Traffic Director によりサービスにマネージド ゼロトラスト セキュリティを実現

※この投稿は米国時間 2021 年 6 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。

Traffic Director は負荷分散、トラフィック管理、サービス ディスカバリを含むフルマネージドのサービス メッシュ プロダクトです。今回、Certificate Authority（CA）Service や Google Kubernetes Engine（GKE）で Traffic Director を使用して、フルマネージドのゼロトラスト セキュリティ ソリューションを構築できるようになりました。

プラットフォームの管理者やセキュリティの専門家がアプリケーションのモダナイズ時に将来を見据えてセキュリティ体制を検討するとき、候補として検討されるのは「ゼロトラスト」セキュリティです。このセキュリティ体制は以下の基本的なブロックに基づいています。

1. サービス ID の割り当てやアサーションの手段（X.509 証明書を使用するなど）

2. 相互認証（mTLS）またはサーバ認証（TLS）

3. あらゆるトラフィック フローの暗号化（TLS 暗号化）

4. 認証チェックと最小限の権限

5. 前述のすべてを管理し、信頼性の高いものにするインフラストラクチャ

Traffic Director はこれを、可用性に優れたプライベート認証局である CA Service との統合を通じて行います。CA Service は、サービス ID を提供するプライベート証明書を発行し、証明書のライフサイクル管理も可能なマネージド mTLS 証明書インフラストラクチャを提供します。この 2 つが組み合わされることで、証明書の発行と複雑な CA ローテーションが解決されます。

Traffic Director でサービス間のセキュリティ管理を実現することで、エンドツーエンド暗号化、サービスレベルでの認証、詳細な認可ポリシーをサービス メッシュに実装できるようになります。

この新しい機能により、以下のことができるようになります。

• 証明書のライフサイクル管理も可能なサービス間の相互 TLS（mTLS）や TLS の実装。これにより、メッシュ内の通信が認証、暗号化されます。

• ID ベースの認可、他のパラメータ（リクエスト メソッドなど）に基づいた認可。このコンセプトはロールベースのアクセス制御（RBAC）を基盤としており、許可 / 拒否ルールによって認可されたサービスのみが相互通信できる「最小権限」を実現できます。

mTLS は、サービス メッシュに Envoy とプロキシレス gRPC のどちらを使用していてもサポートされます。プロキシレス gRPC 向けの認可は今年後半に利用できるようになる予定です。詳細について確認し、Envoy またはプロキシレス gRPCに Traffic Director を使用するには、Google のドキュメントをご覧ください。

-Traffic Director 担当プロダクト マネージャー Stewart Reichling