En este documento, se describe cómo el Acceso según el contexto admite la seguridad de extremo a extremo en la plataforma de agentes de Gemini Enterprise aplicando la TLS mutua (mTLS) y demostrando la autenticación y autorización de la prueba de posesión (DPoP) en la plataforma de agentes de Gemini Enterprise.
En Agent Platform de Gemini Enterprise, Agent Gateway (versión preliminar) puede regir el control de acceso intercalado para todas las interacciones de agente a agente y de agente a cualquier lugar.
El Acceso adaptado al contexto, que está activado de forma predeterminada, exige que los agentes que se rigen por Agent Gateway usen los siguientes métodos para la seguridad de autenticación (authn) y autorización (authz):
TLS mutua (mTLS): Para ayudar a proteger los agentes que acceden a Agent Gateway, el IAP y el Acceso basado en el contexto exigen que los agentes usen mTLS verificando la vinculación de tokens basados en certificados.
Demostración de prueba de posesión (DPoP): Para ayudar a proteger los agentes que acceden a servicios más allá de la puerta de enlace de agente, el Acceso adaptado al contexto exige que las identidades de los agentes sean válidas a través de DPoP.
Cuando Agent Gateway está inhabilitado, los agentes pueden acceder directamente a las APIs deGoogle Cloud a través de mTLS. Sin embargo, cuando la puerta de enlace del agente está habilitada, la puerta de enlace finaliza mTLS, por lo que se debe usar DPoP.
Al aplicar mTLS y DPoP, el Acceso según el contexto proporciona seguridad básica de extremo a extremo y ayuda a proteger contra el robo de credenciales y la apropiación de cuentas (ATO). La aplicación forzosa de políticas de Acceso adaptado al contexto ayuda a garantizar que los tokens vulnerados sean inútiles fuera de sus tiempos de ejecución previstos y confiables. La aplicación de acceso según el contexto de la vinculación de credenciales ayuda a garantizar el aislamiento de las credenciales entre los distintos usuarios del entorno de ejecución de la plataforma de agentes de Gemini Enterprise.
Conceptos clave
Los siguientes conceptos son clave para comprender cómo el acceso adaptado al contexto aplica la seguridad para las interacciones del agente con los recursos a través de mTLS y DPoP.
Grupo de identidades del agente: Es una agrupación de recursos y configuración que administra las credenciales y claves de seguridad para un conjunto específico de agentes.
Prueba de DPoP de autorización: Es una prueba criptográfica que genera la identidad del agente cuando se le asigna una identidad inicialmente.
Token de acceso de carga de trabajo vinculado a un certificado: Es un token vinculado de forma criptográfica al certificado X.509 del agente. Este token se usa para autenticar el agente para el acceso mTLS a los recursos a través de las APIs de Google Cloud , incluida la puerta de enlace del agente. Las políticas de acceso adaptado al contexto (CAA) aplican el uso de TLS mutua (mTLS) validando esta vinculación. La validación garantiza que el token solo pueda usarlo el agente que se ejecuta en su entorno aprovisionado, por ejemplo, un contenedor de Cloud Run.
Demostración de prueba de posesión (DPoP): Es el protocolo que los agentes deben usar después de pasar por Agent Gateway para autenticarse y acceder a los recursos a través de las APIs de Google Cloud . Comparación con la TLS mutua DPoP se basa en la RFC 9449.
Administración de claves de DPoP: Los grupos de identidades de agentes subyacentes se aprovisionan con los pares de clave pública/privada necesarios para admitir las operaciones de DPoP.
Token de autorización vinculado a DPoP: La plataforma también vincula un token de autorización al agente. Este token admite DPoP porque está vinculado al certificado del agente y se firma con un par de claves que administra la identidad del agente. El Acceso adaptado al contexto exige la presencia y la validez de este token de DPoP, lo que confirma que la entidad que llama posee la clave privada asociada.
TLS mutua: Es el protocolo de autenticación que usan las identidades de agente para acceder a las APIs deGoogle Cloud , incluido el acceso a la puerta de enlace del agente. Comparación con DPoP
Prueba de DPoP de recursos: Es una prueba criptográfica que genera Agent Gateway y se proporciona a las APIs de Google Cloud.
Identidad de SPIFFE: Tras la implementación, cada agente se aprovisiona automáticamente con una identidad única y criptográficamente verificable que sigue el framework de SPIFFE (Secure Production Identity Framework For Everyone). SPIFFE proporciona un framework para la identidad de servicio federada en entornos nativos de la nube.
Certificado X.509: El contenedor del agente recibe un certificado X.509, emitido por un dominio de confianza administrado por Google, que representa su identidad SPIFFE. Este certificado se usa para ayudar a establecer canales de comunicación seguros.
Aplicación del acceso adaptado al contexto a través de Agent Gateway
Agent Platform usa el acceso adaptado al contexto para aplicar seguridad intercalada desde una identidad del agente a Agent Gateway y desde Agent Gateway al recurso. El acceso adaptado al contexto forma parte de los siguientes flujos de trabajo.
Implementación de agentes
Se implementa un agente en un entorno de ejecución de Agent Platform de Gemini Enterprise.
La identidad del agente aprovisiona automáticamente lo siguiente:
Un grupo de identidades de agente que contiene un par de claves
Una carga de trabajo del agente dentro del grupo que tiene lo siguiente:
Una identidad SPIFFE única
Un token de acceso a la carga de trabajo vinculado a un certificado único y firmado que contiene una prueba de autorización DPoP encriptada
Acceso de puerta de enlace de agente a agente con mTLS
Cuando el agente usa mTLS para acceder a las APIs de Google Cloud , debe pasar por la puerta de enlace del agente. En este caso, mTLS proporciona un canal seguro entre dos partes, el agente y la puerta de enlace del agente.
El Acceso adaptado al contexto verifica que el agente se aprovisione con tokens vinculados a certificados y que use mTLS.
Agent Gateway verifica que el agente tenga permiso para acceder al recurso.
Agent Gateway usa IAP para verificar la política de permiso de IAM del agente. Si la política de permisos de IAM del recurso de destino permite el intento de acceso del agente, Agent Gateway permite que el agente llame a las APIs de Google Cloud.
Sin embargo, debido a que mTLS finaliza en Agent Gateway, se debe usar DPoP para volver a autenticar al agente cuando intenta acceder a las APIs deGoogle Cloud .
Acceso de la puerta de enlace del agente al recurso con DPoP
Para habilitar DPoP, Agent Gateway usa IAP para generar una prueba de DPoP de recursos. Agent Gateway pasa la prueba de DPoP del recurso a las APIs de Google Cloud .
El agente intenta acceder a las APIs de Google Cloud .
El acceso adaptado al contexto verifica de forma criptográfica que la prueba de DPoP de autorización y la prueba de DPoP de recursos se generaron con la misma clave privada en el grupo de identidades del agente.
Si el acceso adaptado al contexto verifica ambas pruebas de DPoP, el agente puede acceder al recurso a través de las APIs de Google Cloud .
Inhabilita la aplicación de la política de CAA
En algunas situaciones, es posible que desees inhabilitar la aplicación de la política de acceso adaptado al contexto. Por ejemplo, es posible que tengas requisitos específicos para compartir tokens entre agentes.
Para inhabilitar la aplicación de la política de CAA, configura la siguiente variable de entorno:
GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES=False
¿Qué sigue?
Obtén más información sobre el RFC 9449 de demostración de prueba de posesión (DPoP).
Obtén más información sobre RFC 8705 de autenticación de cliente con TLS mutua y tokens de acceso vinculados a certificados.