証明書ベースのアクセス(CBA)を使用すると、Google Cloud リソースへのアクセスに検証済みの X.509 証明書を必須にできます。追加の認証情報はデバイス ID のシグナルを強化し、アクセス権を付与する前に、ユーザー認証情報と元のデバイス証明書の両方を要求することで、認証情報の盗難や偶発的な紛失から組織を保護します。
ベアラートークンなどの認証情報のみを使用して Google Cloud APIs とリソースへのアクセスを許可すると、リスクが生じる可能性があります。これらの認証情報は、ユーザーエラーによって公開されたり、攻撃者の主要な標的になったりするおそれがあります。攻撃者が認証情報を取得すると、認証情報を再生してリソースにアクセスできます。
CBA を使用すると、追加の承認要素(デバイス証明書)を要求することで、リソースのセキュリティを強化できます。デバイス証明書は、相互 TLS handshake を使用して検証および確認されます。これにより、ユーザーは証明書に関連付けられた秘密鍵を保持していることを証明する必要があり、デバイス ID の強力なシグナルが提供されます。
CBA アクセス フローの概要は次のとおりです。
Google CBA を使用するメリット
CBA を使用するメリットは次のとおりです。
- 包括的なセキュリティ
- 信頼できないデバイスから盗まれた認証情報(Cookie の盗難など)を使用してアクセスできないようにすることで、重要なリソースを保護します。
- オンプレミス ネットワークや Google ネットワーク、ウェブブラウザやデスクトップ アプリケーションなど、アクセス ポイントに関係なく、すべての Google Cloud API リクエストを保護します。
- きめ細かいポリシー制御
- VPC Service Controls サービス境界とシームレスに連携し、リソースに対するきめ細かいアクセス制御を指定できます。
- ユーザー グループとシームレスに連携し、ユーザー グループに CBA を適用できます。
- 優れたデベロッパー エクスペリエンス
- gcloud CLI などの一般的なライブラリとツールで CBA の自動化をサポート。これにより、CBA の使用によるプログラミング コストを削減できます。