In diesem Dokument wird beschrieben, wie die kontextsensitive Zugriffskontrolle die Ende-zu-Ende-Sicherheit in der Gemini Enterprise Agent Platform unterstützt, indem sie die gegenseitige TLS-Authentifizierung (mTLS) erzwingt und die Authentifizierung und Autorisierung mit Demonstrating Proof of Possession (DPoP) in der Gemini Enterprise Agent Platform demonstriert.
In der Gemini Enterprise Agent Platform kann Agent Gateway (Vorabversion) die Inline-Zugriffssteuerung für alle Interaktionen zwischen Agents und zwischen Agents und anderen Anwendungen regeln.
Der kontextsensitiven Zugriff ist standardmäßig aktiviert und erzwingt, dass Agents, die von Agent Gateway verwaltet werden, die folgenden Methoden für die Sicherheitsfunktionen für Authentifizierung (authn) und Autorisierung (authz) verwenden:
Gegenseitiges TLS (mTLS): Um den Zugriff von Agents auf das Agent Gateway zu schützen, erzwingen Context-Aware Access und IAP, dass Agents mTLS verwenden, indem sie die zertifikatbasierte Tokenbindung überprüfen.
Nachweis des Besitzes (Demonstrating Proof of Possession, DPoP): Um Agents zu schützen, die auf Dienste außerhalb des Agenten-Gateways zugreifen, wird durch den kontextsensitiven Zugriff (Context-Aware Access) erzwungen, dass Agentenidentitäten mithilfe von DPoP gültig sind.
Wenn Agent Gateway deaktiviert ist, können Agents über mTLS direkt aufGoogle Cloud -APIs zugreifen. Wenn Agent Gateway aktiviert ist, beendet das Gateway jedoch mTLS. Daher muss DPoP verwendet werden.
Durch die Erzwingung von mTLS und DPoP bietet der kontextsensitive Zugriff eine grundlegende Ende-zu-Ende-Sicherheit und trägt zum Schutz vor Anmeldediebstahl und Kontoübernahmen (Account Takeover, ATO) bei. Die Durchsetzung von Richtlinien für den kontextsensitiven Zugriff trägt dazu bei, dass kompromittierte Tokens außerhalb der vorgesehenen, vertrauenswürdigen Laufzeiten nutzlos sind. Die Erzwingung der Anmeldedatenbindung durch Context-Aware Access trägt dazu bei, dass Anmeldedaten zwischen verschiedenen Laufzeitmandanten der Gemini Enterprise Agent Platform isoliert werden.
Wichtige Konzepte
Die folgenden Konzepte sind wichtig, um zu verstehen, wie der kontextsensitiven Zugriff die Sicherheit für Agent-Interaktionen mit Ressourcen mithilfe von mTLS und DPoP erzwingt.
Agent-Identitätspool: Eine Gruppierung von Ressourcen und Konfigurationen, mit der die Sicherheitsanmeldedaten und ‑schlüssel für eine bestimmte Gruppe von Agenten verwaltet werden.
DPoP-Nachweis für die Autorisierung: Ein kryptografischer Nachweis, der von der Agent-Identität generiert wird, wenn einem Agenten zum ersten Mal eine Identität zugewiesen wird.
Zertifikatgebundenes Arbeitslast-Zugriffstoken: Ein Token, das kryptografisch an das X.509-Zertifikat des Agents gebunden ist. Dieses Token wird verwendet, um den Agenten für den mTLS-Zugriff auf Ressourcen über Google Cloud APIs, einschließlich des Agent Gateway, zu authentifizieren. Richtlinien für den kontextsensitiven Zugriff erzwingen die Verwendung von gegenseitigem TLS (mTLS), indem sie diese Bindung validieren. Durch die Validierung wird sichergestellt, dass das Token nur vom Agent verwendet werden kann, der in der bereitgestellten Umgebung ausgeführt wird, z. B. einem Cloud Run-Container.
Demonstrating Proof-of-Possession (DPoP): Das Protokoll, das Agents nach dem Durchlaufen von Agent Gateway verwenden müssen, um sich bei Google Cloud -APIs zu authentifizieren und auf Ressourcen zuzugreifen. Vergleich mit gegenseitigem TLS DPoP basiert auf RFC 9449.
DPoP-Schlüsselverwaltung: Die zugrunde liegenden Agent-Identitätspools werden mit den erforderlichen Paaren aus öffentlichem und privatem Schlüssel bereitgestellt, um DPoP-Vorgänge zu unterstützen.
DPoP-gebundenes Autorisierungstoken: Die Plattform bindet auch ein Autorisierungstoken an den Agent. Dieses Token unterstützt DPoP, da es an das Zertifikat des Agents gebunden und mit einem von Agent Identity verwalteten Schlüsselpaar signiert ist. Der kontextsensitiven Zugriff erzwingt das Vorhandensein und die Gültigkeit dieses DPoP-Tokens und bestätigt so, dass der Aufrufer den zugehörigen privaten Schlüssel besitzt.
Gegenseitiges TLS: Das Authentifizierungsprotokoll, das von Agent-Identitäten für den Zugriff aufGoogle Cloud -APIs verwendet wird, einschließlich des Zugriffs auf das Agent Gateway. Mit DPoP vergleichen.
DPoP-Nachweis für Ressourcen: Ein kryptografischer Nachweis, der von Agent Gateway generiert und für Google Cloud-APIs bereitgestellt wird.
SPIFFE-Identität: Bei der Bereitstellung wird für jeden Agent automatisch eine eindeutige, kryptografisch überprüfbare Identität bereitgestellt, die dem SPIFFE-Framework (Secure Production Identity Framework For Everyone) entspricht. SPIFFE bietet ein Framework für die föderierte Dienstidentität in cloudnativen Umgebungen.
X.509-Zertifikat: Der Container des Agents erhält ein X.509-Zertifikat, das von einer von Google verwalteten Vertrauensdomäne ausgestellt wird und die SPIFFE-Identität des Containers repräsentiert. Dieses Zertifikat wird verwendet, um sichere Kommunikationskanäle einzurichten.
Erzwingung des kontextsensitiven Zugriffs über das Agent Gateway
Die Agent Platform verwendet den kontextsensitiven Zugriff, um die Inline-Sicherheit von einer Agent-Identität zum Agent Gateway und vom Agent Gateway zur Ressource zu erzwingen. Der kontextsensitive Zugriff ist Teil der folgenden Arbeitsabläufe.
Agent-Bereitstellung
Ein Agent wird in einer Gemini Enterprise Agent Platform Runtime bereitgestellt.
Mit Agent Identity wird Folgendes automatisch bereitgestellt:
Ein Identitätspool für KI-Agenten, der ein Schlüsselpaar enthält
Eine Agent-Arbeitslast im Pool mit folgenden Eigenschaften:
Eine eindeutige SPIFFE-Identität
Ein eindeutiges, signiertes arbeitslastbezogenes Zugriffstoken, das ein verschlüsseltes DPoP-Autorisierungs-Proof enthält.
Agent-to-Agent Gateway-Zugriff mit mTLS
Wenn der Agent über mTLS auf Google Cloud APIs zugreift, muss er das Agent Gateway durchlaufen. mTLS bietet in diesem Fall einen sicheren Kanal zwischen zwei Parteien, dem Agent und dem Agent Gateway.
Der kontextsensitiven Zugriff prüft, ob der Agent mit zertifikatgebundenen Tokens bereitgestellt wird und mTLS verwendet.
Das Agent Gateway prüft, ob der Agent auf die Ressource zugreifen darf.
Das Agent Gateway verwendet IAP, um die IAM-Zulassungsrichtlinie des Agents zu prüfen. Wenn der Zugriffsversuch des Agents durch die IAM-Zulassungsrichtlinie für die Zielressource zugelassen wird, ermöglicht das Agent Gateway dem Agent, Google Cloud-APIs aufzurufen.
Da mTLS jedoch am Agent Gateway endet, muss DPoP verwendet werden, um den Agenten neu zu authentifizieren, wenn er versucht, aufGoogle Cloud -APIs zuzugreifen.
Zugriff vom KI-Agenten-Gateway auf Ressourcen mit DPoP
Um DPoP zu aktivieren, verwendet das Agent Gateway IAP, um einen DPoP-Nachweis für Ressourcen zu generieren. Agent Gateway übergibt den DPoP-Nachweis für die Ressource an Google Cloud -APIs.
Der Agent versucht, auf Google Cloud -APIs zuzugreifen.
Beim kontextsensitiven Zugriff wird kryptografisch geprüft, ob der DPoP-Nachweis für die Autorisierung und der DPoP-Nachweis für die Ressource mit demselben privaten Schlüssel im Identitätspool des Agents generiert wurden.
Wenn der kontextsensitive Zugriff beide DPoP-Nachweise überprüft, darf der Agent über Google Cloud APIs auf die Ressource zugreifen.
Erzwingung der CAA-Richtlinie deaktivieren
In einigen Situationen möchten Sie möglicherweise die Erzwingung von Richtlinien für den kontextsensitiven Zugriff deaktivieren. Möglicherweise haben Sie beispielsweise bestimmte Anforderungen für die gemeinsame Nutzung von Tokens zwischen Kundenservicemitarbeitern.
Wenn Sie die Durchsetzung der CAA-Richtlinie deaktivieren möchten, legen Sie die folgende Umgebungsvariable fest:
GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES=False