Best practice

Questa pagina descrive le best practice per l'utilizzo di Identity-Aware Proxy (IAP).

Memorizzazione nella cache

  • Non utilizzare una CDN di terze parti prima della tua applicazione. Le CDN possono memorizzare nella cache i contenuti e pubblicare pagine memorizzate nella cache per gli utenti non autenticati.
    • Se hai risorse di grandi dimensioni non sensibili che vuoi pubblicare da un CDN, utilizza un dominio separato, ad esempio images.yourapp.com. Utilizza la rete CDN con quel dominio e aggiungi l'intestazione della risposta HTTP Cache-control: private a tutti gli oggetti che devono essere pubblicati solo per gli utenti autenticati.

Protezione dell'app

Per proteggere correttamente la tua app, devi utilizzare le intestazioni con firma per l'ambiente flessibile di App Engine beta, l'ambiente standard di App Engine, le applicazioni Compute Engine e GKE.

Configurazione del firewall

  • Assicurati che tutte le richieste a Compute Engine o GKE siano indirizzate attraverso il bilanciatore del carico:
    • Configura una regola firewall per consentire il controllo di integrità e assicurati che tutto il traffico verso la tua macchina virtuale (VM) provenga da un IP Google Front End (GFE).
    • Per una maggiore protezione, controlla l'IP di origine delle richieste nella tua app per assicurarti che provengano dallo stesso intervallo IP consentito dalla regola firewall.
  • In Google Cloud Console, IAP visualizza un errore o un avviso se le regole firewall sembrano essere configurate in modo errato. IAP Google Cloud Console non rileva la VM utilizzata per ciascun servizio, quindi l'analisi del firewall non include funzionalità avanzate come reti non predefinite e tag di regole firewall. Per ignorare questa analisi, abilita IAP tramite il comando gcloud compute backend-services update.