最佳做法

本頁面說明使用 Identity-Aware Proxy (IAP) 的最佳做法。

快取

  • 請勿在應用程式前使用第三方 CDN。CDN 可能會快取內容,並將快取的頁面提供給未經驗證的使用者。
    • 如果您擁有想從 CDN 提供的大型非敏感資源,請針對這些資源使用 images.yourapp.com 等獨立網域。將 CDN 與該網域搭配使用,並將 Cache-control: private HTTP 回應標頭新增至只應提供給已驗證使用者的所有物件。

保護應用程式

為了正確保護應用程式,您必須針對 App Engine 標準環境、Compute Engine 與 GKE 應用程式使用簽署標頭

設定防火牆

  • 確保透過負載平衡器轉送向 Compute Engine 或 GKE 發出的所有要求:
    • 設定防火牆規則以允許進行健康狀態檢查,並確認虛擬機器 (VM) 的所有流量均來自 Google Front End (GFE) IP。
    • 如要獲得額外的保護,請檢查應用程式中要求的來源 IP,確認其來自防火牆規則允許的相同 IP 範圍。
  • 在 Google Cloud 主控台中,如果防火牆規則設定錯誤,IAP 就會顯示錯誤或警告。IAP Google Cloud 主控台不會偵測用於每項服務的 VM,因此防火牆分析並不包含像是非預設網路與防火牆規則標記等進階功能。如要略過這項分析,請透過 gcloud compute backend-services update 指令啟用 IAP。