Halaman ini menjelaskan praktik terbaik untuk menggunakan Identity-Aware Proxy (IAP).
Caching
- Jangan menggunakan CDN pihak ketiga di depan aplikasi Anda. CDN dapat meng-cache
konten dan menayangkan halaman yang di-cache kepada pengguna yang tidak diautentikasi.
- Jika Anda memiliki resource besar yang tidak sensitif dan ingin ditayangkan dari CDN, gunakan domain terpisah seperti
images.yourapp.comuntuk resource ini. Gunakan CDN dengan domain tersebut dan tambahkan header respons HTTPCache-control: privateke semua objek yang hanya boleh ditayangkan kepada pengguna terautentikasi.
- Jika Anda memiliki resource besar yang tidak sensitif dan ingin ditayangkan dari CDN, gunakan domain terpisah seperti
Mengamankan aplikasi Anda
Untuk mengamankan aplikasi dengan benar, Anda harus menggunakan header bertanda tangan untuk aplikasi lingkungan standar App Engine, Compute Engine, dan GKE.
Mengonfigurasi firewall
-
Pastikan semua permintaan ke Compute Engine atau GKE dirutekan melalui
load balancer:
- Konfigurasi aturan firewall untuk mengizinkan pemeriksaan kondisi dan pastikan semua traffic ke Virtual Machine (VM) Anda berasal dari IP Google Front End (GFE).
- Untuk perlindungan tambahan, periksa IP sumber permintaan di aplikasi Anda untuk memastikan permintaan tersebut berasal dari rentang IP yang sama dengan yang diizinkan oleh aturan firewall.
-
Di konsol Google Cloud , IAP menampilkan error atau peringatan jika aturan firewall Anda tampaknya disiapkan dengan salah. Konsol IAP Google Cloud tidak mendeteksi VM mana yang digunakan untuk setiap layanan, sehingga analisis firewall tidak menyertakan fitur lanjutan seperti jaringan non-default dan tag aturan firewall. Untuk melewati analisis ini, aktifkan
IAP melalui
perintah
gcloud compute backend-services update.