Questa pagina descrive le best practice per l'utilizzo di Identity-Aware Proxy (IAP).
Memorizzazione nella cache
- Non utilizzare una CDN di terze parti davanti alla tua applicazione. Le CDN possono memorizzare nella cache i contenuti e pubblicare pagine memorizzate nella cache per gli utenti non autenticati.
- Se hai risorse di grandi dimensioni e non sensibili che vuoi pubblicare da una CDN, utilizza un dominio separato come
images.yourapp.comper queste risorse. Utilizza la CDN con quel dominio e aggiungi l'intestazione della risposta HTTPCache-control: privatea tutti gli oggetti che devono essere pubblicati solo per gli utenti autenticati.
- Se hai risorse di grandi dimensioni e non sensibili che vuoi pubblicare da una CDN, utilizza un dominio separato come
Protezione dell'app
Per proteggere correttamente la tua app, devi utilizzare le intestazioni con firma per le applicazioni nell'ambiente standard di App Engine, in Compute Engine e in GKE.
Configurazione del firewall
-
Assicurati che tutte le richieste a Compute Engine o GKE vengano instradate tramite il bilanciatore del carico:
- Configura una regola firewall per consentire il controllo di integrità e assicurati che tutto il traffico verso la tua macchina virtuale (VM) provenga da un indirizzo IP di Google Front End (GFE).
- Per una protezione aggiuntiva, controlla l'indirizzo IP di origine delle richieste nella tua app per assicurarti che provengano dallo stesso intervallo IP consentito dalla regola del firewall.
-
Nella console Google Cloud, IAP mostra un errore o un avviso se le regole del firewall sembrano essere configurate in modo errato. La console Google Cloud IAP non rileva la VM utilizzata per ciascun servizio, pertanto l'analisi del firewall non include funzionalità avanzate come reti non predefinite e tag delle regole del firewall. Per aggirare questa analisi, attiva IAP tramite il comando
gcloud compute backend-services update.