Prácticas recomendadas

En esta página, se describen las prácticas recomendadas para usar Identity-Aware Proxy (IAP).

Almacenamiento en caché

  • No utilices una CDN de terceros delante de tu aplicación. Las CDN pueden almacenar en caché contenido y entregar páginas almacenadas en caché a usuarios no autenticados.
    • Si tienes recursos grandes y no confidenciales que deseas entregar desde una CDN, usa un dominio independiente como images.yourapp.com para estos recursos. Usa la CDN con ese dominio y agrega el encabezado de respuesta HTTP Cache-control: private a todos los objetos que solo se tengan que entregar a los usuarios autenticados.

Protege tu aplicación

A fin de proteger correctamente tu aplicación, debes usar encabezados firmados para Entorno flexible de App Engine Beta: , Entorno estándar de App Engine , las aplicaciones de Compute Engine y GKE.

Configura tu firewall

  • Asegúrate de que todas las solicitudes para Compute Engine o GKE se enruten a través del balanceador de cargas:
    • Configura una regla de firewall para permitir verificaciones de estado y asegúrate de que todo el tráfico que recibe tu máquina virtual (VM) provenga de una IP de Google Front End (GFE).
    • Si deseas más protección, verifica la IP de origen de las solicitudes de tu aplicación para asegurarte de que correspondan al mismo rango de IP que permite la regla de firewall.
  • En Cloud Console, IAP muestra un error o una advertencia si las reglas de firewall parecen estar configuradas incorrectamente. IAP de Cloud Console no detecta qué VM se usa para cada servicio, por lo que el análisis de firewall no incluye funciones avanzadas, como redes no predeterminadas ni etiquetas de reglas de firewall. Para omitir este análisis, habilita IAP con el comando gcloud compute backend-services update.