Halaman ini menjelaskan praktik terbaik CMEK dengan Apigee.
Pencegahan risiko
Saat ini, Apigee mendukung serangkaian fungsi kunci enkripsi yang dikelola pelanggan yang dibatasi. Untuk mencegah penghapusan tidak disengaja kunci CMEK atau versi kunci, sebaiknya terapkan hal berikut:
-
Perkuat kontrol akses: Batasi
peran
roles/cloudkms.admin
atau izin hancurkan/perbarui kunci hanya untuk admin tepercaya atau anggota tim senior. - Lakukan audit izin secara rutin: Pastikan izin tidak diperluas secara tidak sengaja dari waktu ke waktu.
- Penghapusan kunci otomatis: Jangan siapkan otomatisasi untuk otomatis menghapus/menonaktifkan kunci.
Menyiapkan durasi dan rotasi pemusnahan kunci
- Pertimbangkan untuk memperpanjang durasi pemusnahan default: Periode pemusnahan terjadwal default adalah 30 hari. Menetapkan durasi pemusnahan kustom selama pembuatan kunci atau menerapkan durasi yang lebih lama melalui kebijakan organisasi dapat memberikan lebih banyak waktu untuk pemulihan jika terjadi penghapusan tidak disengaja. Jika Anda yakin bahwa waktu pemusnahan yang lebih lama akan menimbulkan lebih banyak risiko, perhatikan bahwa durasi pemusnahan yang lebih lama juga mencegah Anda menghapus kunci secara tidak sengaja. Anda dapat menyeimbangkan manfaat dan risiko untuk melihat durasi yang paling cocok untuk Anda.
- Mewajibkan kunci dinonaktifkan sebelum dihancurkan: Sebaiknya nonaktifkan versi kunci sebelum menjadwalkannya untuk dihancurkan. Hal ini membantu memvalidasi bahwa kunci tidak digunakan secara aktif dan merupakan langkah penting dalam menentukan apakah aman untuk menghancurkan versi kunci.
- Terapkan rotasi kunci: Memutar kunci secara rutin akan membatasi dampak potensi kompromi. Jika kunci disusupi, rotasi reguler akan membatasi jumlah pesan sebenarnya yang rentan disusupi.
Rotasi kunci di Apigee
Tujuan utama rotasi kunci adalah untuk mengurangi jumlah data yang dienkripsi dengan satu kunci, bukan untuk sepenuhnya mengganti versi kunci lama. Untuk kunci runtime dan kunci bidang kontrol, versi kunci asli tetap terikat dengan resource sejak dibuat.
Contoh ilustrasi
- Instance Apigee akan selalu menggunakan versi kunci CMEK utama yang aktif pada saat pembuatannya, bahkan setelah rotasi kunci.
- Paket proxy akan terus menggunakan versi kunci CMEK utama yang aktif saat pertama kali dibuat. Namun, jika paket proxy ini diubah setelah rotasi kunci, data baru apa pun di dalamnya akan dienkripsi dengan versi kunci utama yang baru.
Batasan saat ini: tidak ada enkripsi ulang otomatis
Perlu diperhatikan bahwa Apigee saat ini tidak mendukung enkripsi ulang otomatis data yang ada saat kunci dirotasi. Hanya sejumlah terbatas data baru yang akan dienkripsi dengan versi kunci utama baru. Sebagian besar data Anda, seperti analisis, data disk runtime, dan revisi proxy lama, akan tetap dienkripsi dengan versi kunci lama.
Penonaktifan kunci
Menonaktifkan atau menghancurkan kunci akan mengganggu fungsi Apigee. Jika menonaktifkan kunci terlebih dahulu, Anda dapat mengaktifkannya kembali jika itu adalah alarm palsu.
Jika Anda mencurigai kunci (atau versi kunci) telah disusupi:
-
Skenario berisiko tinggi: Jika Anda yakin data Apigee Anda bersifat sensitif dan penyerang memiliki peluang tinggi untuk mengeksploitasinya, segera nonaktifkan kunci dan cabut akses ke kunci tersebut. Anda harus menonaktifkan kunci terlebih dahulu sebelum membuat ulang instance
apigee
dan organisasiapigee
. -
Skenario berisiko rendah: Jika meminimalkan periode nonaktif lebih penting daripada
potensi risiko, Anda harus membuat ulang instance
apigee
dan orgapigee
terlebih dahulu sebelum menonaktifkan/menghapus CMEK. Lihat di bawah ini tentang cara mencegah downtime secara proaktif dengan berinvestasi dalam pencadangan/pemulihan. - Hubungi dukungan: Sebaiknya hubungi Layanan Pelanggan Google Cloud jika Anda yakin kunci telah disusupi dan Anda perlu menonaktifkannya.
Periksa dampak penonaktifan/pembatalan/penghancuran kunci
di bawah.
Setelah menonaktifkan kunci, Anda harus membuat ulang org/instance apigee
. Lihat praktik terbaik.
- Kompromi CMEK runtime: Buat instance baru dengan CMEK baru, lalu hapus instance asli serta CMEK runtime lama setelah traffic dimigrasikan.
-
Semua CMEK disusupi: Buat organisasi
apigee
baru dengan kunci CMEK baru, replikasi konfigurasi Anda, alihkan traffic, lalu matikan organisasi lama dan nonaktifkan/hapus CMEK asli Anda. -
Hubungi Google Cloud Customer Care: Jika API untuk menghapus/membuat ulang instance atau organisasi
apigee
memerlukan waktu yang sangat lama, hubungi Google Cloud Customer Care.
Dampak penonaktifan/pembatalan/penghancuran kunci
Menonaktifkan, mencabut, atau menghancurkan kunci akan membuat Apigee tidak berfungsi dengan benar. Dampaknya adalah sebagai berikut:
- Menonaktifkan/membatalkan/menghancurkan seluruh kunci: API Apigee yang ditampilkan kepada pelanggan akan segera berhenti berfungsi. Sistem internal akan gagal dalam hitungan menit, yang memengaruhi deployment proxy, traffic runtime, analisis, dan keamanan API. Instance tidak akan dapat dimulai lagi dalam beberapa minggu karena masalah pemasangan ulang disk.
- Menonaktifkan/membatalkan/menghancurkan versi kunci (termasuk versi kunci utama atau versi kunci sebelumnya): API yang ditampilkan kepada pelanggan Apigee yang menggunakan versi kunci tersebut akan segera berhenti berfungsi. Beberapa sistem internal dan traffic runtime akan terpengaruh. Instance mungkin tidak dapat dimulai jika versi kunci digunakan untuk enkripsi disk.
Mengaktifkan kembali kunci
Jika penyusupan adalah alarm palsu atau penonaktifan kunci tidak disengaja, Anda dapat mengaktifkan kembali kunci jika kunci dinonaktifkan. Mengaktifkan ulang kunci akan memulihkan fungsi ke API yang ditampilkan kepada pelanggan. Sistem internal akan pulih dalam hitungan menit. Namun, mungkin ada kehilangan data untuk keamanan dan analitik API selama periode tidak tersedianya kunci.
- Jika periode penonaktifan kunci singkat: Sistem akan pulih kecuali untuk beberapa kehilangan data pada keamanan dan analisis API.
- Jika periode penonaktifan kunci lama: Sistem akan pulih untuk menyalurkan traffic, tetapi hal ini dapat menyebabkan inkonsistensi data saat satu region menampilkan satu nilai dan region yang sebelumnya nonaktif menampilkan nilai lain. Hubungi Layanan Pelanggan Google Cloud untuk memperbaiki cluster Apigee Anda.
Menghapus kunci
Pertimbangkan untuk mengikuti langkah-langkah berikut sebelum menghapus kunci:
- Untuk tujuan pembersihan: Jangan hapus kunci lama hingga Apigee merilis pelacakan kunci untuk memahami penggunaan kunci sebelum menghapus kunci.
- Jika penghapusan diperlukan: Nonaktifkan kunci terlebih dahulu, lalu jadwalkan penghancurannya. Anda dapat menggunakan kebijakan organisasi untuk menerapkan nonaktifkan kunci terlebih dahulu dan durasi minimum untuk pemusnahan.
Melindungi organisasi Apigee Anda dengan pencadangan CI/CD
Jika terjadi penyusupan kunci enkripsi yang dikelola pelanggan (CMEK), tindakan langsung untuk menonaktifkan, mencabut, atau menghancurkan kunci yang disusupi sangatlah penting. Namun, langkah keamanan yang diperlukan ini dapat membuat sistem Apigee Anda tidak berfungsi, sehingga berpotensi menyebabkan periode nonaktif dan gangguan layanan.
Untuk memastikan downtime minimal atau tidak ada untuk layanan Apigee Anda, Anda harus menerapkan pendekatan proaktif: pencadangan berkelanjutan konfigurasi organisasi Anda (pencadangan continuous integration/continuous deployment (CI/CD)). Lihat alat yang tersedia dan praktik terbaik untuk memulihkan organisasi Apigee.
Keandalan CI/CD dan IaC
Berinvestasi dalam alat seperti Terraform, solusi Infrastructure as Code (IaC), memungkinkan Anda membuat organisasi Apigee baru dengan lancar dari konfigurasi yang dicadangkan. Proses yang disederhanakan ini memungkinkan Anda membuat ulang organisasi Apigee dengan cepat dan efisien, sehingga meminimalkan periode nonaktif dan memastikan kelangsungan bisnis.
Alat yang tersedia untuk digunakan
Anda dapat menggabungkan semua alat berikut untuk mencadangkan organisasi apigee
secara berkala dan menguji proses pemulihan.
- Jika Anda hanya ingin membuat ulang instance Apigee, lihat Membuat ulang instance Apigee tanpa downtime.
-
Jika ingin menggunakan Terraform, Anda dapat mempertimbangkan untuk meminjam ide dari
apigee/terraform modules
open source. -
Jika ingin membuat ulang organisasi Apigee, Anda dapat menggunakan
apigeecli
,apigeecli organizations export
, danapigeecli organizations import
sebagai dasar untuk pencadangan. Lihat Mengekspor/membuat ulang organisasi. - Jika ingin mencadangkan dan memulihkan lebih banyak resource di luar daftar di atas, Anda harus berinteraksi langsung dengan API atau menggunakan perintah apigeecli lainnya.
Praktik terbaik
- Pencadangan rutin: Menjadwalkan pencadangan rutin untuk memastikan Anda memiliki konfigurasi terbaru. Lihat Mengekspor/membuat ulang organisasi.
- Penyimpanan aman: Simpan cadangan Anda di lokasi yang aman, seperti repositori terenkripsi.
- Menguji pemulihan: Uji proses pemulihan secara berkala untuk memastikan Anda dapat memulihkan organisasi Apigee secara efektif. Uji proses pemulihan Anda secara berkala untuk memastikan Anda dapat beralih traffic ke organisasi Apigee yang baru dibuat dengan cepat.
Mengekspor/membuat ulang organisasi
Alat apigeecli
adalah alat command line yang memungkinkan Anda mengelola resource
Apigee. Dengan API ini, Anda dapat melakukan tindakan yang sama seperti Apigee API di antarmuka command line yang mudah digunakan, yang mirip dengan perintah gcloud
.
Jika ingin membuat ulang organisasi Apigee atau bermigrasi ke organisasi Apigee lain, Anda dapat menggunakan apigeecli
organizations export
dan apigeecli organizations import
.
Data ini juga dapat digunakan sebagai dasar untuk pencadangan yang sedang berlangsung. Alat ini dapat mengekspor dan
mengimpor resource seperti:
- Dokumen portal API
- Kategori portal API
- Proxy API
- Konfigurasi keamanan API dan profil keamanan
- Alur bersama
- Produk API
- Developer
- Aplikasi developer termasuk kredensial
- AppGroups dan Aplikasi termasuk kredensial
- Detail lingkungan
- Grup lingkungan
- Konfigurasi Perangkat Pengumpul Data
- Keystore dan sertifikat alias tingkat lingkungan
- Server target tingkat lingkungan
- Referensi tingkat lingkungan
- Peta nilai kunci (KVM) dan entri di tingkat organisasi, lingkungan, dan proxy
- Keystore dan sertifikat alias kecuali kunci pribadi
Alat ini dapat mengelola semua resource Apigee lainnya. Daftar lengkap
perintah dapat dilihat menggunakan apigeecli tree
.
Alat ini memiliki beberapa batasan:
- Keystore memerlukan penyimpanan kunci pribadi saat pembuatan dan menyertakannya dalam file cadangan lokal
- Token OAuth tidak akan dapat dicadangkan dan dipulihkan, yang berarti instance Apigee yang baru dibuat akan mengharuskan pelanggan Anda login ulang.
- Kontrol akses seperti kebijakan organisasi dan aturan IAM tidak dimigrasikan. Jika ingin memigrasikan aturan tersebut, Anda harus menggunakan Google Cloud API.
-
Ekspor laporan Analytics tidak didukung, dan metrik analisis tidak
disalin ke organisasi
apigee
baru. -
Perintah
import
ini tidak otomatis membuat instance, envGroup, EnvAttachments, lampiran endpoint, atau men-deploy proxy untuk Anda. Anda dapat mengelola resource ini, tetapi tidak langsung melalui perintahimport
. -
Perintah
import
ini tidak otomatis membuat situs portal. Pembuatan situs portal harus dilakukan secara manual melalui UI. - Sebaiknya Anda berinvestasi dalam pemulihan dari bencana untuk penghapusan kunci dan secara berkala uji proses pemulihan untuk memastikan Anda dapat mengalihkan traffic ke organisasi Apigee yang baru dibuat dengan cepat.
Prasyarat
Sebelum memulai, pastikan prasyarat berikut terpenuhi:
-
Apigee CLI diinstal: Instal
apigeecli
dengan mengikuti langkah-langkah dalam panduan penginstalan. -
Autentikasi: Anda harus memiliki izin dan kredensial autentikasi yang diperlukan untuk berinteraksi dengan organisasi Apigee. Pastikan Anda telah menyiapkan:
-
Google Cloud SDK (
gcloud
): Diinstal dan diautentikasi. -
Token akses: Dapatkan token akses menggunakan
gcloud auth print-access-token
.
-
Google Cloud SDK (
- Akses jaringan: Pastikan jaringan Anda mengizinkan akses ke API Apigee.
-
Buat organisasi: Buat organisasi
apigee
baru yang ingin Anda migrasikan. Anda dapat membuat berbagai jenis organisasiapigee
; namun, pastikan Anda menggunakan jenis organisasi yang sama (bayar sesuai pemakaian atau langganan) dan jenis pemilihan rute jaringan yang sama dengan yang Anda gunakan dengan organisasi asli.
Mengekspor organisasi Apigee
Berikut adalah contoh perintah. Lihat ekspor organisasi apigeecli untuk mengetahui detail tentang berbagai flag.
# Sample command mkdir apigee_backup cd apigee_backup # gcloud auth application-default login export ORG_FROM=REPLACE apigeecli organizations export -o $ORG_FROM --default-token
Mengimpor organisasi Apigee
Berikut adalah contoh perintah. Lihat impor organisasi apigeecli untuk mengetahui detail tentang berbagai flag
# Sample command # gcloud auth application-default login export ORG_TO=REPLACE apigeecli organizations import -o $ORG_TO -f . --default-token
Langkah-langkah pasca-impor
Membuat instance dan menyiapkan jaringan
Lakukan hal berikut untuk membuat instance dan menyiapkan jaringan:
- Ikuti langkah-langkah dalam Membuat instance baru untuk membuat instance baru.
- Mengonfigurasi traffic Northbound: Northbound mengacu pada traffic API dari klien eksternal atau internal ke Apigee melalui load balancer. Anda harus memastikan bahwa Anda mengonfigurasi PSC atau VPC dengan benar sehingga instance Anda dapat dijangkau. Anda harus menyiapkan nama host grup lingkungan di organisasi baru.
- Mengonfigurasi traffic Southbound: Southbound mengacu pada traffic API dari Apigee ke layanan target proxy API Anda. Jadi, Anda harus mencadangkan dan mengaktifkan alamat IP baru untuk NAT dan mengonfigurasi ulang firewall/izinkan di endpoint target.
Lihat Opsi jaringan Apigee untuk mengetahui informasi selengkapnya.
Mencadangkan/memulihkan konfigurasi lainnya
Gunakan salah satu opsi berikut untuk mencadangkan/memulihkan konfigurasi lainnya:
-
Untuk aturan IAM: Anda dapat menggunakan
gcloud projects get-iam-policy
dangcloud projects set-iam-policy
untuk menyalin kebijakan IAM Anda sendiri, menyesuaikan project dan nama organisasiapigee
, serta menerapkan ke project Google Cloud dan organisasiapigee
baru. - Untuk konfigurasi Apigee lainnya: Anda dapat menggunakan API pengelolaan Apigee.
Men-deploy proxy
Gunakan salah satu opsi berikut untuk men-deploy proxy:
- Gunakan
apigeecli
- Gunakan skrip komunitas Apigee sebagai referensi
- Menggunakan API pengelolaan Apigee
Mengalihkan traffic
Lakukan tindakan berikut untuk mengalihkan traffic:
- Siapkan pengujian integrasi otomatis untuk instance baru.
- Konfigurasikan load balancer untuk secara bertahap mengalihkan traffic ke instance baru sambil memantau performa.