Você pode usar o acesso baseado em certificado (CBA) para exigir certificados X.509 verificados para acessar recursos do Google Cloud . A credencial adicional fornece um sinal mais forte da identidade do dispositivo e ajuda a proteger sua organização contra roubo de credenciais ou perda acidental, exigindo que as credenciais do usuário e o certificado do dispositivo original estejam presentes antes de conceder acesso.
Confiar apenas em credenciais, como tokens de acesso, para conceder acesso às APIs e aos recursos do Google Cloudpode colocar você em risco. Essas credenciais podem ser expostas por erro do usuário ou se tornar alvos principais para invasores. Se os invasores conseguirem as credenciais, eles poderão reproduzi-las para acessar recursos.
Ao usar a CBA, você aumenta a segurança dos seus recursos exigindo um fator de autorização adicional, um certificado de dispositivo. Os certificados de dispositivo são validados e verificados usando um handshake de TLS mútuo. Isso exige que os usuários provem a posse da chave privada associada ao certificado, fornecendo um sinal forte da identidade do dispositivo.
Confira a seguir uma ilustração de alto nível do fluxo de acesso da CBA:
Benefícios de usar o CBA do Google
Confira alguns dos benefícios de usar a CBA.
- Comprehensive Security
- Protege seus recursos importantes impedindo o acesso usando credenciais roubadas de dispositivos não confiáveis, como roubo de cookies.
- Protege todas as solicitações de API Google Cloud , independentemente dos pontos de acesso, incluindo redes locais ou do Google, navegadores da Web ou aplicativos para computador.
- Controle de políticas refinado
- Funciona perfeitamente com os perímetros de serviço do VPC Service Controls e permite especificar o controle de acesso refinado aos seus recursos.
- Funciona perfeitamente com grupos de usuários e permite aplicar a CBA a um grupo de usuários.
- Boa experiência do desenvolvedor
- Suporte automatizado à CBA em bibliotecas e ferramentas comuns, como a CLI gcloud, que reduz o custo de programação do uso da CBA.