Questa pagina è stata tradotta dall'API Cloud Translation.

Best practice

Questa pagina descrive le best practice per l'utilizzo di Identity-Aware Proxy (IAP).

Memorizzazione nella cache

Non utilizzare una CDN di terze parti davanti alla tua applicazione. Le reti CDN possono memorizzare nella cache i contenuti e pubblicare pagine memorizzate nella cache per gli utenti non autenticati.
- Se hai risorse di grandi dimensioni non sensibili che vuoi pubblicare da un CDN, utilizza un dominio separato come images.yourapp.com per queste risorse. Utilizza la rete CDN con quel dominio e aggiungi l'intestazione della risposta HTTP Cache-control: private a tutti gli oggetti che devono essere pubblicati solo per gli utenti autenticati.

Per proteggere correttamente la tua app, devi utilizzare le intestazioni firmate per l'ambiente flessibile di App Engine ^Beta, l'ambiente standard App Engine, le applicazioni Compute Engine e GKE.

Assicurati che tutte le richieste a Compute Engine o GKE siano instradate tramite il bilanciatore del carico:
- Configura una regola firewall per consentire il controllo di integrità e assicurati che tutto il traffico verso la tua macchina virtuale (VM) provenga da un IP Google Front End (GFE).
- Per ulteriore protezione, controlla l'IP di origine delle richieste nella tua app per assicurarti che provengano dallo stesso intervallo IP consentito dalla regola firewall.
In Google Cloud Console, IAP mostra un errore o un avviso se le regole firewall sembrano essere impostate in modo errato. La console di Google Cloud IAP non rileva la VM utilizzata per ciascun servizio, quindi l'analisi del firewall non include funzionalità avanzate come reti non predefinite e tag di regole firewall. Per ignorare questa analisi, abilita IAP tramite il comando gcloud compute backend-services update.