Pode usar o acesso baseado em certificados (CBA) para exigir certificados X.509 validados para acesso a Google Cloud recursos. A credencial adicional fornece um sinal mais forte da identidade do dispositivo e ajuda a proteger a sua organização contra o roubo de credenciais ou a perda acidental, exigindo que as credenciais do utilizador e o certificado do dispositivo original estejam presentes antes de conceder acesso.
Confiar apenas em credenciais, como tokens de portador, para conceder acesso às APIs e aos recursos do Google Cloud pode colocar a sua empresa em risco. Essas credenciais podem ser expostas por erro do utilizador ou tornar-se alvos principais para os atacantes. Se os atacantes obtiverem as credenciais, podem reproduzi-las para aceder aos recursos.
Ao usar a CBA, melhora a segurança dos seus recursos exigindo um fator de autorização adicional, um certificado do dispositivo. Os certificados de dispositivos são validados e verificados através de um handshake TLS mútuo. Isto requer que os utilizadores comprovem a posse da chave privada associada ao certificado, o que fornece um sinal forte da identidade do dispositivo.
Segue-se uma ilustração de nível superior do fluxo de acesso da CBA:
As vantagens da utilização do CBA da Google
Seguem-se algumas das vantagens da utilização da CBA.
- Segurança abrangente
- Protege os seus recursos importantes, impedindo o acesso através de credenciais roubadas de dispositivos não fidedignos, como o roubo de cookies.
- Protege todos os Google Cloud pedidos de API, independentemente dos pontos de acesso, incluindo redes locais ou da Google, e navegadores de Internet ou aplicações para computadores.
- Controlo de políticas detalhado
- Funciona perfeitamente com os perímetros de serviço dos VPC Service Controls e permite-lhe especificar um controlo de acesso detalhado sobre os seus recursos.
- Funciona perfeitamente com grupos de utilizadores e permite-lhe aplicar a CBA a um grupo de utilizadores.
- Boa experiência do programador
- Suporte de CBA automatizado em bibliotecas e ferramentas comuns, como a CLI gcloud, que reduz o custo de programação da utilização da CBA.