Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas

Veja nesta página as práticas recomendadas para usar o Identity-Aware Proxy (IAP).

Armazenamento em cache

Não use um CDN de terceiros na frente do aplicativo. Os CDNs podem armazenar conteúdo em cache e disponibilizar páginas armazenadas em cache para usuários não autenticados.
- Se você tiver recursos grandes e não confidenciais para disponibilizar a partir de um CDN, use um domínio separado para esses recursos, como images.yourapp.com. Use o CDN com esse domínio e adicione o cabeçalho de resposta HTTP Cache-control: private a todos os objetos que precisam ser disponibilizados somente aos usuários autenticados.

Para proteger seu app de forma adequada, você precisa usar cabeçalhos assinados no ambiente padrão do App Engine, no Compute Engine e nos aplicativos do GKE.

Verifique se todas as solicitações para o Compute Engine ou para o GKE são encaminhadas por meio do balanceador de carga:
- Configure uma regra de firewall para permitir a verificação de integridade e verifique se todo o tráfego para sua máquina virtual (VM, na sigla em inglês) provém de um IP do Google Front End (GFE).
- Para maior proteção, verifique o IP de origem das solicitações no seu app para ter certeza de que elas provêm do intervalo de IPs permitido pela regra de firewall.
No Google Cloud console, o IAP mostra um erro ou aviso se as regras de firewall parecerem estar configuradas incorretamente. O console do IAP Google Cloud não detecta qual VM é usada para cada serviço. Portanto, essa análise não inclui recursos avançados, como redes não padrão e tags de regra de firewall. Para ignorar essa análise, ative o IAP com o comando gcloud compute backend-services update.