このページでは、Identity-Aware Proxy(IAP)の使用に関するベスト プラクティスについて説明します。
キャッシュ
- アプリケーションより前にサードパーティの CDN を使用しないでください。CDN は、コンテンツをキャッシュに保存するため、キャッシュに保存したページを未認証のユーザーに配信する可能性があります。
- 機密性の低い大量のリソースを CDN から提供する場合、リソースに対して
images.yourapp.com
などの別のドメインを使用します。そのドメインで CDN を使用し、認証されたユーザーにのみ配信するオブジェクトすべてにCache-control: private
HTTP レスポンス ヘッダーを追加します。
- 機密性の低い大量のリソースを CDN から提供する場合、リソースに対して
アプリの保護
アプリを適切に保護するには、App Engine標準環境、Compute Engine、Container Engine、GKE アプリケーションで署名済みヘッダーを使用する必要があります。
ファイアウォールの構成
-
Compute Engine または GKE へのすべてのリクエストがロードバランサ経由でルーティングされていることを確認します。
- ヘルスチェックを許可するようにファイアウォール ルールを構成し、仮想マシン(VM)へのすべてのトラフィックが Google Front End(GFE)の IP から送信されていることを確認します。
- さらに保護するには、アプリでリクエストのソース IP を調べて、それらがファイアウォール ルールで許可されているのと同じ IP 範囲内にあることを確認します。
-
Google Cloud コンソールで、IAP にエラーまたは警告が表示されるのは、ファイアウォール ルールが正しく設定されていないと考えられる場合です。IAP Google Cloud コンソールでは、各サービスで使用されている VM が検出されないため、ファイアウォール分析にデフォルト以外のネットワークやファイアウォール ルールタグなどの高度な機能は含まれていません。この分析をバイパスするには、
gcloud compute backend-services update
コマンドで IAP を有効にします。