권장사항

이 페이지는 IAP(Identity-Aware Proxy) 사용에 대한 권장사항을 설명합니다.

캐싱

  • 애플리케이션 앞에 제3자 CDN을 사용하지 마세요. CDN은 콘텐츠를 캐시하고 캐시된 페이지를 인증되지 않은 사용자에게 제공할 수 있습니다.
    • CDN에서 제공하려는 민감하지 않은 대량의 리소스가 있는 경우, 해당 리소스에 대해 images.yourapp.com과 같은 별도의 도메인을 사용하세요. 해당 도메인에 CDN을 사용하고, 인증된 사용자에게만 제공되어야 하는 모든 객체에 Cache-control: private HTTP 응답 헤더를 추가합니다.

앱 보안

적절한 앱 보호를 위해서는 App Engine 가변형 환경 베타, Compute Engine, GKE 애플리케이션에 대해 서명된 헤더를 사용해야 합니다. App Engine 표준 환경 애플리케이션에서는 서명된 헤더가 지원되지 않습니다. 대신 이러한 애플리케이션은 사용자 ID 가져오기에 설명된 방식을 따라야 합니다. 서명된 헤더로 앱 보호 방법을 알아보세요.

방화벽 구성

  • Compute Engine 또는 GKE에 대한 모든 요청이 부하 분산기를 통해 라우팅 되는지 확인합니다.
    • 상태 확인을 허용하도록 방화벽 규칙을 구성하고 VM(가상 머신)에 대한 모든 트래픽이 GFE(Google Front End) IP에서 시작되는지 확인합니다.
    • 추가 보호를 위해서는 앱에서 요청의 소스 IP가 방화벽 규칙이 허용하는 동일한 IP 범위에서 시작되는지 확인합니다.
  • 방화벽 규칙이 잘못 설정된 것으로 보이면 Cloud Console에서 IAP에 오류 또는 경고가 표시됩니다. IAP Cloud Console은 각 서비스에 사용되는 VM을 감지하지 않기 때문에 기본값 이외의 네트워크 및 방화벽 규칙 태그와 같은 고급 기능이 방화벽 분석에 포함되지 않습니다. 이 분석을 우회하려면 gcloud compute backend-services update 명령어를 통해 IAP를 사용 설정합니다.