En esta página, se describen las prácticas recomendadas para usar Identity-Aware Proxy (IAP).
Almacenamiento en caché
- No utilices una CDN de terceros delante de tu aplicación. Las CDN pueden almacenar en caché contenido y entregar páginas almacenadas en caché a usuarios no autenticados.
- Si tienes recursos grandes y no confidenciales que deseas entregar desde una CDN, usa un dominio independiente como
images.yourapp.com
para estos recursos. Usa la CDN con ese dominio y agrega el encabezado de respuesta HTTPCache-control: private
a todos los objetos que solo se tengan que entregar a los usuarios autenticados.
- Si tienes recursos grandes y no confidenciales que deseas entregar desde una CDN, usa un dominio independiente como
Protege tu aplicación
Para proteger correctamente tu aplicación, debes usar encabezados firmados en el entorno estándar de App Engine, Compute Engine y las aplicaciones de GKE.
Configura tu firewall
- Asegúrate de que todas las solicitudes para Compute Engine o GKE se enruten a través del balanceador de cargas:
- Configura una regla de firewall para permitir verificaciones de estado y asegúrate de que todo el tráfico que recibe tu máquina virtual (VM) provenga de una IP de Google Front End (GFE).
- Si deseas más protección, verifica la IP de origen de las solicitudes de tu aplicación para asegurarte de que correspondan al mismo rango de IP que permite la regla de firewall.
-
En la consola de Google Cloud, IAP muestra un error o una advertencia si las reglas de firewall parecen estar configuradas incorrectamente. La consola de Google Cloud de IAP no detecta qué VM se usa para cada servicio, por lo que el análisis de firewall no incluye funciones avanzadas, como redes no predeterminadas ni etiquetas de reglas de firewall. Para omitir este análisis, habilita IAP con el comando
gcloud compute backend-services update
.