Anthos Service Mesh und Traffic Director sind jetzt Cloud Service Mesh. Weitere Informationen finden Sie in der Übersicht zu Cloud Service Mesh.

Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Service Mesh-Sicherheit – Übersicht

Cloud Service Mesh mit der Sicherheit von Istio APIs hilft Ihnen, Insiderbedrohungen zu minimieren und verringern das Risiko einer Datenpanne, indem Sie sicherstellen, zwischen Arbeitslasten verschlüsselt, gegenseitig authentifiziert und autorisiert.

Bisher wurde die Mikrosegmentierung mit IP-basierten Regeln genutzt, um das Risiko der Datenweitergabe durch Insider zu verringern. Durch die Einführung von Containern, gemeinsam genutzten Diensten und verteilten Produktionsumgebungen über mehrere Clouds hinweg ist dieser Ansatz jedoch schwieriger zu konfigurieren und noch schwieriger zu pflegen.

Mit Cloud Service Mesh können Sie eine Dienstebene konfigurieren. kontextsensitive und kontextsensitive Netzwerksicherheit für die Sicherheit des zugrunde liegenden Netzwerks. Aus diesem Grund Mit Cloud Service Mesh können Sie eine gestaffelte Sicherheitsebene einführen, Sie entsprechen den Zero-Trust-Sicherheitsgrundsätzen. Damit erreichen Sie das, Sicherheitsstatus durch deklarative Richtlinien und ohne Änderungen des Anwendungscodes zu implementieren.

Gegenseitiges TLS

Cloud Service Mesh verwendet gegenseitige TLS (mTLS) für die Peer-Authentifizierung. Die Authentifizierung bezieht sich auf die Identität: Wer ist dieser Dienst? Wer ist dieser Endnutzer? und kann ich darauf vertrauen, dass sie die sind, die sie vorgeben zu sein?

Mit mTLS können Arbeitslasten die Identitäten des jeweils anderen prüfen und sich authentifizieren. Möglicherweise sind Sie mit einfachem TLS vertraut. Dies wird in HTTPS genutzt, um es Browsern zu ermöglichen, Webservern zu vertrauen und die ausgetauschten Daten zu verschlüsseln. Wenn einfaches TLS verwendet wird, stellt der Client fest, dass der Server als vertrauenswürdig eingestuft werden kann, indem er sein Zertifikat validiert. mTLS ist eine Implementierung von TLS, in der sowohl der Client als auch der Server Zertifikate bereitstellen und die Identität des jeweils anderen überprüft wird.

mTLS ist das Mittel, mit dem Cloud Service Mesh sowohl Authentifizierung und Verschlüsselung zwischen Diensten.

In Cloud Service Mesh ist automatisches mTLS standardmäßig aktiviert. Mit automatischem mTLS Der Client-Sidecar-Proxy erkennt automatisch, ob der Server eine Sidecar-Datei hat. Die Client-Sidecar sendet mTLS an Arbeitslasten mit Sidecars und Nur-Text an für Arbeitslasten ohne Sidecars. Dienste akzeptieren sowohl Nur-Text- als auch mTLS-Traffic. Um Ihr Service Mesh zu sichern, empfehlen wir Ihnen, Ihre Dienste so zu migrieren, dass nur mTLS-Traffic akzeptiert wird.

Weitere Informationen zum Erzwingen von mTLS finden Sie unter Cloud Service Mesh by example: mTLS

Sicherheitsvorteile

Cloud Service Mesh bietet die folgenden Sicherheitsvorteile:

Verminderung des Risikos von Replay- oder Imitationsangriffen, bei denen gestohlene Anmeldedaten verwendet werden. Cloud Service Mesh benötigt mTLS-Zertifikate, um Authentifizieren von Peers anstelle von Inhabertokens wie JSON-Webtokens (JWT): Da mTLS-Zertifikate an den TLS-Kanal gebunden sind, ist es nicht möglich, um sich als eine andere Entität in Ihrer Produktionsumgebung auszugeben, Wiedergeben des Authentifizierungstokens ohne Zugriff auf die privaten Schlüssel.
Sicherstellen der Verschlüsselung während der Übertragung. Durch die Verwendung von mTLS für die Authentifizierung wird außerdem sichergestellt, dass alle TCP-Kommunikationen bei der Übertragung verschlüsselt werden.
Zugriff auf einen Dienst mit vertraulichen Daten nur durch autorisierte Clients. Nur autorisierte Clients können auf einen Dienst mit vertraulichen Daten zugreifen, unabhängig vom Netzwerkstandort des Clients und den Anmeldedaten auf Anwendungsebene. Sie können angeben, dass nur Clients mit autorisierten Dienstidentitäten oder in autorisierten Kubernetes-Namespaces auf einen Dienst zugreifen können. Ich können Clients auch mithilfe von IP-basierten Zugriffsrichtlinien Zugriff gewähren, und zwar außerhalb des Mesh-Netzwerks.
Verminderung des Risikos von Verstößen gegen Nutzerdaten in Ihrem Produktionsnetzwerk. Sie können gewährleisten, dass Insider nur über autorisierte Clients auf vertrauliche Daten zugreifen können. Darüber hinaus können Sie dafür sorgen, dass bestimmte Clients nur dann Zugriff auf Nutzerdaten erhalten, wenn der Client ein gültiges und vorübergehendes Nutzer-Token vorweisen kann. So verringern Sie das Risiko, dass Anmeldedaten eines einzelnen Clients kompromittiert werden. gewährt einem Angreifer Zugriff auf alle Nutzerdaten.
Identifikation von Clients, die auf einen Dienst mit vertraulichen Daten zugegriffen haben. Das Cloud Service Mesh-Zugriffs-Logging erfasst die mTLS-Identität des Client zusätzlich zur IP-Adresse. So können Sie nachvollziehen, auf einen Dienst zugegriffen hat, auch wenn die Arbeitslast sitzungsspezifisch und dynamisch ist bereitgestellt und sich in einem anderen Cluster oder VPC-Netzwerk (Virtual Private Cloud) befinden.

Features

In diesem Abschnitt werden die Features beschrieben, die Cloud Service Mesh für ihre Sicherheitsvorteile zu nutzen.

Automatische Zertifikate und Schlüsselrotation

Die Verwendung von mTLS auf Basis von Dienstidentitäten ermöglicht die Verschlüsselung der gesamten TCP-Kommunikation und bietet sicherere, nicht wiederholbare Anmeldedaten für die Zugriffssteuerung. Eine der größten Herausforderungen bei der umfangreichen Nutzung von mTLS ist die Verwaltung der Schlüssel. und Zertifikate für alle Zielarbeitslasten. Cloud Service Mesh sorgt dafür, Rotieren von mTLS-Schlüsseln und Zertifikaten für Mesh-Arbeitslasten ohne Unterbrechung Kommunikation. Es ist möglich, kleinere Aktualisierungsintervalle für Zertifikate zu konfigurieren, Risiken zu reduzieren.

Cloud Service Mesh-Zertifizierungsstelle

Cloud Service Mesh enthält ein verwaltetes multiregionales privates Netzwerk Zertifizierungsstelle, Cloud Service Mesh-Zertifizierungsstelle, für die Ausstellung von Zertifikaten für mTLS. Die Zertifizierungsstelle von Cloud Service Mesh ist ein äußerst zuverlässiger und skalierbarer Dienst, der ist für dynamisch skalierte Arbeitslasten auf einer Cloud-Plattform optimiert. Mit Cloud Service Mesh-Zertifizierungsstelle verwaltet Google die Sicherheit und Verfügbarkeit der CA-Back-End. Mit der Cloud Service Mesh-Zertifizierungsstelle können Sie sich auf eine einzige Root of Trust verlassen in allen Clustern. Bei Verwendung der Cloud Service Mesh-Zertifizierungsstelle können Sie sich auf die Arbeitslast verlassen Identitätspools für eine grobe Isolation. Standardmäßig führt die Authentifizierung schlägt fehl, wenn sich Client und Server nicht im selben Workload Identity-Pool befinden.

Zertifikate der Cloud Service Mesh-Zertifizierungsstelle enthalten die folgenden Daten über die Dienste Ihrer Anwendung:

Die Google Cloud-Projekt-ID
Der GKE-Namespace
Der Name des GKE-Dienstkontos

Certificate Authority Service

Als Alternative zur Cloud Service Mesh-Zertifizierungsstelle können Sie Cloud Service Mesh zur Nutzung von Certificate Authority Service, der für folgende Anwendungsfälle:

Wenn Sie unterschiedliche CAs benötigen, um Arbeitslastzertifikate auf unterschiedlichen Clustern zu signieren.
Wenn Sie Ihre Signaturschlüssel in einem verwalteten HSM sichern müssen.
Wenn Sie in einer stark regulierten Branche tätig sind und der Compliance unterliegen.
Wenn Sie Ihre Cloud Service Mesh-Zertifizierungsstelle mit einer benutzerdefinierten Zertifizierungsstelle verketten möchten Enterprise-Root-Zertifikat zum Signieren von Arbeitslastzertifikaten verwenden.

Die Kosten für die Cloud Service Mesh-Zertifizierungsstelle sind in der Cloud Service Mesh-Preise. Die Kosten für CA Service im Cloud Service Mesh-Basispreis enthalten und in Rechnung gestellt separat. Außerdem hat CA Service ein explizites SLA, die Cloud Service Mesh-Zertifizierungsstelle jedoch nicht.

Für diese Einbindung werden allen Arbeitslasten in Cloud Service Mesh zwei IAM-Rollen:

Richtlinien für identitätssensitive Zugriffssteuerung (Firewall)

Mit Cloud Service Mesh können Sie Netzwerksicherheitsrichtlinien konfigurieren die auf der mTLS-Identität im Vergleich zur IP-Adresse des Peers basieren. Dadurch können erstellen Sie Richtlinien, die vom Netzwerkstandort der Arbeitslast unabhängig sind. Es wird nur die clusterübergreifende Kommunikation im selben Google Cloud-Projekt unterstützt.

Richtlinien für anforderungssensitive Zugriffssteuerung (Firewall)

Zusätzlich zur mTLS-Identität können Sie den Zugriff auf Basis der Anforderungen im JWT-Header von HTTP- oder gRPC-Anfragen gewähren. Mit Cloud Service Mesh können Sie Sie können bestätigen, dass ein JWT von einer vertrauenswürdigen Entität signiert ist. Das bedeutet, dass Sie Richtlinien konfigurieren, die den Zugriff von bestimmten Clients nur erlauben, wenn eine Anfrage Anspruch existiert oder mit einem angegebenen Wert übereinstimmt.

Nutzerauthentifizierung mit Identity-Aware Proxy

Sie authentifizieren Nutzer, die auf Dienste zugreifen, die auf einem Cloud Service Mesh-Ingress-Gateway mithilfe von Identity-Aware Proxy (IAP): IAP kann Nutzer authentifizieren die sich über einen Browser anmelden, Benutzerdefinierte Identitätsanbieter integrieren ein kurzlebiges JWT-Token oder RCToken aus, mit dem Zugriff über das Ingress-Gateway oder einen nachgelagerten Dienst (über ein Side-Car). Weitere Informationen finden Sie unter IAP in Cloud Service Mesh einbinden

Nutzerauthentifizierung mit Ihrem vorhandenen Identitätsanbieter:

Sie können Ihren bestehenden Identitätsanbieter in das Cloud Service Mesh einbinden, um bieten eine browserbasierte Endnutzer-Authentifizierung und Zugriffssteuerung für Ihr bereitgestellten Arbeitslasten. Weitere Informationen finden Sie unter Cloud Service Mesh-Nutzerauthentifizierung konfigurieren

Zugriffs-Logging und -Monitoring:

Cloud Service Mesh stellt sicher, dass Zugriffslogs und Messwerte in Google Cloud Observability und bietet ein integriertes Dashboard um Zugriffsmuster für einen Dienst oder eine Arbeitslast anhand dieser Daten zu verstehen.

FIPS-konform

Die Komponente der Datenebene verwendet Nach FIPS 140-2 validierte Verschlüsselung Module.

Beschränkungen

Für die Sicherheit von Cloud Service Mesh gelten folgende Einschränkungen:

Für die Nutzerauthentifizierung, die IAP verwendet, muss ein Dienst im Internet veröffentlicht werden. IAP und Cloud Service Mesh können Sie Richtlinien konfigurieren, die den Zugriff auf autorisierte Nutzer und Clients in einem zulässigen IP-Bereich. Wenn Sie den Dienst nur für Clients im selben Netzwerk müssen Sie eine benutzerdefinierte Richtlinien-Engine konfigurieren. für die Nutzerauthentifizierung und die Tokenausstellung.