Aggiungi limitazioni relative alle chiavi API alla tua chiave
Aggiungendo limitazioni, puoi limitare i modi in cui una chiave API può essere utilizzata, riducendo l'impatto di una chiave API compromessa.
Per saperne di più, consulta Applicare le limitazioni relative alle chiavi API.
Evita di utilizzare parametri di ricerca per fornire la chiave API alle API di Google
Se fornisci la chiave API alle API come parametro di query, la chiave API viene inclusa nell'URL, esponendola al furto tramite scansioni degli URL. Utilizza invece l'
x-goog-api-key intestazione HTTP
o una libreria client.
Elimina le chiavi API non necessarie per ridurre al minimo l'esposizione agli attacchi
Conserva solo le chiavi API che utilizzi attivamente per ridurre al minimo la superficie di attacco.
Non includere le chiavi API nel codice client e non eseguirne il commit nei repository di codice
Le chiavi API hardcoded nel codice sorgente o archiviate in un repository sono soggette a intercettazione o furto da parte di utenti malintenzionati. Il client deve passare le richieste al server, che può aggiungere le credenziali ed emettere la richiesta.
Non utilizzare le chiavi di autorizzazione in produzione
Le chiavi di autorizzazione sono progettate per accelerare l'esperienza iniziale degli sviluppatori che esplorano le Google Cloud API. Per la maggior parte delle API, ti consigliamo di non utilizzare le chiavi di autorizzazione negli ambienti di produzione.
Pianifica invece la migrazione ad alternative più sicure, come i criteri IAM (Identity and Access Management) e le credenziali dei account di servizio di breve durata, seguendo le pratiche di sicurezza con privilegi minimi.
Ecco perché dovresti eseguire la migrazione dall'utilizzo di una chiave di autorizzazione a pratiche più sicure il prima possibile:
Le chiavi API vengono inviate insieme alle richieste. In questo modo, è più probabile che la chiave venga esposta o registrata.
Le chiavi API sono credenziali portatrici. Ciò significa che se qualcuno ruba una chiave di autorizzazione, può utilizzarla per autenticarsi come quel account di servizio e accedere alle stesse risorse a cui può accedere il account di servizio.
Le chiavi di autorizzazione oscurano l'identità dell'utente finale negli audit log. Per monitorare le azioni dei singoli utenti, assicurati che ogni utente abbia il proprio set di credenziali.
Implementa monitoraggio e logging avanzati
Il monitoraggio dell'utilizzo delle API può aiutarti a ricevere avvisi in caso di utilizzo non autorizzato. Per saperne di più, consulta Panoramica di Cloud Monitoring e Panoramica di Cloud Logging.
Isola le chiavi API
Fornisci a ogni membro del team la propria chiave API per ogni applicazione. Questo può aiutarti a controllare l'accesso, fornire un audit trail e ridurre l'impatto di una chiave API compromessa.
Ruota periodicamente le chiavi API
Crea periodicamente nuove chiavi API, aggiorna le applicazioni in modo che utilizzino le nuove chiavi API ed elimina le chiavi precedenti.
Per saperne di più, consulta Ruotare una chiave API.
Valuta la possibilità di utilizzare un metodo più sicuro per autorizzare l'accesso
Per scegliere un metodo di autenticazione, consulta Metodi di autenticazione.