環境、Compute Engine、Container Engine、GKE アプリケーションで署名済みヘッダーを使用する必要があります。

ファイアウォールの構成

  • Compute Engine または GKE へのすべてのリクエストがロードバランサ経由でルーティングされていることを確認します。
    • ヘルスチェックを許可するようにファイアウォール ルールを構成し、仮想マシン(VM)へのすべてのトラフィックが Google Front End(GFE)の IP から送信されていることを確認します。
    • さらに保護するには、アプリでリクエストのソース IP を調べて、それらがファイアウォール ルールで許可されているのと同じ IP 範囲内にあることを確認します。
  • Google Cloud コンソールで、IAP にエラーまたは警告が表示されるのは、ファイアウォール ルールが正しく設定されていないと考えられる場合です。IAP Google Cloud コンソールでは、各サービスで使用されている VM が検出されないため、ファイアウォール分析にデフォルト以外のネットワークやファイアウォール ルールタグなどの高度な機能は含まれていません。この分析をバイパスするには、gcloud compute backend-services update コマンドで IAP を有効にします。