Surveiller la sécurité des applications dans Anthos

À tous les niveaux, Google Cloud intègre des fonctionnalités de sécurité puissantes qui fonctionnent ensemble et séparément pour vous protéger des problèmes de sécurité, y compris la sécurité des plates-formes et des applications. Cependant, avec une défense en profondeur de ce type, il n'est pas toujours facile de choisir les fonctionnalités qui pourraient être utiles à votre application particulière ou d'évaluer le fonctionnement de vos règles de sécurité au moment de l'exécution. Pour vous aider, le tableau de bord de sécurité Anthos offre une vue d'ensemble des fonctionnalités de sécurité actuelles de vos applications, ainsi qu'une vue d'audit des règles plus détaillée pour vous indiquer où modifier les configurations ou les charges de travail de sécurité afin d'améliorer votre stratégie de sécurité.

Ce document offre aux opérateurs de plates-formes et d'applications une présentation de la surveillance de la sécurité des applications Anthos. Pour en savoir plus sur chaque fonctionnalité de sécurité et sa surveillance, suivez les liens vers la documentation sur les fonctionnalités dans Étapes suivantes.

Actuellement, le tableau de bord de sécurité Anthos surveille les clusters sur Google Cloud uniquement.

Afficher la présentation de la sécurité des applications

Pour afficher le tableau de bord de sécurité Anthos dans Cloud Console, procédez comme suit:

Par défaut, l'onglet Policy Summary (Résumé des règles) s'affiche, indiquant l'état des fonctionnalités de sécurité des applications Anthos dans votre projet, y compris des liens pour en savoir plus et activer les fonctionnalités. Les fonctionnalités sont répertoriées sous deux titres: Contrôle des accès et Authentification.

Capture d'écran de la vue récapitulative des règles

Contrôle des accès

Cette section indique l'état des fonctionnalités d'autorisation Anthos sélectionnées. Les voici :

  • L'autorisation binaire, qui vous permet de vous assurer que seules les images de confiance sont déployées sur vos clusters.
  • Stratégie de réseau Kubernetes, qui vous permet de spécifier quels pods sont autorisés à communiquer entre eux et avec d'autres points de terminaison du réseau.
  • Le contrôle des accès aux services Anthos Service Mesh, qui vous permet de configurer un contrôle d'accès précis pour vos services de maillage en fonction des comptes de service et des contextes de requête.

Si une fonctionnalité n'est pas activée dans votre projet, vous pouvez cliquer dessus pour l'activer (ou pour savoir comment l'activer).

Vous pouvez consulter l'état actuel des fonctionnalités activées et cliquer pour afficher plus de détails sur la période sélectionnée, y compris les actions refusées en raison de votre les stratégies de contrôle d'accès et d'autres événements intéressants. Par exemple, dans ce projet, trois déploiements ont été bloqués sur un cluster au cours de l'heure précédente en raison de stratégies d'autorisation binaire:

Capture d'écran des détails de la sécurité de l'autorisation binaire

Authentification

Cette section indique l'état des fonctionnalités d'authentification Anthos. Cette vue indique actuellement si vous avez créé une règle pour appliquer le protocole mTLS (TLS mutuel) dans chaque cluster sur lequel vous utilisez Anthos Service Mesh. mTLS est un protocole de sécurité qui garantit la sécurité et la fiabilité du trafic dans les deux sens entre deux services.

Notez que cette vue s'affiche uniquement si votre maillage de services contient une règle mTLS. Pour vérifier si la règle sécurise efficacement votre trafic et si le trafic non chiffré est autorisé dans votre maillage au moment de l'exécution, vous devez consulter la page plus détaillée Audit des règles, comme décrit dans la section suivante.

Auditez la sécurité des applications

La vue d'audit fournit une évaluation plus détaillée de l'état d'exécution de votre stratégie de sécurité des applications, cluster par cluster. Pour passer à la vue d'audit, procédez comme suit:

  1. Sélectionnez l'onglet Audit des règles.
  2. Dans les listes déroulantes, sélectionnez le cluster et (éventuellement) l'espace de noms que vous souhaitez surveiller.

Comme dans la vue récapitulative, vous pouvez voir l'état actuel de toutes les fonctionnalités de sécurité surveillées. Pour mTLS, vous pouvez également vérifier si vos règles autorisent actuellement le trafic non chiffré dans le maillage de services de ce cluster. Cela peut se produire si vous avez activé l'authentification mTLS partout en mode permissif, ce qui permet aux services de recevoir à la fois le trafic mTLS et le trafic en texte brut. Cela permet d'éviter les interruptions de service inattendues lorsque vous migrez vers le protocole mTLS strict. Nous vous recommandons de le modifier si vous souhaitez chiffrer les données de bout en bout sur l'ensemble de votre réseau maillé.

La liste Charges de travail vous permet ensuite de vérifier le fonctionnement de vos fonctionnalités de sécurité au niveau de la charge de travail. Pour chaque charge de travail, vous pouvez voir:

  • Si des règles de réseau Kubernetes sont appliquées
  • Les règles de contrôle d'accès du service Anthos Service Mesh qui s'appliquent à la charge de travail
  • Règle mTLS Anthos Service Mesh qui s'applique à la charge de travail – Permissive (valeur par défaut si vous n'avez pas créé de règles explicites s'appliquant à la charge de travail), Désactiver ou Strict

Afficher les détails concernant la sécurité des charges de travail

Sélectionnez les charges de travail individuelles dans la liste Charges de travail pour afficher plus de détails sur leur sécurité dans la vue des charges de travail. Vous pouvez afficher les informations suivantes pour chaque charge de travail:

  • Le cas échéant, un lien permettant d'afficher la définition des règles spécifique pour chaque fonctionnalité de sécurité des applications qui s'applique à la charge de travail.

Capture d'écran du lien vers une règle de réseau

  • Détails généraux de la charge de travail, y compris le nom, le cluster et le service associé.
  • Requêtes de service et Requêtes de règle de réseau depuis et vers cette charge de travail, y compris les requêtes qui ont été refusées par vos règles. Si une requête est refusée, vous pouvez afficher le détail des journaux pertinents dans Cloud Logging, ce qui vous permet de résoudre des refus spécifiques et d'obtenir des informations plus utiles sur la requête.

Capture d'écran des requêtes de service vers et depuis une charge de travail

  • Pods en cours d'exécution gérés par cette charge de travail

Étape suivante