בדף הזה מוסבר על שיטות מומלצות לשימוש בשרת Proxy לאימות זהויות (IAP).
שמירה במטמון
- אל תשתמשו ב-CDN של צד שלישי לפני האפליקציה שלכם. יכול להיות שרשתות CDN ישמרו תוכן במטמון ויציגו דפים שמורים במטמון למשתמשים לא מאומתים.
- אם יש לכם משאבים גדולים ולא רגישים שאתם רוצים להציג מ-CDN, השתמשו בדומיין נפרד כמו
images.yourapp.comבשביל המשאבים האלה. משתמשים ב-CDN עם הדומיין הזה ומוסיפים את כותרת התגובהCache-control: privateHTTP לכל האובייקטים שצריכים להיות מוצגים רק למשתמשים מאומתים.
- אם יש לכם משאבים גדולים ולא רגישים שאתם רוצים להציג מ-CDN, השתמשו בדומיין נפרד כמו
אבטחת האפליקציה
כדי לאבטח את האפליקציה בצורה נכונה, צריך להשתמש בכותרות חתומות באפליקציות של הסביבה הרגילה של App Engine, Compute Engine ו-GKE.
הגדרת חומת האש
-
מוודאים שכל הבקשות ל-Compute Engine או ל-GKE מנותבות דרך מאזן העומסים:
- מגדירים כלל חומת אש שמאפשר בדיקת תקינות ומוודאים שכל התעבורה למכונה הווירטואלית מגיעה מכתובת IP של ממשק קצה של Google (GFE).
- כדי להוסיף הגנה, כדאי לבדוק את כתובת ה-IP של המקור של הבקשות באפליקציה כדי לוודא שהן מגיעות מאותו טווח כתובות IP שהכלל של חומת האש מאפשר.
-
במסוף Google Cloud , IAP מציג שגיאה או אזהרה אם נראה שכללי חומת האש לא הוגדרו בצורה נכונה. מסוף IAP Google Cloud לא מזהה איזו מכונה וירטואלית משמשת לכל שירות, ולכן ניתוח חומת האש לא כולל תכונות מתקדמות כמו רשתות לא ברירת מחדל ותגי כללי חומת אש. כדי לעקוף את הניתוח הזה, מפעילים את IAP באמצעות הפקודה
gcloud compute backend-services update.