이 페이지는 IAP(Identity-Aware Proxy) 사용에 대한 권장사항을 설명합니다.
캐싱
- 애플리케이션 앞에 제3자 CDN을 사용하지 마세요. CDN은 콘텐츠를 캐시하고 캐시된 페이지를 인증되지 않은 사용자에게 제공할 수 있습니다.
- CDN에서 제공하려는 민감하지 않은 대량의 리소스가 있는 경우, 해당 리소스에 대해
images.yourapp.com과 같은 별도의 도메인을 사용하세요. 해당 도메인에 CDN을 사용하고, 인증된 사용자에게만 제공되어야 하는 모든 객체에Cache-control: privateHTTP 응답 헤더를 추가합니다.
- CDN에서 제공하려는 민감하지 않은 대량의 리소스가 있는 경우, 해당 리소스에 대해
앱 보호하기
적절한 앱 보호를 위해서는 App Engine 표준 환경, Compute Engine, GKE 애플리케이션에 대해 서명된 헤더를 사용해야 합니다.
방화벽 구성하기
-
Compute Engine 또는 GKE에 대한 모든 요청이 부하 분산기를 통해 라우팅 되는지 확인합니다.
- 상태 점검을 허용하도록 방화벽 규칙을 구성하고 VM(가상 머신)에 대한 모든 트래픽이 GFE(Google Front End) IP에서 시작되는지 확인합니다.
- 추가 보호를 위해서는 앱에서 요청의 소스 IP가 방화벽 규칙이 허용하는 동일한 IP 범위에서 시작되는지 확인합니다.
-
방화벽 규칙이 잘못 설정된 것으로 보이면 Google Cloud 콘솔에서 IAP가 오류 또는 경고를 표시합니다. IAP Google Cloud 콘솔은 각 서비스에 사용되는 VM을 감지하지 않기 때문에 기본값 이외의 네트워크 및 방화벽 규칙 태그와 같은 고급 기능이 방화벽 분석에 포함되지 않습니다. 이 분석을 우회하려면
gcloud compute backend-services update명령어를 통해 IAP를 사용 설정합니다.