Anthos Service Mesh 1.6

Anthos Service Mesh-Sicherheit – Übersicht

Die Sicherheit von Anthos Service Mesh hilft Ihnen, Insider-Bedrohungen abzuschwächen und das Risiko einer Datenpanne zu verringern, indem sichergestellt wird, dass die gesamte Kommunikation zwischen Arbeitslasten verschlüsselt ist und sich gegenseitig authentifiziert ist. und autorisiert.

Bisher wurde die Mikrosegmentierung, die IP-basierte Regeln verwendet, genutzt, um Insiderrisiken zu verringern. Die Einführung von Containern, gemeinsam genutzten Diensten und verteilten Produktionsumgebungen über mehrere Clouds hinweg macht jedoch diesen Ansatz schwieriger zu konfigurieren und noch schwieriger zu pflegen.

Mit Anthos Service Mesh können Sie eine Ebene von Dienstkontextsensitiven und Abfragekontextsensitiven Netzwerksicherheit konfigurieren, die unabhängig von der Sicherheit des zugrundeliegenden Netzwerks ist. Aus diesem Grund können Sie mit Anthos Service Mesh eine tief gehende Sicherheitsstellung einnehmen, die den Null-Vertrauens-Sicherheitsgrundsätzen entspricht. Sie können dies erreichen, indem Sie deklarative Richtlinien verwenden, ohne den Anwendungscode zu ändern.

Gleichzeitig bietet sie verschiedene Sicherheitsvorteile.

Anthos Service Mesh bietet die folgenden Sicherheitsvorteile:

  • Vermindert das Risiko von Wiederholungs- oder Identitätsdiebstahl, die gestohlene Anmeldedaten verwenden. Anthos Service Mesh benötigt mTLS-Zertifikate, um Peers zu authentifizieren, anstelle von Inhabertokens wie JWT-Tokens. Da mTLS-Zertifikate an den TLS-Kanal gebunden sind, kann eine Entität in Ihrer Produktionsumgebung nicht als eine andere Identität ausgegeben werden. Dazu wird einfach das Authentifizierungstoken ohne Zugriff auf die privaten Schlüssel ausgegeben.

  • Sicherstellen die Verschlüsselung während der Übertragung. Durch die Verwendung von mTLS für die Authentifizierung wird außerdem sichergestellt, dass alle TCP-Kommunikationen bei der Übertragung verschlüsselt werden.

  • Sorgt dafür, dass nur autorisierte Clients auf einen Dienst mit vertraulichen Daten zugreifen können. Nur autorisierte Clients können auf einen Dienst mit vertraulichen Daten zugreifen, die unabhängig vom Netzwerkstandort des Clients und den Anmeldedaten auf Anwendungsebene sind. Sie können angeben, dass nur Clients mit autorisierten Dienstidentitäten oder in autorisierten Kubernetes-Namespaces auf einen Dienst zugreifen können. Sie können mit IP-basierten Zugriffsrichtlinien auch Zugriff für Clients gewähren, die außerhalb der Anthos-Umgebung bereitgestellt werden.

  • Verringern Sie das Risiko von Verstößen gegen Nutzerdaten in Ihrem Produktionsnetzwerk. Sie können gewährleisten, dass Insider nur über autorisierte Clients auf vertrauliche Daten zugreifen können. Darüber hinaus können Sie dafür sorgen, dass bestimmte Clients nur dann Zugriff auf Nutzerdaten erhalten, wenn der Client ein gültiges und vorübergehendes Nutzer-Token vorweisen kann. Dadurch besteht das Risiko, dass der Mandant von den Anmeldedaten eines einzelnen Clients einem Angreifer Zugriff auf alle Nutzerdaten gewährt.

  • Gibt an, welche Clients auf einen Dienst mit vertraulichen Daten zugegriffen haben. Das Zugriffs-Logging von Anthos Service Mesh erfasst zusätzlich zur IP-Adresse die mTLS-Identität des Clients. Dadurch können Sie problemlos erkennen, welche Arbeitslast auf einen Dienst zugegriffen hat, auch wenn die Arbeitslast sitzungsspezifisch und dynamisch bereitgestellt wird und in einem anderen Cluster oder VPC-Netzwerk (Virtual Private Cloud).

Produkte

Anthos Service Mesh bietet die folgenden Funktionen, um die Sicherheitsvorteile zu nutzen:

  • Automatisches Zertifikat und Schlüsselrotation. Die Verwendung von mTLS auf Basis von Dienstidentitäten ermöglicht die Verschlüsselung der gesamten TCP-Kommunikation und bietet sicherere, nicht wiedergabefähige Anmeldedaten für die Zugriffssteuerung. Eine der größten Herausforderungen bei der Nutzung von mTLS auf individueller Ebene ist die Verwaltung der Schlüssel und Zertifikate für alle Zielarbeitslasten. Anthos Service Mesh verwaltet die Rotation von mTLS-Schlüsseln und -Zertifikaten für Anthos-Arbeitslasten ohne Unterbrechung der Kommunikation. Auf diese Weise können Sie kleinere Entwertungsintervalle konfigurieren und so Risiken senken.

  • Verwaltete private Zertifizierungsstelle (Mesh CA). Anthos Service Mesh enthält eine von Google verwaltete, multiregionale Zertifizierungsstelle, Mesh CA, zur Bereitstellung von Zertifikaten für mTLS. Mesh CA ist ein sehr zuverlässiger und skalierbarer Dienst, der für dynamisch skalierte Arbeitslasten auf einer Cloudplattform optimiert ist. Mit Mesh CA verwaltet Google die Sicherheit und Verfügbarkeit des CA-Back-Ends. Mit Mesh CA können Sie auf eine einzige Vertrauensbasis von Anthos-Clustern zurückgreifen. Bei Verwendung von Mesh CA können Sie auf Arbeitslasten von Identitätsidentitäten zurückgreifen, um eine detaillierte Isolation zu ermöglichen. Die Authentifizierung schlägt standardmäßig fehl, wenn sich der Client und der Server nicht im selben Identitätsidentitäts-Arbeitspool befinden.

    Zertifikate von Mesh CA enthalten die folgenden Daten zu den Diensten Ihrer Anwendung:

    • Die Google Cloud-Projekt-ID.
    • Der GKE-Namespace
    • Der Name des GKE-Dienstkontos
  • Identitätsbewusste Zugriffssteuerungsrichtlinien (Firewall). Mit Anthos Service Mesh können Sie Netzwerksicherheitsrichtlinien konfigurieren, die auf der mTLS-Identität im Vergleich zur IP-Adresse des Peers beruhen. Auf diese Weise können Sie Richtlinien erstellen, die unabhängig vom Netzwerkstandort der Arbeitslast sind. Derzeit werden nur Kommunikation zwischen Clustern im selben Google Cloud-Projekt unterstützt.

  • Richtlinien für anspruchsvolle Zugriffssteuerung (Firewall) anfordern. Zusätzlich zur mTLS-Identität können Sie den Zugriff auf Anfrageanfragen im JWT-Header von HTTP- oder gRPC-Anfragen gewähren. Mit Anthos Service Mesh können Sie bestätigen, dass ein JWT von einer vertrauenswürdigen Entität signiert wurde. Das bedeutet, dass Sie Richtlinien konfigurieren können, die den Zugriff von bestimmten Clients nur dann zulassen, wenn eine Anfrage vorhanden ist oder einem bestimmten Wert entspricht.

  • Nutzerauthentifizierung mit Identity-Aware Proxy. Sie authentifizieren Nutzer, die auf Dienste zugreifen, die in einem Anthos Service Mesh-Ingress-Gateway verfügbar sind, mit Identity-Aware Proxy (IAP). IAP kann Nutzer authentifizieren, die sich über einen Browser anmelden, in benutzerdefinierte Identitätsanbieter eingebunden werden und ein kurzlebiges JWT oder ein RCToken ausführen, das dann verwendet werden kann, um den Zugriff auf das Ingress-Gateway zu gewähren. oder einen nachgelagerten Dienst (mithilfe eines side-cars).

  • Zugriffsprotokollierung und -überwachung: Anthos Service Mesh gewährleistet, dass Zugriffs-Logs und Messwerte in der Operations Suite von Google Cloud verfügbar sind und ein integriertes Dashboard bietet, um die Zugriffsmuster für einen Dienst oder eine Arbeitslast auf dieser Grundlage zu verstehen. Sie können auch ein privates Ziel konfigurieren. Mit Anthos Service Mesh können Sie Rauschen in Zugriffslogs reduzieren, indem Sie erfolgreiche Zugriffe nur einmal in einem konfigurierbaren Zeitfenster protokollieren. Anfragen, die von einer Sicherheitsrichtlinie abgelehnt werden oder zu einem Fehler führen, werden immer protokolliert. Dadurch können Sie die Kosten für die Aufnahme, Speicherung und Verarbeitung von Logs erheblich reduzieren, ohne dass wichtige Sicherheitssignale verloren gehen.

Beschränkungen

Die Sicherheit von Anthos Service Mesh unterliegt derzeit den folgenden Einschränkungen:

  • Für die mTLS-Authentifizierung wird nur ein einzelner Cluster unterstützt. Die mTLS-Authentifizierung für Cluster wird nicht unterstützt. Wir empfehlen die Verwendung eines Ingress-Gateways und Standard-TLS für die cluster- und VPC-übergreifende Kommunikation.

  • Mesh-Zertifizierungsstellen werden nur für Anthos-Bereitstellungen in Google Cloud unterstützt.

  • Für die Nutzerauthentifizierung, die IAP verwenden, muss ein Dienst im Internet veröffentlicht werden. Mit IAP und Anthos Service Mesh können Sie Richtlinien konfigurieren, die den Zugriff auf autorisierte Nutzer und Clients in einem IP-Bereich auf der weißen Liste beschränken. Wenn Sie den Dienst nur für Clients innerhalb desselben Netzwerks freigeben möchten, müssen Sie eine benutzerdefinierte Richtlinien-Engine für die Nutzerauthentifizierung und die Tokenanforderung konfigurieren.

Nächste Schritte