Google предоставляет возможность использовать бесплатные персональные аккаунты Google, а также корпоративные аккаунты G Suite для аутентификации в облачных приложениях. Однако, многие разработчики облачных приложений хотят использовать собственные аккаунты пользователей, для чего им нужна своя собственная облачная служба каталога.
Поскольку основой безопасности является доверие к используемому коду приложений, любая, даже самая хорошая, но закрытая реализация процедур безопасности, в т.ч. от Google, некоторыми ставится под сомнение. Единственным выходом из этой ситуации является использование приложений с открытым исходным кодом, который вы можете проверить лично и установить у себя, не испытывая клинической паранойи по этому поводу.
Одной из популярных реализаций с открытым исходным кодом для контроллера службы каталога, совместимого с облачными приложениями, является Hashicorp Vault. Вы можете скачать Hashicorp Vault в исходных кодах, для проверки и последующей компиляции под вашу ОС, а также в виде уже готового дистрибутива под вашу ОС.
Готовое приложение Hashicorp Vault вы можете установить в облако Google Cloud Platform или другое совместимое с ним (Amazon AWS, Microsoft Azure).
После этого, в облаке Google Cloud Platform приложение Hashicorp Vault будет функционировать в качестве внутреннего контроллера для хранения секретов (паролей, токенов, сертификатов и т.п.) приложений и пользователей, проходя аутентификацию от внешнего интерфейса, реализованного в приложениях GCP с помощью сервисных аккаунтов Google Cloud Platform, как показано на схеме выше.
Кроме хранения секретов и фактической реализации службы каталога для облачного приложения, Hashicorp Vault может шифровать данные вашими ключами, что позволяет не держать информацию в открытом виде даже внутри хранилищ Google Storage и Google Drive, а также баз данных Google Cloud SQL и Google Spanner, т.е. полностью параноидально защититься от возможности доступа к вашим данным с помощью любых аккаунтов Google, при этом разместив всю вашу инфраструктуру и данные в облаке Google Cloud Platform.
Помимо этого, собственная облачная служба каталога может стать отличным дополнением к решению "прямой провод" в Google Cloud, для тех, кто уже параноидально не боится передавать данные по шифрованным каналам Интернет, но при этом не хочет (не умеет) поддерживать собственную инфраструктуру PKI в своей локальной сети после перехода в облако Google.
Комментариев нет:
Отправить комментарий