Google 宣布在其身份和访问管理产品组合中全面推出基于证书的访问 (CBA)。此功能旨在增强帐户安全,并保护企业免遭凭据被盗和 Cookie 盗窃的危害。
被盗凭据是攻击者用来获取对用户帐户的未经授权访问并窃取信息的最常见攻击途径之一。CBA 通过使用相互 TLS (mTLS) 来增强安全性,以确保在授权访问云资源之前将用户凭据绑定到设备证书。
CBA 的一个重要方面是使用 X.509 证书作为设备标识符,确保只有受信任的设备才能访问敏感资源。即使攻击者获得了用户的凭据,由于他们没有相应的证书,因此帐户访问仍将被阻止。
此外,这种安全方法超越了初始登录,它会评估每个授权请求,以进一步保护资源访问。这是通过基于证书的访问控制策略实现的,该策略可确保仅授予具有正确证书的合法用户访问权限。
此外,CBA 利用 TPM 和操作系统密钥存储等安全加密存储来实现强大的密钥保护,从而进一步增强整体系统安全性。
总之,Google Cloud 推出的 CBA 通过防止帐户被盗用和保护凭据,提供了另一项至关重要的安全保障。通过将 CBA 纳入其安全策略,企业可以加强数据保护并维护用户信任。
