Компания Google объявила о широкой доступности функции доступа на основе сертификатов (CBA) в своем портфеле инструментов управления идентификацией и доступом. Эта функция предназначена для повышения безопасности учетных записей и защиты организаций от кражи учетных данных и файлов cookie.
Кража учетных данных — один из наиболее распространенных векторов атак, используемых злоумышленниками для получения несанкционированного доступа к учетным записям пользователей и кражи информации. CBA повышает безопасность, используя взаимную аутентификацию TLS (mTLS) для обеспечения того, чтобы учетные данные пользователя были привязаны к сертификату устройства, прежде чем будет разрешена авторизация доступа к облачным ресурсам.
Важным аспектом CBA является использование сертификатов X.509 в качестве идентификаторов устройств, что гарантирует, что только доверенные устройства могут получать доступ к конфиденциальным ресурсам. Даже если злоумышленник скомпрометирует учетные данные пользователя, доступ к учетной записи останется заблокированным, поскольку у него не будет соответствующего сертификата.
Более того, этот подход к безопасности выходит за рамки первоначального входа в систему, оценивая каждый запрос авторизации для дальнейшей защиты доступа к ресурсам. Это достигается с помощью политики управления доступом на основе сертификатов, которая гарантирует, что доступ предоставляется только законным пользователям с действительным сертификатом.
Кроме того, CBA использует безопасное криптографическое хранилище, такое как TPM и хранилища ключей ОС, для надежной защиты ключей, что еще больше повышает общую безопасность системы.
В заключение следует отметить, что запуск CBA компанией Google Cloud обеспечивает еще один важный уровень безопасности, предотвращая захват учетных записей и защищая учетные данные. Внедряя CBA в свои стратегии безопасности, организации могут повысить уровень защиты данных и сохранить доверие пользователей.
