您可以使用基于证书的访问权限 (CBA) 来要求用户在访问 Google Cloud 资源时提供经过验证的 X.509 证书。额外的凭据可提供更强的设备身份信号,并且要求在授予访问权限之前同时提供用户凭据和原始设备证书,从而有助于保护组织免遭凭据盗用或意外丢失。
仅依靠凭据(例如不记名令牌)来授予对 Google CloudAPI 和资源的访问权限可能会让您面临风险。这些凭据可能会因用户错误而泄露,或成为攻击者的主要目标。如果攻击者获取了凭据,他们可以重放凭据来访问资源。
通过使用 CBA,您可以要求使用额外的授权因素(即设备证书)来增强资源安全性。设备证书通过双向 TLS 握手进行验证。这要求用户证明其拥有与证书相关联的私钥,从而提供强烈的设备身份信号。
下图简要展示了 CBA 访问流程:
使用 Google CBA 的优势
以下是使用 CBA 的一些好处。
- Comprehensive Security
- 通过防止使用从不受信任的设备(例如通过窃取 Cookie)盗取的凭据进行访问,来保护您的重要资源。
- 无论访问点(包括本地网络或 Google 网络)是 Web 浏览器还是桌面应用,都能保护所有 Google Cloud API 请求。
- 精细的政策控制
- 可与 VPC Service Controls 服务边界无缝协作,让您能够对资源指定精细的访问权限控制。
- 可与用户群组无缝协作,让您能将 CBA 应用于一组用户。
- 良好的开发者体验
- 在 gcloud CLI 等常用库和工具中自动支持 CBA,从而降低使用 CBA 的编程成本。