Panoramica di Identity-Aware Proxy

Questa pagina descrive i concetti di base di Identity-Aware Proxy (IAP), un servizio Google Cloud globale.

IAP consente di definire un livello di autorizzazione centrale per le applicazioni accessibili tramite HTTPS, che ti permette di utilizzare un modello di controllo dell'accesso a livello di applicazione invece di dover fare affidamento su firewall a livello di rete.

I criteri IAP sono scalabili in tutta l'organizzazione. Puoi definire i criteri di accesso in modo centralizzato e applicarli a tutte le tue applicazioni e risorse. Quando assegni un team dedicato alla creazione e all'applicazione dei criteri, proteggi il tuo progetto da definizioni o implementazioni errate dei criteri in qualsiasi applicazione.

Quando utilizzare l'IAP

Utilizza IAP quando vuoi applicare i criteri di controllo dell'accesso per applicazioni e risorse. IAP funziona con le intestazioni con firma o con l'API Users dell'ambiente standard App Engine per proteggere la tua app. Con IAP, puoi configurare l'accesso alle applicazioni in base ai gruppi: una risorsa può essere accessibile ai dipendenti e inaccessibile ai fornitori o solo a un reparto specifico.

Come funzionano gli acquisti in-app

Quando un'applicazione o una risorsa è protetta da IAP, può essere acceduta tramite il proxy solo da entità, note anche come utenti, che dispongono del ruolo IAM (Identity and Access Management) corretto. Un utente a cui concedi l'accesso a un'applicazione o risorsa tramite IAP è soggetto ai controlli di accesso granulari implementati dal prodotto in uso, senza bisogno di una VPN. Quando un utente tenta di accedere a una risorsa protetta da IAP, IAP esegue i controlli di autenticazione e autorizzazione.

App Engine

Cloud Run

Compute Engine

GKE

On-premise

Autenticazione

Le richieste alle tue Google Cloud risorse vengono inviate tramite App Engine, Bilanciamento del carico di Cloud (bilanciamento del carico HTTP(S) esterno e interno). Il codice dell'infrastruttura di pubblicazione per questi prodotti controlla se l'IAP è attivato per l'app o il servizio di backend. Se IAP è attivato, le informazioni sulla risorsa protetta vengono inviate al server di autenticazione IAP. Sono incluse informazioni quali Google Cloud il numero del progetto, l'URL della richiesta e eventuali credenziali IAP nei Google Cloud header o nei cookie della richiesta.

Successivamente, IAP controlla le credenziali del browser dell'utente. Se non esistono, l'utente viene reindirizzato a un flusso di accesso all'Account Google OAuth 2.0 che memorizza un token in un cookie del browser per gli accessi futuri. Se devi creare Account Google per i tuoi utenti esistenti, puoi utilizzare Google Cloud Directory Sync per eseguire la sincronizzazione con il tuo server Active Directory o LDAP.

Se le credenziali della richiesta sono valide, il server di autenticazione le utilizza per ottenere l'identità dell'utente (indirizzo email e ID utente). Il server di autenticazione utilizza quindi l'identità per verificare il ruolo IAM dell'utente e se l'utente è autorizzato ad accedere alla risorsa.

Se utilizzi Compute Engine o Google Kubernetes Engine, gli utenti che possono accedere alla porta di servizio dell'applicazione della macchina virtuale (VM) possono bypassare l'autenticazione IAP. Le regole del firewall di Compute Engine e GKE non possono proteggere dall'accesso da codice in esecuzione sulla stessa VM dell'applicazione protetta da IAP. Le regole firewall possono proteggere dall'accesso da un'altra VM, ma solo se configurate correttamente. Scopri le responsabilità che ti incombono per garantire la sicurezza.

Se utilizzi Cloud Run, gli utenti che possono accedere all'URL assegnato automaticamente possono bypassare l'autenticazione IAP. I controlli in entrata possono limitare l'accesso all'utilizzo del bilanciamento del carico, ma solo se configurati correttamente. Scopri di più sulle tue responsabilità per garantire la sicurezza.

Autorizzazione

Dopo l'autenticazione, IAP applica il criterio IAM pertinente per verificare se l'utente è autorizzato ad accedere alla risorsa richiesta. Se l'utente dispone del ruolo Utente di app web protetta da IAP nel progetto della console Google Cloud in cui esiste la risorsa, è autorizzato ad accedere all'applicazione. Per gestire l'elenco dei ruoli Utente applicazione web con protezione IAP, utilizza il pannello IAP nella console Google Cloud.

Quando attivi gli acquisti in-app per una risorsa, vengono creati automaticamente un ID client e un segreto OAuth 2.0. Se elimini le credenziali OAuth 2.0 generate automaticamente, l'IAP non funzionerà correttamente. Puoi visualizzare e gestire le credenziali OAuth 2.0 in API e servizi della console Google Cloud.

Accesso sensibile al contesto

Nell'ambito del passaggio di autorizzazione, puoi utilizzare l'accesso sensibile al contesto per fornire accesso sicuro ai seguenti tipi di risorse:

Console e API Google Cloud

• Primo livello di difesa per proteggere l'accesso all'infrastruttura a Google Cloud.
• Accesso Google Cloud avanzato sensibile al contesto agli utenti.

Macchine virtuali (VM)

• Consente l'accesso amministrativo SSH/RDP alle VM in Google Cloud e in altri cloud.
• Ti consente di implementare controlli efficaci sensibili al contesto per limitare l'accesso solo agli amministratori designati.

Applicazioni web

• Fornisce l'autorizzazione e l'autenticazione per le applicazioni web ospitate inGoogle Cloud e in altri cloud.
• Fornisce un'autorizzazione continua per impedire l'accesso non autorizzato e la perdita di dati.

Le tue responsabilità

IAP garantisce l'autenticazione e l'autorizzazione di tutte le richieste a App Engine, Cloud Load Balancing (HTTPS) o al bilanciamento del carico HTTP interno. L'IAP non protegge dalle attività all'interno di un progetto, ad esempio un'altra VM all'interno del progetto.

Per garantire la sicurezza, devi adottare le seguenti precauzioni:

• Configura il firewall e il bilanciatore del carico per proteggerti dal traffico che non passa per l'infrastruttura di pubblicazione.
  • In alternativa, se utilizzi Cloud Run, puoi limitare l'accesso utilizzando i controlli di ingresso.
• Utilizza le intestazioni con firma o l'API Users dell'ambiente standard App Engine.

Passaggi successivi

• Per iniziare a utilizzare gli acquisti in-app, completa una delle seguenti attività:
  • Completa la guida rapida di App Engine per gestire l'accesso con gli Account Google.
  • Abilita IAP per Compute Engine.
  • Abilita IAP per GKE.
  • Attiva IAP per le app on-premise.
• Scopri di più:
  • Autenticazione in Compute Engine
  • Opzioni di autenticazione utente di App Engine
  • Utilizzare OAuth 2.0 per accedere alle API di Google
  • Google Cloud guida all'autenticazione
  • Configurazione di un bilanciatore del carico
  • Configurazione di un bilanciatore del carico con Cloud Run (completamente gestito)
  • Limitare il traffico in entrata per Cloud Run