Anda dapat menggunakan akses berbasis sertifikat (CBA) untuk mewajibkan sertifikat X.509 terverifikasi untuk akses ke Google Cloud resource. Kredensial tambahan memberikan sinyal identitas perangkat yang lebih kuat dan membantu melindungi organisasi Anda dari pencurian kredensial atau kehilangan yang tidak disengaja dengan mewajibkan kredensial pengguna dan sertifikat perangkat asli ada sebelum memberikan akses.
Hanya mengandalkan kredensial, seperti token pembawa, untuk memberikan akses ke Google Cloud API dan resource dapat menimbulkan risiko. Kredensial tersebut dapat diekspos oleh kesalahan pengguna atau menjadi target utama bagi penyerang. Jika penyerang mendapatkan kredensial, mereka dapat memutar ulang kredensial untuk mengakses resource.
Dengan menggunakan CBA, Anda meningkatkan keamanan resource dengan mewajibkan faktor otorisasi tambahan, yaitu sertifikat perangkat. Sertifikat perangkat divalidasi dan diverifikasi menggunakan handshake TLS timbal balik. Hal ini mengharuskan pengguna membuktikan kepemilikan kunci pribadi yang terkait dengan sertifikat, sehingga memberikan sinyal kuat identitas perangkat.
Berikut adalah ilustrasi umum alur akses CBA:
Manfaat menggunakan CBA Google
Berikut adalah beberapa manfaat menggunakan CBA.
- Keamanan Komprehensif
- Melindungi resource penting Anda dengan mencegah akses menggunakan kredensial yang dicuri dari perangkat yang tidak tepercaya, seperti pencurian cookie.
- Melindungi semua Google Cloud permintaan API terlepas dari titik akses, termasuk jaringan lokal atau Google, dan aplikasi desktop atau browser web.
- Kontrol Kebijakan yang Mendetail
- Berfungsi lancar dengan perimeter layanan Kontrol Layanan VPC dan memungkinkan Anda menentukan kontrol akses terperinci atas resource Anda.
- Berfungsi lancar dengan grup pengguna dan memungkinkan Anda menerapkan CBA ke sekelompok pengguna.
- Pengalaman Developer yang Baik
- Dukungan CBA otomatis di library dan alat umum, seperti gcloud CLI, yang mengurangi biaya pemrograman penggunaan CBA.