Sicurezza dell'agente di accesso sensibile al contesto

Questo documento descrive in che modo l'accesso sensibile al contesto supporta la sicurezza end-to-end all'interno della piattaforma agentica Gemini Enterprise applicando l'autenticazione e l'autorizzazione mutual TLS (mTLS) e la dimostrazione della prova di possesso (DPoP) all'interno della piattaforma agentica Gemini Enterprise.

Nella piattaforma agentica Gemini Enterprise, Agent Gateway (anteprima) può gestire il controllo dell'accesso in linea per tutte le interazioni da agente ad agente e da agente a qualsiasi altra entità.

Per impostazione predefinita, l'accesso sensibile al contesto impone che gli agenti regolati da Agent Gateway utilizzino i seguenti metodi per la sicurezza di autenticazione (authn) e autorizzazione (authz):

• mutual TLS (mTLS): per proteggere gli agenti che accedono ad Agent Gateway, l'accesso sensibile al contesto e IAP impongono che gli agenti utilizzino mTLS verificando l'associazione dei token basata su certificati.

• Dimostrazione della prova di possesso (DPoP): per proteggere gli agenti che accedono ai servizi oltre Agent Gateway, l'accesso sensibile al contesto impone che le identità degli agenti siano valide utilizzando DPoP.

Quando Agent Gateway è disabilitato, gli agenti possono accedere direttamente alle Google Cloud API tramite mTLS. Tuttavia, quando Agent Gateway è abilitato, il gateway termina mTLS, quindi è necessario utilizzare DPoP.

Applicando mTLS e DPoP, l'accesso sensibile al contesto fornisce una sicurezza di base end-to-end e aiuta a proteggere dal furto di credenziali e dal takeover dell'account (ATO). L'applicazione dei criteri di accesso sensibile al contesto aiuta a garantire che i token compromessi siano inutili al di fuori dei runtime attendibili previsti. L'applicazione dell'associazione delle credenziali aiuta a garantire l'isolamento delle credenziali tra i tenant di runtime della piattaforma agentica Gemini Enterprise distinti.

Concetti fondamentali

I seguenti concetti sono fondamentali per comprendere in che modo l'accesso sensibile al contesto applica la sicurezza per le interazioni degli agenti con le risorse utilizzando mTLS e DPoP.

• Pool di identità dell'agente: un raggruppamento di risorse e configurazioni che gestisce le credenziali di sicurezza e le chiavi per un insieme specifico di agenti.

• Prova DPoP di autorizzazione: una prova crittografica generata da Agent Identity quando a un agente viene assegnata inizialmente un'identità.

• Token di accesso al workload associato al certificato: un token associato crittograficamente al certificato X.509 dell'agente. Questo token viene utilizzato per autenticare l' agente per l'accesso mTLS alle risorse tramite le Google Cloud API, incluso l' Agent Gateway. I criteri di accesso sensibile al contesto (CAA) applicano l'utilizzo di mutual TLS (mTLS) convalidando questa associazione. La convalida garantisce che il token sia utilizzabile solo dall'agente in esecuzione nel suo ambiente di cui è stato eseguito il provisioning, ad esempio un container Cloud Run.

• Dimostrazione della prova di possesso (DPoP): il protocollo che gli agenti devono utilizzare dopo aver attraversato Agent Gateway per autenticarsi e accedere alle risorse tramite Google Cloud le API. Confronta con mutual TLS. DPoP si basa sulla RFC 9449.

• Gestione delle chiavi DPoP: i pool di identità degli agenti sottostanti vengono sottoposti a provisioning con le coppie di chiave pubblica/privata necessarie per supportare le operazioni DPoP.

• Token di autorizzazione associato a DPoP: la piattaforma associa anche un token di autorizzazione all'agente. Questo token supporta DPoP perché è associato al certificato dell'agente e firmato utilizzando una coppia di chiavi gestita da Agent Identity. L'accesso sensibile al contesto applica la presenza e la validità di questo token DPoP, confermando che il chiamante possiede la chiave privata associata.

• mutual TLS: il protocollo di autenticazione utilizzato dalle identità degli agenti per accedere alle Google Cloud API, incluso l'accesso ad Agent Gateway. Confronta con DPoP.

• Prova DPoP della risorsa: una prova crittografica generata da Agent Gateway e fornita alle Google Cloud API.

• Identità SPIFFE: al momento del deployment, a ogni agente viene eseguito automaticamente il provisioning di un'identità univoca e verificabile crittograficamente che segue il framework SPIFFE (Secure Production Identity Framework For Everyone). SPIFFE fornisce un framework per l'identità del servizio federato negli ambienti cloud-native.

• Certificato X.509: il container dell'agente riceve un certificato X.509, emesso da un dominio di trust gestito da Google, che rappresenta la sua identità SPIFFE. Questo certificato viene utilizzato per stabilire canali di comunicazione sicuri.

Applicazione dell'accesso sensibile al contesto tramite Agent Gateway

Agent Platform utilizza l'accesso sensibile al contesto per applicare la sicurezza in linea dall'identità di un agente ad Agent Gateway e da Agent Gateway alla risorsa. L'accesso sensibile al contesto fa parte dei seguenti flussi di lavoro.

Deployment dell'agente

1. Un agente viene sottoposto a deployment in un runtime della piattaforma agentica Gemini Enterprise.

2. Agent Identity esegue automaticamente il provisioning di quanto segue:

   • Un pool di identità dell'agente che contiene una coppia di chiavi

   • Un workload dell'agente all'interno del pool che ha quanto segue:

     • Un' identità SPIFFE univoca

     • Un token di accesso al workload associato al certificato univoco e firmato che contiene una prova DPoP di autorizzazione criptata

Accesso da agente ad Agent Gateway tramite mTLS

1. Quando l'agente utilizza mTLS per accedere alle Google Cloud API, l'agente deve passare attraverso Agent Gateway. mTLS fornisce un canale sicuro tra due parti, l'agente e Agent Gateway, in questo caso.

2. L'accesso sensibile al contesto verifica che all'agente sia stato eseguito il provisioning con token associati al certificato e che utilizzi mTLS.

3. Agent Gateway verifica che l'agente sia autorizzato ad accedere alla risorsa.

   Agent Gateway utilizza IAP per controllare il criterio di autorizzazione IAM dell'agente. Se il tentativo di accesso dell'agente è consentito dal criterio di autorizzazione IAM sulla risorsa di destinazione, Agent Gateway consente all'agente di chiamare Google Cloud le API.

   Tuttavia, poiché mTLS termina in Agent Gateway, è necessario utilizzare DPoP per eseguire nuovamente l'autenticazione dell'agente quando tenta di accedere alle Google Cloud API.

Accesso da Agent Gateway a una risorsa tramite DPoP

1. Per abilitare DPoP, Agent Gateway utilizza IAP per generare una prova DPoP della risorsa. Agent Gateway passa la prova DPoP della risorsa alle Google Cloud API.

2. L'agente tenta di accedere alle Google Cloud API.

3. L'accesso sensibile al contesto verifica crittograficamente che la prova DPoP di autorizzazione e la prova DPoP della risorsa siano state generate utilizzando la stessa chiave privata nel pool di identità dell'agente.

4. Se l'accesso sensibile al contesto verifica entrambe le prove DPoP, l'agente è autorizzato ad accedere alla risorsa tramite le Google Cloud API.

Disabilitare l'applicazione dei criteri CAA

In alcune situazioni, potresti voler disattivare l'applicazione dei criteri di accesso sensibile al contesto. Ad esempio, potresti avere requisiti specifici per la condivisione dei token tra gli agenti.

Per disabilitare l'applicazione dei criteri CAA, imposta la seguente variabile di ambiente:

GOOGLE_API_PREVENT_AGENT_TOKEN_SHARING_FOR_GCP_SERVICES=False

Passaggi successivi

• Scopri di più sulla RFC 9449 per la dimostrazione della prova di possesso (DPoP).

• Scopri di più sull'autenticazione client TLS reciproca e sui token di accesso associati al certificato RFC 8705.