Présentation de l'accès basé sur des certificats

Vous pouvez utiliser l'accès basé sur les certificats (CBA) pour exiger des certificats X.509 validés pour accéder aux ressources Google Cloud . Cet identifiant supplémentaire permet de renforcer le signal d'identité de l'appareil et de protéger votre organisation contre le vol ou la perte accidentelle d'identifiants, en exigeant que les identifiants de l'utilisateur et le certificat d'appareil d'origine soient tous deux présents avant d'accorder l'accès.

S'appuyer uniquement sur des identifiants, comme des jetons du porteur, pour accorder l'accès aux API et aux ressources Google Cloudpeut vous exposer à des risques. Ces identifiants peuvent être exposés par une erreur de l'utilisateur ou devenir des cibles privilégiées pour les pirates informatiques. Si des pirates informatiques obtiennent les identifiants, ils peuvent les réutiliser pour accéder aux ressources.

En utilisant l'authentification basée sur les certificats, vous renforcez la sécurité de vos ressources en exigeant un facteur d'autorisation supplémentaire, à savoir un certificat d'appareil. Les certificats d'appareil sont validés et vérifiés à l'aide d'un handshake TLS mutuel. Les utilisateurs doivent ainsi prouver qu'ils possèdent la clé privée associée au certificat, ce qui fournit un signal fort de l'identité de l'appareil.

Voici une illustration générale du flux d'accès à l'analyse coûts-avantages :

Flux d'accès CBA

Avantages de l'utilisation de la facturation basée sur la consommation Google

Voici quelques-uns des avantages de l'utilisation de la CBA.

Comprehensive Security
 Protège vos ressources importantes en empêchant l'accès à l'aide d'identifiants volés provenant d'appareils non fiables, comme le vol de cookies.
Protège toutes les requêtes d'API Google Cloud , quels que soient les points d'accès, y compris les réseaux Google ou sur site, ainsi que les navigateurs Web ou les applications pour ordinateur.
Contrôle précis des règles
Fonctionne de manière transparente avec les périmètres de service VPC Service Controls et vous permet de spécifier un contrôle d'accès précis à vos ressources.
Fonctionne de manière fluide avec les groupes d'utilisateurs et vous permet d'appliquer l'authentification basée sur les certificats à un groupe d'utilisateurs.
Bonne expérience développeur
Prise en charge automatisée de la CBA dans les bibliothèques et outils courants, tels que gcloud CLI, qui réduit le coût de programmation de l'utilisation de la CBA.

Étapes suivantes