Kiểm soát quyền truy cập vào trang web với Identity-Aware Proxy

Tháng Năm 31, 2021
Nga Pham

Khi nói đến một trang web của doanh nghiệp, có thể kể đến hai trường hợp sử dụng phổ biến: một trang web công cộng hiển thị với tất cả mọi người, nhưng yêu cầu một số chức năng được cá nhân hóa, hoặc một trang web bị hạn chế cao mà chỉ có những người dùng được ủy quyền, chạy trên các nền tảng an toàn mới có quyền truy cập. Có nhiều cách khác nhau để giải quyết những trường hợp này, nhưng có một giải pháp dễ sử dụng và triển khai có thể xử lý tất cả chúng: Google Cloud Identity-Aware Proxy (IAP).

IAP là một dịch vụ chặn các yêu cầu đến một trang web, xác thực người dùng tạo ra yêu cầu (request) và chỉ cho phép các yêu cầu của người dùng được phép truy cập có thể tiếp cận vào hệ thống. IAP có thể được sử dụng để bảo vệ các trang web chạy trên nhiều nền tảng, bao gồm App Engine, Compute Engine và cách dịch vụ khác ẩn sau Google Cloud Load Balancer. Tuy nhiên, nó không bị giới hạn dành riêng cho Google Cloud, bạn cũng có thể sử dụng nó với IAP Connector để bảo vệ các ứng dụng tại chỗ (on-premises applications) của mình.

IAP Connector

Bảo vệ trang web bằng IAP có thể được định cấu hình bằng Google Cloud Console. IAP được quản lý trong menu con của trang Bảo mật (Security). Tại đây, một tổ chức có thể kích hoạt IAP và sau đó bật nó cho các trang web được chọn. Quyền truy cập được cấp phép bằng cách cung cấp vai trò Người dùng web được IAP bảo mật cho một hoặc nhiều địa chỉ email riêng lẻ, toàn bộ miền email hoặc một nhóm các địa chỉ email. Sau bước xác thực, những người dùng đó có có thể sử dụng các trang web một cách thông thường như bất kỳ trang web nào trên Internet.

use cases
Các bước tiến hành tương tự nhau cho tất cả các trường hợp sử dụng:
  • Chức năng tạo máy chủ chỉ dành riêng cho nhân viên hoặc “mạng nội bộ”, họ có thể chỉ định những người dùng được xác thực bằng địa chỉ email của công ty mới được phép truy cập. IAP có thể xác thực địa chỉ Gmail hoặc Google Workspace, địa chỉ trong Active Directory của công ty hoặc thư mục LDAP thông qua Google Cloud Directory Sync, cũng như các địa chỉ được các nhà cung cấp danh tính phổ biến khác hỗ trợ.
  • Đối với quyền truy cập công khai nhưng cần xác thực, cần chỉ định IAP cho phép allAuthenticatedUsers. Bất kỳ ai sẵn sàng và được xác thực sẽ được cung cấp quyền truy cập vào trang web. Chức năng chính thứ hai của IAP là thêm header vào mỗi request với thông tin nhận dạng người dùng, vì vậy trang web nhận (receiving site) có thể sử dụng thông tin đó mà không cần tự mình xác thực.
  • Chức năng giới hạn quyền truy cập cho bất kỳ nhóm nào hoặc kết hợp các nhóm, bằng cách chỉ định một địa chỉ email nhóm thay vì các địa chỉ riêng lẻ. Ngoài ra, IAP còn có thể làm tốt hơn nữa trong việc phân quyền truy cập dựa trên danh tính. Các tổ chức có thể đặt ra chính sách dành cho thiết bị mà các thành viên của nhóm phải tuân theo để có được quyền truy cập. Các chính sách đó có thể bao gồm yêu cầu về phiên bản hệ điều hành cụ thể, sử dụng hồ sơ công ty trên trình duyệt hoặc thiết bị di động, thậm chí là chỉ sử dụng thiết bị thuộc sở hữu của công ty.

IAP thay thế các công đoạn quản lý đăng ký và xác thực người dùng, theo dõi các phiên hoạt động, định cấu hình tường lửa và sử dụng VPN cho các trang nội bộ. Với IAP, bạn không cần phải làm những việc đó nữa. Nếu bạn có các nhu cầu sử dụng tương tự như trên, hãy cân nhắc sử dụng IAP cho mục đích của mình.

Nguồn: Google Cloud Blog