Google VM现可用Cloud IAP情境感知进行存取控制

Google之前为Cloud Identity-Aware Proxy（Cloud IAP）增加了情境感知（Context-aware）存取功能，以保护网页应用程式，现在这个功能还扩展到了SSH和RDP等TCP服务，帮助企业保护云端虚拟机器的存取。

透过情境感知存取，能够根据使用者的身份和请求情境，来定义和实施云端资源存取的精细度，而这将能建立零信任安全模型，有助于提高企业的网路安全，同时降低用户的使用複杂度，让用户能从任何地方，使用受信任的装置，存取应用程式或基础设施。

情境感知与传统的网路存取模型不同，并非只能全有或是全无的选择，情境感知存取可以帮助企业，确保只有正确的人员能存取特定的资源。现在企业可以根据位置、装置安全状态和使用者身份等条件，限制存取虚拟机器的人员。另外，受IAP保护的虚拟机器不需要额外的变更，只要打开IAP选项，即可开始对虚拟机器执行个体进行存取保护。

管理员要允许外部用户存取GCP上的虚拟机器，现在只要启用Cloud IAP存取，不需要将任何服务直接曝露在网际网路上，管理员只需要设置Cloud IAP的TCP转发功能，当外部用户从gCloud命令工具执行SSH时，SSH流量透过WebSocket连接至Cloud IAP，而这过程将会自动应用上下文感知存取政策。

当存取被接受，则SSH流量会被转发到虚拟机器执行个体上，Google提到，这个机制与远端桌面协定的运作方式相似，企业的虚拟机器不需要公共IP位置或是专用Bastion主机，只要在Cloud IAP IP子网域进行配置即可。