Mit dem zertifikatbasierten Zugriff (Certificate-Based Access, CBA) können Sie für den Zugriff auf Google Cloud Ressourcen bestätigte X.509-Zertifikate anfordern. Die zusätzlichen Anmeldedaten sorgen für ein stärkeres Signal der Geräteidentität und schützen Ihre Organisation vor Anmeldedatendiebstahl oder versehentlichem Verlust, da sowohl die Nutzeranmeldedaten als auch das ursprüngliche Gerätezertifikat vorhanden sein müssen, bevor Zugriff gewährt wird.
Wenn Sie sich nur auf Anmeldedaten wie Bearer-Tokens verlassen, um Zugriff auf die Google Cloud-APIs und -Ressourcen zu gewähren, kann dies ein Risiko darstellen. Diese Anmeldedaten können durch Nutzerfehler offengelegt werden oder zu primären Zielen für Angreifer werden. Wenn Angreifer die Anmeldedaten erhalten, können sie sie wiedergeben, um auf Ressourcen zuzugreifen.
Durch die Verwendung von CBA erhöhen Sie die Sicherheit Ihrer Ressourcen, da ein zusätzlicher Autorisierungsfaktor, ein Gerätezertifikat, erforderlich ist. Gerätezertifikate werden mit einem gegenseitigen TLS-Handshake validiert und verifiziert. Dazu müssen Nutzer nachweisen, dass sie den mit dem Zertifikat verknüpften privaten Schlüssel besitzen. Dies ist ein starkes Signal für die Geräteidentität.
Im Folgenden finden Sie eine allgemeine Darstellung des CBA-Zugriffsablaufs:
Vorteile der Verwendung von Google CBA
Im Folgenden sind einige Vorteile der Verwendung von CBA aufgeführt.
- Comprehensive Security
- Schützt Ihre wichtigen Ressourcen, indem der Zugriff mit gestohlenen Anmeldedaten von nicht vertrauenswürdigen Geräten verhindert wird, z. B. durch Cookie-Diebstahl.
- Schützt alle Google Cloud API-Anfragen unabhängig von Zugriffspunkten, einschließlich lokaler oder Google-Netzwerke und Webbrowser oder Desktopanwendungen.
- Detaillierte Richtlinienkontrolle
- Funktioniert nahtlos mit VPC Service Controls-Dienstperimetern und ermöglicht es Ihnen, eine detaillierte Zugriffssteuerung für Ihre Ressourcen festzulegen.
- Funktioniert nahtlos mit Nutzergruppen und ermöglicht es Ihnen, die kontextbezogene Authentifizierung auf eine Gruppe von Nutzern anzuwenden.
- Gute Entwicklererfahrung
- Automatisierte Unterstützung für die kundenbasierte Authentifizierung in gängigen Bibliotheken und Tools wie der gcloud CLI, wodurch die Programmierkosten für die Verwendung der kundenbasierten Authentifizierung gesenkt werden.