Praktik terbaik untuk CMEK Apigee

Halaman ini menjelaskan praktik terbaik CMEK dengan Apigee.

Pencegahan risiko

Saat ini, Apigee mendukung serangkaian fungsi kunci enkripsi yang dikelola pelanggan secara terbatas. Untuk mencegah penghapusan tidak disengaja kunci CMEK atau versi kunci, sebaiknya terapkan hal berikut:

  • Perkuat kontrol akses: Batasi peran roles/cloudkms.admin atau izin hancurkan/perbarui kunci hanya untuk admin tepercaya atau anggota tim senior.
  • Lakukan audit izin secara rutin: Pastikan izin tidak diperluas secara tidak sengaja dari waktu ke waktu.
  • Penghapusan kunci otomatis: Jangan siapkan otomatisasi untuk otomatis menghapus/menonaktifkan kunci.

Menyiapkan durasi dan rotasi pemusnahan kunci

  • Pertimbangkan untuk memperpanjang durasi pemusnahan default: Periode pemusnahan terjadwal default adalah 30 hari. Menetapkan durasi pemusnahan kustom selama pembuatan kunci atau menerapkan durasi yang lebih lama melalui kebijakan organisasi dapat memberikan lebih banyak waktu untuk pemulihan jika terjadi penghapusan tidak disengaja. Jika Anda yakin bahwa waktu pemusnahan yang lebih lama akan menimbulkan lebih banyak risiko, perhatikan bahwa durasi pemusnahan yang lebih lama juga mencegah Anda menghapus kunci secara tidak sengaja. Anda dapat menyeimbangkan manfaat dan risiko untuk melihat durasi yang paling cocok untuk Anda.
  • Mewajibkan kunci dinonaktifkan sebelum dihancurkan: Sebaiknya nonaktifkan versi kunci sebelum menjadwalkannya untuk dihancurkan. Hal ini membantu memvalidasi bahwa kunci tidak digunakan secara aktif dan merupakan langkah penting dalam menentukan apakah aman untuk menghancurkan versi kunci.
  • Terapkan rotasi kunci: Memutar kunci secara rutin akan membatasi dampak potensi kompromi. Jika kunci disusupi, rotasi reguler akan membatasi jumlah pesan sebenarnya yang rentan disusupi.

Rotasi kunci di Apigee

Tujuan utama rotasi kunci adalah untuk mengurangi jumlah data yang dienkripsi dengan satu kunci, bukan untuk sepenuhnya mengganti versi kunci lama. Untuk kunci runtime dan kunci bidang kontrol, versi kunci asli tetap terikat dengan resource sejak dibuat.

Contoh ilustrasi

  • Instance Apigee akan selalu menggunakan versi kunci CMEK utama yang aktif pada saat pembuatannya, bahkan setelah rotasi kunci.
  • Paket proxy akan terus menggunakan versi kunci CMEK utama yang aktif saat pertama kali dibuat. Namun, jika paket proxy ini diubah setelah rotasi kunci, data baru apa pun di dalamnya akan dienkripsi dengan versi kunci utama yang baru.

Batasan saat ini: tidak ada enkripsi ulang otomatis

Perlu diperhatikan bahwa Apigee saat ini tidak mendukung enkripsi ulang otomatis data yang ada saat kunci dirotasi. Hanya sejumlah terbatas data baru yang akan dienkripsi dengan versi kunci utama baru. Sebagian besar data Anda, seperti analisis, data disk runtime, dan revisi proxy lama, akan tetap dienkripsi dengan versi kunci lama.

Penonaktifan kunci

Menonaktifkan atau menghancurkan kunci akan mengganggu fungsi Apigee. Jika menonaktifkan kunci terlebih dahulu, Anda dapat mengaktifkannya kembali jika itu adalah alarm palsu.

Jika Anda mencurigai penyusupan kunci (atau versi kunci):

  • Skenario berisiko tinggi: Jika Anda yakin data Apigee Anda bersifat sensitif dan penyerang memiliki peluang tinggi untuk mengeksploitasinya, segera nonaktifkan kunci dan cabut akses ke kunci tersebut. Anda harus menonaktifkan kunci terlebih dahulu sebelum membuat ulang instance apigee dan organisasi apigee.
  • Skenario berisiko rendah: Jika meminimalkan periode nonaktif lebih penting daripada potensi risiko, Anda harus membuat ulang instance apigee dan org apigee terlebih dahulu sebelum menonaktifkan/menghapus CMEK. Lihat di bawah ini tentang cara mencegah downtime secara proaktif dengan berinvestasi dalam pencadangan/pemulihan.
  • Hubungi dukungan: Sebaiknya hubungi Layanan Pelanggan Google Cloud jika Anda yakin kunci telah disusupi dan Anda perlu menonaktifkannya.

Periksa dampak penonaktifan/pembatalan/penghancuran kunci di bawah. Setelah menonaktifkan kunci, Anda harus membuat ulang org/instance apigee. Lihat praktik terbaik.

  • Kompromi CMEK runtime: Buat instance baru dengan CMEK baru, lalu hapus instance asli serta CMEK runtime lama setelah traffic dimigrasikan.
  • Semua CMEK disusupi: Buat organisasi apigee baru dengan kunci CMEK baru, replikasi konfigurasi Anda, alihkan traffic, lalu matikan organisasi lama dan nonaktifkan/hapus CMEK asli Anda.
  • Hubungi Google Cloud Customer Care: Jika API untuk menghapus/membuat ulang instance atau organisasi apigee memerlukan waktu yang sangat lama, hubungi Google Cloud Customer Care.

Dampak penonaktifan/pembatalan/penghancuran kunci

Menonaktifkan, mencabut, atau menghancurkan kunci akan membuat Apigee tidak berfungsi dengan benar. Dampaknya adalah sebagai berikut:

  • Menonaktifkan/membatalkan/menghancurkan seluruh kunci: API yang ditampilkan kepada pelanggan Apigee akan segera berhenti berfungsi. Sistem internal akan gagal dalam hitungan menit, yang memengaruhi deployment proxy, traffic runtime, analisis, dan keamanan API. Instance tidak akan dapat dimulai lagi dalam beberapa minggu karena masalah pemasangan ulang disk.
  • Menonaktifkan/membatalkan/menghancurkan versi kunci (termasuk versi kunci utama atau versi kunci sebelumnya): API yang ditampilkan kepada pelanggan Apigee yang menggunakan versi kunci tersebut akan segera berhenti berfungsi. Beberapa sistem internal dan traffic runtime akan terpengaruh. Instance mungkin tidak dapat dimulai jika versi kunci digunakan untuk enkripsi disk.

Mengaktifkan kembali kunci

Jika penyusupan adalah alarm palsu atau penonaktifan kunci tidak disengaja, Anda dapat mengaktifkan kembali kunci jika kunci dinonaktifkan. Mengaktifkan ulang kunci akan memulihkan fungsi ke API yang ditampilkan kepada pelanggan. Sistem internal akan pulih dalam hitungan menit. Namun, mungkin ada kehilangan data untuk keamanan dan analitik API selama periode kunci tidak tersedia.

  • Jika periode penonaktifan kunci singkat: Sistem akan pulih kecuali untuk beberapa kehilangan data pada keamanan dan analisis API.
  • Jika periode penonaktifan kunci lama: Sistem akan pulih untuk menyalurkan traffic, tetapi hal ini dapat menyebabkan inkonsistensi data saat satu region menampilkan satu nilai dan region yang sebelumnya tidak aktif menampilkan nilai lain. Hubungi Layanan Pelanggan Google Cloud untuk memperbaiki cluster Apigee Anda.

Menghapus kunci

Pertimbangkan untuk mengikuti langkah-langkah berikut sebelum menghapus kunci:

Melindungi organisasi Apigee Anda dengan pencadangan CI/CD

Jika terjadi penyusupan kunci enkripsi yang dikelola pelanggan (CMEK), tindakan langsung untuk menonaktifkan, mencabut, atau menghancurkan kunci yang disusupi sangatlah penting. Namun, tindakan keamanan yang diperlukan ini dapat membuat sistem Apigee Anda tidak berfungsi, sehingga berpotensi menyebabkan periode nonaktif dan gangguan layanan.

Untuk memastikan downtime minimal atau tidak ada untuk layanan Apigee Anda, Anda harus menerapkan pendekatan proaktif: pencadangan berkelanjutan konfigurasi organisasi Anda (pencadangan continuous integration/continuous deployment (CI/CD)). Lihat alat yang tersedia dan praktik terbaik untuk memulihkan organisasi Apigee.

Keandalan CI/CD dan IaC

Berinvestasi dalam alat seperti Terraform, solusi Infrastructure as Code (IaC), memungkinkan Anda membuat organisasi Apigee baru dengan lancar dari konfigurasi yang dicadangkan. Proses yang disederhanakan ini memungkinkan Anda membuat ulang organisasi Apigee dengan cepat dan efisien, sehingga meminimalkan periode nonaktif dan memastikan kelangsungan bisnis.

Alat yang tersedia untuk digunakan

Anda dapat menggabungkan semua alat berikut untuk mencadangkan organisasi apigee secara berkala dan menguji proses pemulihan.

Praktik terbaik

  • Pencadangan rutin: Menjadwalkan pencadangan rutin untuk memastikan Anda memiliki konfigurasi terbaru. Lihat Mengekspor/membuat ulang organisasi.
  • Penyimpanan aman: Simpan cadangan Anda di lokasi yang aman, seperti repositori terenkripsi.
  • Menguji pemulihan: Uji proses pemulihan secara berkala untuk memastikan Anda dapat memulihkan organisasi Apigee secara efektif. Uji proses pemulihan secara berkala untuk memastikan Anda dapat beralih traffic ke organisasi Apigee yang baru dibuat dengan cepat.

Mengekspor/membuat ulang organisasi

Alat apigeecli adalah alat command line yang memungkinkan Anda mengelola resource Apigee. Dengan API ini, Anda dapat melakukan tindakan yang sama seperti Apigee API di antarmuka command line yang mudah digunakan, yang serupa dengan perintah gcloud.
Jika ingin membuat ulang organisasi Apigee atau bermigrasi ke organisasi Apigee lain, Anda dapat menggunakan apigeecli organizations export dan apigeecli organizations import. Data ini juga dapat digunakan sebagai dasar untuk pencadangan yang sedang berlangsung. Alat ini dapat mengekspor dan mengimpor resource seperti:

  • Dokumen portal API
  • Kategori portal API
  • Proxy API
  • Konfigurasi keamanan API dan profil keamanan
  • Alur bersama
  • Produk API
  • Developer
  • Aplikasi developer termasuk kredensial
  • AppGroups dan Aplikasi termasuk kredensial
  • Detail lingkungan
  • Grup lingkungan
  • Konfigurasi Perangkat Pengumpul Data
  • Keystore dan sertifikat alias tingkat lingkungan
  • Server target tingkat lingkungan
  • Referensi tingkat lingkungan
  • Peta nilai kunci (KVM) dan entri di tingkat organisasi, lingkungan, dan proxy
  • Keystore dan sertifikat alias kecuali kunci pribadi

Alat ini dapat mengelola semua resource Apigee lainnya. Daftar lengkap perintah dapat dilihat menggunakan apigeecli tree.

Alat ini memiliki beberapa batasan:

  • Keystore memerlukan penyimpanan kunci pribadi saat pembuatan dan menyertakannya dalam file cadangan lokal
  • Token OAuth tidak akan dapat dicadangkan dan dipulihkan, yang berarti instance Apigee yang baru dibuat akan mengharuskan pelanggan Anda login ulang.
  • Kontrol akses seperti kebijakan organisasi dan aturan IAM tidak dimigrasikan. Jika ingin memigrasikan aturan tersebut, Anda harus menggunakan Google Cloud API.
  • Ekspor laporan Analytics tidak didukung, dan metrik analisis tidak disalin ke organisasi apigee baru.
  • Perintah import ini tidak otomatis membuat instance, envGroup, EnvAttachments, lampiran endpoint, atau men-deploy proxy untuk Anda. Anda dapat mengelola resource ini, tetapi tidak langsung melalui perintah import.
  • Perintah import ini tidak otomatis membuat situs portal. Pembuatan situs portal harus dilakukan secara manual melalui UI.
  • Sebaiknya Anda berinvestasi dalam pemulihan dari bencana untuk penghapusan kunci dan menguji proses pemulihan secara berkala untuk memastikan Anda dapat mengalihkan traffic ke organisasi Apigee yang baru dibuat dengan cepat.

Prasyarat

Sebelum memulai, pastikan prasyarat berikut terpenuhi:

  • Apigee CLI diinstal: Instal apigeecli dengan mengikuti langkah-langkah dalam panduan penginstalan.
  • Autentikasi: Anda harus memiliki izin dan kredensial autentikasi yang diperlukan untuk berinteraksi dengan organisasi Apigee. Pastikan Anda telah menyiapkan:
    • Google Cloud SDK (gcloud): Diinstal dan diautentikasi.
    • Token akses: Dapatkan token akses menggunakan gcloud auth print-access-token.
  • Akses jaringan: Pastikan jaringan Anda mengizinkan akses ke API Apigee.
  • Create org: Membuat organisasi apigee baru yang ingin Anda migrasikan. Anda dapat membuat berbagai jenis organisasi apigee; namun, pastikan Anda menggunakan jenis organisasi yang sama (bayar sesuai pemakaian atau langganan) dan jenis pemilihan rute jaringan yang sama dengan yang Anda gunakan dengan organisasi asli.

Mengekspor organisasi Apigee

Berikut adalah contoh perintah. Lihat ekspor organisasi apigeecli untuk mengetahui detail tentang berbagai flag. 

# Sample command
mkdir apigee_backup
cd apigee_backup

# gcloud auth application-default login
export ORG_FROM=REPLACE
apigeecli organizations export -o $ORG_FROM --default-token

Mengimpor organisasi Apigee

Berikut adalah contoh perintah. Lihat impor organisasi apigeecli untuk mengetahui detail tentang berbagai flag

# Sample command
# gcloud auth application-default login
export ORG_TO=REPLACE
apigeecli organizations import -o $ORG_TO -f . --default-token

Langkah-langkah pasca-impor

Membuat instance dan menyiapkan jaringan

Lakukan hal berikut untuk membuat instance dan menyiapkan jaringan:

  1. Ikuti langkah-langkah dalam Membuat instance baru untuk membuat instance baru.
  2. Mengonfigurasi traffic Northbound: Northbound mengacu pada traffic API dari klien eksternal atau internal ke Apigee melalui load balancer. Anda harus memastikan bahwa Anda mengonfigurasi PSC atau VPC dengan benar sehingga instance Anda dapat dijangkau. Anda harus menyiapkan nama host grup lingkungan di organisasi baru.
  3. Mengonfigurasi traffic Southbound: Southbound mengacu pada traffic API dari Apigee ke layanan target proxy API Anda. Jadi, Anda harus mencadangkan dan mengaktifkan alamat IP baru untuk NAT dan mengonfigurasi ulang firewall/izinkan di endpoint target.

Lihat Opsi jaringan Apigee untuk mengetahui informasi selengkapnya.

Mencadangkan/memulihkan konfigurasi lainnya

Gunakan salah satu opsi berikut untuk mencadangkan/memulihkan konfigurasi lainnya:

Men-deploy proxy

Gunakan salah satu opsi berikut untuk men-deploy proxy:

Mengalihkan traffic

Lakukan tindakan berikut untuk mengalihkan traffic:

  1. Siapkan pengujian integrasi otomatis untuk instance baru.
  2. Konfigurasikan load balancer untuk secara bertahap mengalihkan traffic ke instance baru sambil memantau performa.