Puoi utilizzare l'accesso basato su certificati (CBA) per richiedere certificati X.509 verificati per l'accesso alle risorse. Google Cloud La credenziale aggiuntiva fornisce un segnale più forte dell'identità del dispositivo e contribuisce a proteggere la tua organizzazione dal furto o dalla perdita accidentale di credenziali richiedendo la presenza sia delle credenziali utente sia del certificato del dispositivo originale prima di concedere l'accesso.
Affidarsi solo alle credenziali, come i token di autenticazione, per concedere l'accesso alle API e alle risorse di Google Cloud può metterti a rischio. Queste credenziali possono essere esposte a causa di errori dell'utente o diventare obiettivi primari per i malintenzionati. Se gli aggressori ottengono le credenziali, possono riutilizzarle per accedere alle risorse.
Utilizzando l'autenticazione basata su certificati, aumenti la sicurezza delle tue risorse richiedendo un fattore di autorizzazione aggiuntivo, un certificato del dispositivo. I certificati del dispositivo vengono convalidati e verificati utilizzando un handshake mutual TLS. In questo modo, gli utenti devono dimostrare di possedere la chiave privata associata al certificato, fornendo un segnale forte dell'identità del dispositivo.
Di seguito è riportata un'illustrazione generale del flusso di accesso al CBA:
Vantaggi dell'utilizzo di Google CBA
Di seguito sono riportati alcuni vantaggi dell'utilizzo di CBA.
- Comprehensive Security
- Protegge le tue risorse importanti impedendo l'accesso tramite credenziali rubate da dispositivi non attendibili, ad esempio il furto di cookie.
- Protegge tutte le richieste API indipendentemente dai punti di accesso, incluse le reti on-premise o Google e le applicazioni web o desktop. Google Cloud
- Controllo granulare dei criteri
- Funziona perfettamente con i perimetri di servizio dei Controlli di servizio VPC e ti consente di specificare controllo dell'accesso granulare alle tue risorse.
- Funziona perfettamente con i gruppi di utenti e ti consente di applicare la fatturazione basata sull'attività a un gruppo di utenti.
- Buona esperienza di sviluppo
- Supporto automatico di CBA in librerie e strumenti comuni, come gcloud CLI, che riduce il costo di programmazione dell'utilizzo di CBA.