אתם יכולים להשתמש בבקרת גישה מבוססת-הקשר עם mTLS, שנקראת גם גישה מבוססת-אישורים (CBA), כדי לדרוש אישורי X.509 מאומתים לגישה למשאבים של Google Cloud . פרטי הכניסה הנוספים מספקים אות חזק יותר של זהות המכשיר, ועוזרים להגן על הארגון מפני גניבת פרטי כניסה או אובדן מקרי שלהם. כדי לקבל גישה, המשתמש צריך לספק את פרטי הכניסה שלו וגם את אישור המכשיר המקורי.
הסתמכות רק על פרטי כניסה, כמו אסימוני הרשאה, כדי להעניק גישה לממשקי ה-API ולמשאבים של Google Cloudעלולה לסכן אתכם. הקרדנטיאלס האלה יכולים להיחשף בגלל טעות של משתמש או להפוך למטרה עיקרית של תוקפים. אם התוקפים ישיגו את פרטי הכניסה, הם יוכלו להשתמש בהם שוב כדי לגשת למשאבים.
שימוש ב-CBA משפר את האבטחה של המשאבים שלכם כי הוא מחייב גורם הרשאה נוסף – אישור מכשיר. אישורים של מכשירים עוברים אימות ואימות באמצעות לחיצת יד בו-זמנית של TLS. כדי לעשות זאת, המשתמשים צריכים להוכיח שהם מחזיקים במפתח הפרטי שמשויך לאישור, וכך לספק אות חזק של זהות המכשיר.
האיור הבא ממחיש את תהליך הגישה של CBA:
היתרונות של שימוש ב-CBA של Google
אלה כמה מהיתרונות של שימוש ב-CBA.
- אבטחה מקיפה
- הגנה על משאבים חשובים על ידי מניעת גישה באמצעות פרטי כניסה גנובים ממכשירים לא מהימנים, כמו גניבת קובצי Cookie.
- מגן על כל Google Cloud בקשות ה-API ללא קשר לנקודות הגישה, כולל ברשתות מקומיות או ברשתות של Google, ובדפדפני אינטרנט או באפליקציות למחשב.
- אמצעי בקרה פרטניים על מדיניות
- פועל בצורה חלקה עם אזורי השירות של VPC Service Controls ומאפשר לכם לציין בקרת גישה מפורטת למשאבים.
- עובד בצורה חלקה עם קבוצות משתמשים ומאפשר להחיל CBA על קבוצת משתמשים.
- חוויית מפתחים טובה
- תמיכה אוטומטית ב-CBA בספריות ובכלים נפוצים, כמו ה-CLI של gcloud, שמפחיתה את עלות התכנות של השימוש ב-CBA.