Puedes usar el acceso basado en certificados (CBA) para exigir certificados X.509 verificados para acceder a los recursos de Google Cloud . La credencial adicional proporciona una señal más sólida de identidad del dispositivo y ayuda a proteger a tu organización contra la pérdida accidental o el robo de credenciales, ya que requiere que estén presentes tanto las credenciales del usuario como el certificado de dispositivo original antes de otorgar acceso.
Confiar solo en las credenciales, como los tokens de portador, para otorgar acceso a las APIs y los recursos puede ponerte en riesgo. Google CloudEsas credenciales pueden quedar expuestas por errores del usuario o convertirse en objetivos principales para los atacantes. Si los atacantes obtienen las credenciales, pueden reproducirlas para acceder a los recursos.
Con la CBA, mejoras la seguridad de tus recursos, ya que se requiere un factor de autorización adicional, un certificado de dispositivo. Los certificados de dispositivo se validan y verifican con un protocolo de enlace TLS mutuo. Esto requiere que los usuarios demuestren la posesión de la clave privada asociada con el certificado, lo que proporciona un indicador sólido de la identidad del dispositivo.
A continuación, se muestra una ilustración general del flujo de acceso a la CBA:
Beneficios de usar la CBA de Google
A continuación, se indican algunos de los beneficios de usar la CBA.
- Comprehensive Security
- Protege tus recursos importantes, ya que impide el acceso con credenciales robadas de dispositivos no confiables, como el robo de cookies.
- Protege todas las Google Cloud solicitudes a la API, independientemente de los puntos de acceso, incluidas las redes locales o de Google, y los navegadores web o las aplicaciones de escritorio.
- Control de políticas detallado
- Funciona a la perfección con los perímetros de servicio de los Controles del servicio de VPC y te permite especificar un control de acceso detallado a tus recursos.
- Funciona a la perfección con grupos de usuarios y te permite aplicar la CBA a un grupo de usuarios.
- Buena experiencia del desarrollador
- Compatibilidad automatizada con la CBA en bibliotecas y herramientas comunes, como gcloud CLI, lo que reduce el costo de programación del uso de la CBA