Questa pagina descrive le best practice per l'utilizzo di Identity-Aware Proxy (IAP).
Memorizzazione nella cache
- Non utilizzare una CDN di terze parti davanti all'applicazione. Le CDN potrebbero memorizzare nella cache i contenuti e pubblicare le pagine memorizzate nella cache per gli utenti non autenticati.
- Se hai risorse di grandi dimensioni e non sensibili che vuoi pubblicare da una CDN, utilizza un dominio separato, ad esempio
images.yourapp.com, per queste risorse. Utilizza la CDN con questo dominio e aggiungi l'intestazione della risposta HTTPCache-control: privatea tutti gli oggetti che devono essere pubblicati solo per gli utenti autenticati.
- Se hai risorse di grandi dimensioni e non sensibili che vuoi pubblicare da una CDN, utilizza un dominio separato, ad esempio
Proteggere la tua app
Per proteggere correttamente la tua app, devi utilizzare le intestazioni con firma per le applicazioni dell'ambiente standard App Engine, Compute Engine e GKE.
Configurare il firewall
-
Assicurati che tutte le richieste a Compute Engine o GKE vengano instradate tramite
il bilanciatore del carico:
- Configura una regola firewall per consentire il controllo di integrità e assicurati che tutto il traffico verso la tua macchina virtuale (VM) provenga da un indirizzo IP di Google Front End (GFE) IP.
- Per una protezione aggiuntiva, controlla l'indirizzo IP di origine delle richieste nella tua app per assicurarti che provengano dallo stesso intervallo IP consentito dalla regola firewall.
-
Nella Google Cloud console, IAP mostra un errore o un avviso se le regole firewall
sembrano essere configurate in modo errato. La console IAP Google Cloud non
rileva quale VM viene utilizzata per ogni servizio, pertanto l'analisi del firewall non include funzionalità avanzate
come reti non predefinite e tag delle regole firewall. Per ignorare questa analisi, abilita
IAP tramite il
gcloud compute backend-services updatecomando.