Ce document explique comment l'accès contextuel assure la sécurité de bout en bout dans Gemini Enterprise Agent Platform en appliquant l'authentification et l'autorisation TLS mutuelle (mTLS) et la démonstration de la preuve de possession (DPoP) dans Gemini Enterprise Agent Platform.
Dans Gemini Enterprise Agent Platform, Agent Gateway (Preview) peut régir le contrôle des accès intégré pour toutes les interactions entre agents et entre un agent et n'importe quel autre élément.
L'accès contextuel est activé par défaut et impose aux agents régis par Agent Gateway d'utiliser les méthodes suivantes pour la sécurité de l'authentification et de l'autorisation :
TLS mutuelle (mTLS) : pour sécuriser les agents accédant à Agent Gateway, l'accès contextuel et IAP imposent aux agents d'utiliser mTLS en validant la liaison de jetons basée sur les certificats.
Démonstration de la preuve de possession (DPoP) : pour sécuriser les agents qui accèdent à des services au-delà d'Agent Gateway, l'accès contextuel impose la validation des identités d'agent à l'aide de DPoP.
Lorsque Agent Gateway est désactivé, les agents peuvent accéder directement aux Google Cloud API via mTLS. Toutefois, lorsque Agent Gateway est activé, la passerelle met fin à mTLS. Vous devez donc utiliser DPoP.
En appliquant mTLS et DPoP, l'accès contextuel fournit une sécurité de base de bout en bout et permet de se protéger contre le vol d'identifiants et la prise de contrôle de compte. L'application des règles d'accès contextuel permet de s'assurer que les jetons compromis sont inutiles en dehors de leurs environnements d'exécution de confiance prévus. L'application de la liaison d'identifiants par l'accès contextuel permet d'assurer l'isolation des identifiants entre les différents locataires d'exécution de Gemini Enterprise Agent Platform.
Concepts clés
Les concepts suivants sont essentiels pour comprendre comment l'accès contextuel applique la sécurité pour les interactions des agents avec les ressources à l'aide de mTLS et de DPoP.
Pool d'identités d'agent : regroupement de ressources et de configurations qui gère les identifiants et les clés de sécurité pour un ensemble spécifique d'agents.
Preuve DPoP d'autorisation : preuve cryptographique générée par l'identité de l'agent lorsqu'une identité est initialement attribuée à un agent.
Jeton d'accès de charge de travail lié à un certificat : jeton lié de manière cryptographique au certificat X.509 de l'agent. Ce jeton est utilisé pour authentifier l' agent pour l'accès mTLS aux ressources via des Google Cloud API, y compris Agent Gateway. Les règles d'accès contextuel appliquent l'utilisation de la TLS mutuelle (mTLS) en validant cette liaison. La validation garantit que le jeton n'est utilisable que par l'agent s'exécutant dans son environnement provisionné, par exemple un conteneur Cloud Run.
Démonstration de la preuve de possession (DPoP) : protocole que les agents doivent utiliser après avoir traversé Agent Gateway pour s'authentifier auprès des ressources et y accéder via des Google Cloud API. Comparer avec la TLS mutuelle. DPoP est basé sur la norme RFC 9449.
Gestion des clés DPoP : les pools d'identités d'agent sous-jacents sont provisionnés avec les paires de clés publique/privée nécessaires pour prendre en charge les opérations DPoP.
Jeton d'autorisation lié à DPoP : la plate-forme lie également un jeton d'autorisation à l'agent. Ce jeton est compatible avec DPoP, car il est lié au certificat de l'agent et signé à l'aide d'une paire de clés gérée par l'identité de l'agent. L'accès contextuel applique la présence et la validité de ce jeton DPoP, confirmant que l'appelant possède la clé privée associée.
TLS mutuelle : protocole d'authentification utilisé par les identités d'agent pour accéder aux Google Cloud API, y compris à Agent Gateway. Comparer avec DPoP.
Preuve DPoP de ressource : preuve cryptographique générée par Agent Gateway et fournie aux Google Cloud API.
Identité SPIFFE : lors du déploiement, chaque agent est automatiquement provisionné avec une identité unique et vérifiable de manière cryptographique, qui suit le framework SPIFFE (Secure Production Identity Framework For Everyone). SPIFFE fournit un framework pour l'identité de service fédérée dans les environnements cloud natifs.
Certificat X.509 : le conteneur de l'agent reçoit un certificat X.509, émis par un domaine de confiance géré par Google, représentant son identité SPIFFE. Ce certificat permet d'établir des canaux de communication sécurisés.
Application de l'accès contextuel via Agent Gateway
Agent Platform utilise l'accès contextuel pour appliquer la sécurité intégrée d'une identité d'agent à Agent Gateway et d'Agent Gateway à la ressource. L'accès contextuel fait partie des workflows suivants.
Déploiement d'agent
Un agent est déployé sur un environnement d'exécution Gemini Enterprise Agent Platform.
L'identité de l'agent provisionne automatiquement les éléments suivants :
Un pool d'identités d'agent contenant une paire de clés
Une charge de travail d'agent dans le pool qui présente les caractéristiques suivantes :
Une identité SPIFFE unique
Un jeton d'accès de charge de travail lié à un certificat unique et signé, contenant une preuve DPoP d'autorisation chiffrée
Accès à la passerelle d'agent à agent à l'aide de mTLS
Lorsque l'agent utilise mTLS pour accéder aux Google Cloud API, il doit passer par Agent Gateway. mTLS fournit un canal sécurisé entre deux parties, l'agent et Agent Gateway, dans ce cas.
L'accès contextuel vérifie que l'agent est provisionné avec des jetons liés à un certificat et qu'il utilise mTLS.
Agent Gateway vérifie que l'agent est autorisé à accéder à la ressource.
Agent Gateway utilise IAP pour vérifier la stratégie d'autorisation IAM de l'agent. Si la tentative d'accès de l'agent est autorisée par la stratégie d'autorisation IAM sur la ressource cible, Agent Gateway permet à l'agent d'appeler Google Cloud des API.
Toutefois, comme mTLS se termine au niveau d'Agent Gateway, DPoP doit être utilisé pour réauthentifier l'agent lorsqu'il tente d'accéder Google Cloud aux API.
Accès de la passerelle d'agent à la ressource à l'aide de DPoP
Pour activer DPoP, Agent Gateway utilise IAP pour générer une preuve DPoP de ressource. Agent Gateway transmet la preuve DPoP de ressource aux Google Cloud API.
L'agent tente d'accéder aux Google Cloud API.
L'accès contextuel vérifie de manière cryptographique que la preuve DPoP d'autorisation et la preuve DPoP de ressource ont été générées à l'aide de la même clé privée dans le pool d'identités d'agent.
Si l'accès contextuel valide les deux preuves DPoP, l'agent est autorisé à accéder à la ressource via des Google Cloud API.
Désactiver l'application des règles d'accès contextuel
Dans certaines situations, vous pouvez désactiver l'application des règles d'accès contextuel. Par exemple, vous pouvez avoir des exigences spécifiques concernant le partage de jetons entre les agents.
Pour désactiver l'application des règles d'accès contextuel, définissez la variable d'environnement suivante :
GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES=False
Étape suivante
En savoir plus sur la norme RFC 9449 concernant la démonstration de la preuve de possession (DPoP).