In questa pagina vengono descritte le best practice per l'utilizzo di Identity-Aware Proxy (IAP).
Memorizzazione nella cache
- Non utilizzare una CDN di terze parti davanti alla tua applicazione. Le CDN possono memorizzare nella cache i contenuti e pubblicare pagine memorizzate nella cache per utenti non autenticati.
- Se vuoi gestire risorse di grandi dimensioni e non sensibili da una rete CDN, utilizza un dominio separato come
images.yourapp.comper queste risorse. Utilizza la CDN con quel dominio e aggiungi l'intestazione della risposta HTTPCache-control: privatea tutti gli oggetti che devono essere pubblicati solo per gli utenti autenticati.
- Se vuoi gestire risorse di grandi dimensioni e non sensibili da una rete CDN, utilizza un dominio separato come
Protezione dell'app
Per proteggere correttamente la tua app, devi utilizzare intestazioni firmate per l'ambiente standard di App Engine, Compute Engine e le applicazioni GKE.
Configurazione del firewall
-
Assicurati che tutte le richieste a Compute Engine o GKE vengano instradate tramite il bilanciatore del carico:
- Configura una regola firewall per consentire il controllo di integrità e assicurati che tutto il traffico verso la tua macchina virtuale (VM) provenga da un IP Google Front End (GFE).
- Per una protezione aggiuntiva, controlla l'IP di origine delle richieste nella tua app per assicurarti che provengano dallo stesso intervallo IP consentito dalla regola firewall.
-
Nella console Google Cloud, IAP mostra un errore o un avviso se le regole firewall sembrano essere configurate in modo errato. La console Google Cloud IAP non rileva quale VM viene utilizzata per ogni servizio, quindi l'analisi del firewall non include funzionalità avanzate come le reti non predefinite e i tag delle regole firewall. Per ignorare questa analisi, abilita IAP tramite il comando
gcloud compute backend-services update.