Auf dieser Seite werden Best Practices für die Verwendung von Identity-Aware Proxy (IAP) beschrieben.
Caching
- Verwenden Sie kein CDN eines Drittanbieters vor Ihrer Anwendung. CDNs können Inhalte zwischenspeichern und damit zwischengespeicherte Seiten für nicht authentifizierte Nutzer zugänglich machen.
- Wenn Sie große, nicht vertrauliche Ressourcen haben, die Sie von einem CDN aus bereitstellen möchten, nutzen Sie dafür eine separate Domain wie
images.yourapp.com. Verwenden Sie das CDN mit dieser Domain und fügen Sie allen Objekten, die nur für authentifizierte Nutzer bereitgestellt werden sollen, den HTTP-Antwort-HeaderCache-control: privatehinzu.
- Wenn Sie große, nicht vertrauliche Ressourcen haben, die Sie von einem CDN aus bereitstellen möchten, nutzen Sie dafür eine separate Domain wie
App sichern
Zum ordnungsgemäßen Sichern Ihrer Anwendung müssen Sie signierte Header für die App Engine-Standardumgebung, die Compute Engine und GKE-Anwendungen verwenden.
Firewall konfigurieren
-
Achten Sie darauf, dass alle Anfragen an Compute Engine oder GKE über den Load-Balancer weitergeleitet werden:
- Konfigurieren Sie eine Firewallregel, um Systemdiagnosen zuzulassen, und sorgen Sie dafür, dass alle Zugriffe auf Ihre virtuelle Maschine (VM) von einer IP-Adresse eines Google Front End (GFE) stammen.
- Als zusätzliche Schutzmaßnahme überprüfen Sie die Quell-IP von Anfragen in Ihrer Anwendung, um sicherzugehen, dass sie aus dem IP-Bereich stammt, den die Firewallregel zulässt.
-
In der Google Cloud Console wird in IAP ein Fehler oder eine Warnung angezeigt, wenn Ihre Firewallregeln offenbar falsch eingerichtet sind. Die Google Cloud Console von IAP erkennt nicht, welche VM für jeden Dienst verwendet wird. Daher enthält die Firewallanalyse keine erweiterten Features wie nicht standardmäßige Netzwerke und Tags für Firewallregeln. Wenn Sie diese Analyse umgehen möchten, müssen Sie IAP über den Befehl
gcloud compute backend-services updateaktivieren.