Google之前為Cloud Identity-Aware Proxy(Cloud IAP)增加了情境感知(Context-aware)存取功能,以保護網頁應用程式,現在這個功能還擴展到了SSH和RDP等TCP服務,幫助企業保護雲端虛擬機器的存取。

透過情境感知存取,能夠根據使用者的身份和請求情境,來定義和實施雲端資源存取的精細度,而這將能建立零信任安全模型,有助於提高企業的網路安全,同時降低用戶的使用複雜度,讓用戶能從任何地方,使用受信任的裝置,存取應用程式或基礎設施。

情境感知與傳統的網路存取模型不同,並非只能全有或是全無的選擇,情境感知存取可以幫助企業,確保只有正確的人員能存取特定的資源。現在企業可以根據位置、裝置安全狀態和使用者身份等條件,限制存取虛擬機器的人員。另外,受IAP保護的虛擬機器不需要額外的變更,只要打開IAP選項,即可開始對虛擬機器執行個體進行存取保護。

管理員要允許外部用戶存取GCP上的虛擬機器,現在只要啟用Cloud IAP存取,不需要將任何服務直接曝露在網際網路上,管理員只需要設置Cloud IAP的TCP轉發功能,當外部用戶從gCloud命令工具執行SSH時,SSH流量透過WebSocket連接至Cloud IAP,而這過程將會自動應用上下文感知存取政策。

當存取被接受,則SSH流量會被轉發到虛擬機器執行個體上,Google提到,這個機制與遠端桌面協定的運作方式相似,企業的虛擬機器不需要公共IP位置或是專用Bastion主機,只要在Cloud IAP IP子網域進行配置即可。


Advertisement

更多 iThome相關內容