Praktik terbaik

Halaman ini menjelaskan praktik terbaik untuk menggunakan Identity-Aware Proxy (IAP).

Caching

• Jangan gunakan CDN pihak ketiga di depan aplikasi Anda. CDN dapat meng-cache konten dan menayangkan halaman yang di-cache kepada pengguna yang tidak diautentikasi.
  • Jika Anda memiliki resource besar yang tidak sensitif yang ingin ditayangkan dari CDN, gunakan domain terpisah seperti images.yourapp.com untuk resource ini. Gunakan CDN dengan domain tersebut dan tambahkan header respons HTTP Cache-control: private ke semua objek yang hanya boleh ditayangkan kepada pengguna yang diautentikasi.

Mengamankan aplikasi Anda

Untuk mengamankan aplikasi dengan benar, Anda harus menggunakan header yang ditandatangani untuk lingkungan standar App Engine, Compute Engine, dan aplikasi GKE.

Mengonfigurasi firewall

• Pastikan semua permintaan ke Compute Engine atau GKE dirutekan melalui load balancer:
  • Konfigurasikan aturan firewall untuk mengizinkan pemeriksaan status dan pastikan semua traffic ke Virtual Machine (VM) Anda berasal dari IP Google Front End (GFE).
  • Untuk perlindungan tambahan, periksa IP sumber permintaan di aplikasi Anda untuk memastikan permintaan tersebut berasal dari rentang IP yang sama dengan yang diizinkan oleh aturan firewall.
• Di konsol Google Cloud , IAP akan menampilkan error atau peringatan jika aturan firewall Anda tampaknya tidak disiapkan dengan benar. Konsol IAP Google Cloud tidak mendeteksi VM mana yang digunakan untuk setiap layanan, sehingga analisis firewall tidak menyertakan fitur lanjutan seperti jaringan non-default dan tag aturan firewall. Untuk mengabaikan analisis ini, aktifkan IAP melalui perintah gcloud compute backend-services update.