Tổng quan về hoạt động bảo mật

Tài liệu này giải thích cách công cụ Fleet bảo mật việc trao đổi thông tin giữa ba môi trường chính của hệ thống Công cụ Fleet: máy chủ phụ trợ, máy chủ Công cụ Fleet và các ứng dụng khách cũng như trang web của bạn.

Công cụ của đội ngũ quản lý bảo mật theo hai cách cơ bản, sử dụng nguyên tắc về quyền tối thiểu:

  • Thông tin xác thực mặc định của ứng dụng (ADC): Đối với các môi trường có đặc quyền cao, chẳng hạn như hoạt động giao tiếp giữa các máy chủ. Được dùng khi máy chủ phụ trợ tạo xe và chuyến đi, đồng thời quản lý các xe và chuyến đi đó trong Công cụ quản lý đội xe. Để biết thông tin chi tiết, hãy xem phần Thông tin xác thực mặc định của ứng dụng.

  • Mã thông báo web JSON (JWT): Dành cho các môi trường có độ tin cậy thấp như các ứng dụng khách chạy trên điện thoại thông minh và trình duyệt. Dùng để thực hiện các thao tác có đặc quyền thấp hơn, chẳng hạn như cập nhật vị trí xe trong Công cụ quản lý đội xe.

    Các JWT mà môi trường có mức độ tin cậy thấp yêu cầu được máy chủ phụ trợ của bạn tạo và phát hành để bảo vệ khoá bí mật của tài khoản dịch vụ, đồng thời bao gồm các thông báo xác nhận bổ sung dành riêng cho Công cụ của đội xe. Để biết thông tin chi tiết, hãy xem phần Mã thông báo web JSON.

    Ví dụ: nếu bạn có ứng dụng dành cho tài xế, thì tài xế sẽ truy cập dữ liệu từ Công cụ quản lý đội xe thông qua ứng dụng. Ứng dụng được xác thực bằng cách sử dụng JWT mà ứng dụng nhận được từ máy chủ phụ trợ. Các thông báo xác nhận quyền sở hữu JWT đã bao gồm cùng với vai trò tài khoản dịch vụ xác định những phần trong hệ thống mà ứng dụng người lái xe có quyền truy cập và những việc ứng dụng đó có thể làm. Phương pháp này giới hạn quyền truy cập vào chỉ dữ liệu cần thiết để hoàn thành nhiệm vụ lái xe.

Fleet Engine sử dụng các phương pháp bảo mật này để cung cấp những lợi ích sau:

  • Xác thực xác minh danh tính của thực thể đưa ra yêu cầu. Công cụ của Fleet sử dụng ADC cho các môi trường có độ tin cậy cao và JWT cho các môi trường có độ tin cậy thấp.

  • Uỷ quyền chỉ định tài nguyên mà một thực thể đã xác thực có quyền truy cập. Công cụ của Fleet sử dụng các tài khoản dịch vụ có vai trò IAM trên Google Cloud, cùng với các tuyên bố JWT đảm bảo rằng các thực thể đã xác thực có quyền xem hoặc thay đổi dữ liệu mà họ đang yêu cầu.

Thiết lập chế độ bảo mật cho máy chủ và máy khách

Để bật tính năng bảo mật bằng Công cụ của đội xe, hãy thiết lập các tài khoản và tính năng bảo mật bắt buộc trên máy chủ phụ trợ, cũng như trên các ứng dụng khách và trang web của bạn.

Sơ đồ sau đây cho thấy thông tin tổng quan về các bước thiết lập bảo mật trên máy chủ phụ trợ và ứng dụng khách.

Sơ đồ quy trình bảo mật trong quá trình thiết lập để xác thực ứng dụng máy chủ và ứng dụng khách

Để biết thêm thông tin chi tiết, hãy xem các phần sau.

Thiết lập bảo mật máy chủ phụ trợ

Quản trị viên đội xe cần làm theo các bước sau:

  1. Tạo và định cấu hình tài khoản dịch vụ:

    1. Trong Google Cloud Console, hãy tạo tài khoản dịch vụ.

    2. Chỉ định các vai trò IAM cụ thể cho tài khoản dịch vụ.

    3. Định cấu hình máy chủ phụ trợ bằng các tài khoản dịch vụ đã tạo. Để biết thông tin chi tiết, hãy xem phần Vai trò của tài khoản dịch vụ.

  2. Định cấu hình giao tiếp bảo mật với Công cụ của đội xe (ADC): Định cấu hình phần phụ trợ để giao tiếp với thực thể Công cụ của đội xe bằng Thông tin xác thực mặc định của ứng dụng với *Tài khoản dịch vụ quản trị thích hợp. Để biết thông tin chi tiết, hãy xem phần Thông tin xác thực mặc định của ứng dụng.

  3. Định cấu hình hoạt động giao tiếp bảo mật với các ứng dụng khách (JWT): Tạo một trình tạo Mã thông báo web JSON để tạo JWT có các thông báo xác nhận quyền sở hữu phù hợp cho các ứng dụng khách và trang web giám sát. Để biết thông tin chi tiết, hãy xem phần Phát hành mã thông báo web JSON.

Thiết lập tính năng bảo mật ứng dụng

Nhà phát triển ứng dụng cần thêm một cách để tìm nạp mã thông báo web JSON do máy chủ phụ trợ tạo trong ứng dụng hoặc trang web của ứng dụng khách và sử dụng các mã thông báo đó để giao tiếp một cách an toàn với Công cụ của đội xe. Để biết thông tin chi tiết, hãy xem hướng dẫn thiết lập trong tài liệu về Trải nghiệm lái xe hoặc Trải nghiệm người tiêu dùng cho các ứng dụng bạn cần.

Quy trình bảo mật ứng dụng máy chủ và ứng dụng

Sơ đồ trình tự sau đây minh hoạ quy trình xác thực và uỷ quyền ứng dụng máy chủ và ứng dụng khách bằng Fleet Engine thông qua ADC với máy chủ phụ trợ và JWT với các ứng dụng và trang web.

Sơ đồ quy trình bảo mật trong quá trình xác thực ứng dụng máy chủ và ứng dụng khách

  • Máy chủ phụ trợ của bạn tạo ra các phương tiện và chuyến đi hoặc nhiệm vụ trong Fleet Engine.

  • Máy chủ phụ trợ của bạn về một chuyến đi hoặc nhiệm vụ đến một chiếc xe: Ứng dụng người lái xe khi hoạt động sẽ truy xuất bài tập.

  • Máy chủ phụ trợ của bạn: Ký và phát hành JWT cho tài khoản dịch vụ tương ứng có vai trò IAM thích hợp cho nhiệm vụ hoặc chuyến đi được chỉ định.

  • Ứng dụng khách: Ứng dụng khách dùng JWT nhận được để gửi thông tin cập nhật vị trí của xe đến Fleet Engine.

Bước tiếp theo