GCP 中的身份感知代理 (IAP)

Identity Aware Proxy(IAP) in GCP

我正在学习 GCP 中的 IAP,它用于对 GCP 托管应用进行身份验证和授权。

想法

甚至在 GCP 中引入 IAP 之前,就可以使用登录凭据和 google IAM 策略对用户进行身份验证和授权。

好的,IAP 取代了 VPN,用户可以在不受信任的网络上工作。

查询

如有错误请指正

但是如果我的应用程序/资源托管在 GCP 中,那么通过适当的身份验证和授权就可以公开访问它,显然不需要 VPN。在这种场景下,IAP的意义何在?

IAP 中的新功能是什么,因为 IAP 也执行相同的身份验证和授权操作?

如果您已经拥有一个通过适当的身份验证和授权保护的应用程序,那么从技术上讲您就不需要 IAP,尽管它仍然可能是可取的。原因之一是 IAP 使您能够在应用程序外部配置单独的访问权限,而不是需要在应用程序代码内部控制 ACL。 App Engine IAP quickstart 很好地概述了 IAP 配置如何保护应用程序。

您可以将 IAP 视为充当 VPN 的角色,同时还为您提供 OAuth 的灵活性。它主要针对边界安全,边界安全传统上是通过使用防火墙和 VPN 来保护特权网络资源(如托管在本地的内联网)来实现的。 IAP 允许您设置云托管的 Intranet,其方式与您在本地所做的方式大致相同,并由 IAP 在外围处理访问控制。这在 Google 研究论文“BeyondCorp - A New Approach to Enterprise Security”中有很好的解释。