Casi d'uso relativi alla sicurezza dei servizi

Questo documento descrive i casi d'uso comuni della sicurezza di Cloud Service Mesh. Utilizza queste informazioni per determinare quale modello di sicurezza è più adatto alle tue esigenze. Questo documento fornisce anche una panoramica generale di ciò che devi configurare per ogni caso d'uso.

Per una panoramica della sicurezza dei servizi, consulta Sicurezza dei servizi Cloud Service Mesh.

Abilitazione di TLS reciproco per i servizi nel mesh

In un mesh di servizi, puoi abilitare il protocollo TLS reciproco (mTLS) in modo che sia il client che il server in una comunicazione devono dimostrare la propria identità e criptare le comunicazioni.

Autenticazione TLS (mTLS) reciproca in un mesh di servizi.
Autenticazione TLS reciproca (mTLS) in un mesh di servizi (fai clic per ingrandire)

La seguente sezione omette la discussione delle risorse Mesh, Gateway e Route. Queste risorse API sono necessarie per creare il mesh e instradare il traffico, ma non è necessario aggiornarle per abilitare mTLS.

Il pattern precedente può essere ottenuto configurando le seguenti risorse dell'API Compute Engine. Questo diagramma utilizza proxy sidecar, ma la configurazione di un'applicazione gRPC senza proxy con mTLS utilizza le stesse risorse.

Risorse dell'API Compute Engine per mTLS all'interno di una rete mesh.
Risorse dell'API Compute Engine per mTLS all'interno di un mesh (fai clic per ingrandire)

Per creare questo modello, segui questi passaggi:

  1. Crea un criterio TLS (Client Transport Layer Security).
  2. Crea un criterio TLS del server.
  3. Aggiorna il campo securitySettings nei servizi di backend globali esistenti per fare riferimento al nuovo criterio TLS del client.

  4. Crea un criterio per gli endpoint:

    1. Fai riferimento al criterio TLS del server nel campo server_tls_policy.

    2. Definisci un EndpointMatcher per selezionare i client Cloud Service Mesh che devono applicare l'autenticazione sul traffico in entrata.

      La selezione dei client Cloud Service Mesh si basa sulle etichette specificate nella configurazione bootstrap del client Cloud Service Mesh. Queste etichette possono essere fornite manualmente o compilate automaticamente in base alle etichette fornite ai tuoi deployment Google Kubernetes Engine (GKE).

      Nel diagramma precedente, le etichette "mesh-service":"true" sono configurate sul criterio dell'endpoint e sui client Cloud Service Mesh. Puoi scegliere le etichette adatte al tuo deployment.

    3. Facoltativamente, definisci un valore TrafficPortSelector che applichi i criteri solo quando le richieste in entrata vengono effettuate alla porta specificata sull'entità del piano dati.

Il seguente diagramma mostra le risorse Compute Engine configurate per mTLS, a prescindere dal fatto che utilizzi Envoy o un'applicazione gRPC senza proxy.

Risorse dell'API Compute Engine per mTLS all'interno di una rete mesh.
Risorse dell'API Compute Engine per mTLS all'interno di un mesh (fai clic per ingrandire)

Il seguente diagramma mostra il flusso di traffico ed elenca le risorse dell'API Compute Engine che configuri per abilitare mTLS. Il proxy sidecar locale che si trova accanto al pod GKE del Servizio B è l'endpoint nella comunicazione.

Risorse dell'API Compute Engine e flusso di traffico per mTLS all'interno di una mesh.
Risorse e flusso di traffico dell'API Compute Engine per mTLS all'interno di un mesh (fai clic per ingrandire)

Il criterio dell'endpoint esegue le seguenti operazioni:

  1. Seleziona un insieme di endpoint utilizzando uno strumento di abbinamento degli endpoint e, facoltativamente, le porte su questi endpoint.

    1. Lo strumento di corrispondenza degli endpoint consente di specificare le regole che determinano se un client Cloud Service Mesh riceve la configurazione. Queste regole si basano sui metadati xDS che l'entità del piano dati fornisce al piano di controllo, in questo caso Cloud Service Mesh.

      Puoi aggiungere etichette al client Cloud Service Mesh nel seguente modo:

      • Puoi specificare manualmente questi metadati nel file di bootstrap del client Cloud Service Mesh.

      • In alternativa, i metadati possono essere compilati automaticamente quando utilizzi GKE aggiungendo le coppie chiave-valore alla sezione env dei file demo_server.yaml o demo_client.yaml. Questi valori sono forniti nella guida alla configurazione di Envoy e nella guida alla configurazione di gRPC senza proxy.

        Ad esempio, solo con Envoy, puoi far precedere la chiave con il prefisso ISTIO_META_. I nomi variabile di ambiente proxy che iniziano con ISTIO_META_ sono inclusi nel bootstrap generato e inviati al server xDS.

        - name: ISTIO_META_app
  value: 'review'
- name: ISTIO_META_version
  value: 'canary'

    2. Se specifichi una porta, i criteri a cui viene fatto riferimento nel criterio dell'endpoint vengono applicati in modo forzato solo alle richieste in entrata che specificano la stessa porta. Se non specifichi una porta, i criteri vengono applicati alle richieste in entrata che specificano una porta anche nel campo TRAFFICDIRECTOR_INBOUND_BACKEND_PORTS, fornita al client Cloud Service Mesh nelle informazioni di bootstrap.

  2. Fa riferimento ai criteri TLS del client, TLS del server e di autorizzazione che configurano gli endpoint in cui vengono risolte le richieste.

La configurazione di modalità TLS incompatibili può causare l'interruzione delle comunicazioni. Ad esempio, se imposti OPEN nel servizio di backend globale o lasci vuoto il campo del criterio TLS del client e se imposti MTLS come valore del criterio TLS del server nel criterio dell'endpoint, i tentativi di comunicazione non andranno a buon fine. Questo perché gli endpoint configurati per accettare solo mTLS rifiutano i tentativi di stabilire canali di comunicazione non autenticati.

Nota la distinzione tra un criterio TLS del client e un criterio TLS del server collegato rispettivamente a un servizio di backend globale e a un criterio dell'endpoint:

  • Il criterio TLS del client viene applicato al servizio di backend globale. Indica al proxy Envoy o al client senza proxy quale modalità TLS, identità e approccio di convalida peer utilizzare per gestire il servizio.
  • Il criterio TLS del server è collegato al criterio dell'endpoint. Indica al server l'approccio di modalità TLS, identità e convalida peer da utilizzare per le connessioni in arrivo.

Abilitazione di TLS per un gateway in entrata

Dopo aver configurato mTLS per le comunicazioni in-mesh, puoi decidere di proteggere il traffico che entra nel mesh, noto come traffico in entrata. Cloud Service Mesh può configurare il piano dati in modo che richieda il traffico in entrata per utilizzare canali di comunicazione con crittografia TLS.

Per raggiungere questo obiettivo, scegli una delle seguenti opzioni di architettura:

  • I servizi nel mesh terminano il protocollo TLS per il traffico proveniente da un bilanciatore del carico. In questo modello, ogni servizio nel mesh è configurato come backend nella configurazione del bilanciatore del carico, in particolare nella mappa URL del bilanciatore del carico.
  • Un gateway in entrata termina TLS per il traffico proveniente da un bilanciatore del carico prima di inoltrare il traffico ai servizi nel mesh. In questo modello, un servizio dedicato nel mesh, il gateway in entrata, viene configurato come backend nella configurazione del bilanciatore del carico, in particolare nella mappa URL del bilanciatore del carico.

Entrambe le opzioni sono spiegate in questa sezione.

I servizi nel mesh terminano il protocollo TLS per il traffico proveniente da un bilanciatore del carico

Se vuoi rendere i tuoi servizi disponibili per i client al di fuori di Google Cloud, potresti utilizzare un bilanciatore del carico delle applicazioni esterno. I client inviano il traffico all'indirizzo IP virtuale (VIP) Anycast globale del bilanciatore del carico, che inoltra quindi il traffico ai servizi nel tuo mesh. Ciò significa che sono presenti due connessioni quando un client esterno deve raggiungere un servizio nel mesh.

TLS a un servizio nel mesh.
TLS a un servizio nel mesh (fai clic per ingrandire)

Quando utilizzi un bilanciatore del carico delle applicazioni interno, viene applicato lo stesso pattern. Il traffico proveniente dai client interni raggiunge prima il bilanciatore del carico, che stabilisce quindi una connessione al backend.

Per proteggere entrambe le connessioni:

  1. Proteggi la connessione tra il client e il bilanciatore del carico utilizzando un bilanciatore del carico delle applicazioni esterno.
  2. Configurare il bilanciatore del carico in modo che utilizzi i protocolli HTTPS o HTTP/2 quando tenta di stabilire una connessione con i servizi nella rete mesh.
  3. Configura Cloud Service Mesh in modo che i client Cloud Service Mesh chiudano il protocollo HTTPS e presentino certificati al client, che in questo caso è il bilanciatore del carico.

Per saperne di più sui passaggi 1 e 2, consulta Configurare un bilanciatore del carico HTTPS esterno basato su contenuti e multiregionale.

Quando configuri la sicurezza di Cloud Service Mesh, devi configurare varie risorse dell'API Compute Engine. Queste risorse sono separate da quelle che configuri per il bilanciatore del carico. Puoi creare un insieme di risorse dell'API Compute Engine (regola di forwarding globale, proxy di destinazione, mappa URL e servizi di backend globali) per il bilanciatore del carico e configurare Cloud Service Mesh con le API di routing dei servizi. Inoltre, nella risorsa del servizio di backend, il bilanciatore del carico presenta lo schema di bilanciamento del carico INTERNAL_MANAGED e Cloud Service Mesh lo schema di bilanciamento del carico INTERNAL_SELF_MANAGED.

Nel passaggio 3, configurerai Cloud Service Mesh in modo che i client Cloud Service Mesh chiudano il protocollo HTTPS e presentino certificati ai client.

Risorse API Compute Engine per TLS al servizio in mesh.
Risorse API Compute Engine per TLS al servizio nel mesh (fai clic per ingrandire)

In questo modello, esegui queste operazioni:

  1. Crea un serverTlsPolicy: configura serverCertificate sulla risorsa serverTlsPolicy.
  2. Crea un criterio endpoint:
    1. Fai riferimento al criterio TLS del server nel campo authentication.
    2. Definisci un EndpointMatcher per selezionare le entità del piano dati xDS che devono applicare l'autenticazione sul traffico in entrata.
    3. Facoltativamente, definisci un TrafficPortSelector che applichi i criteri solo quando le richieste in entrata vengono effettuate alla porta specificata sul client Cloud Service Mesh.

Poiché il bilanciatore del carico delle applicazioni esterno è già configurato per avviare connessioni TLS ai servizi nel tuo mesh, Cloud Service Mesh deve configurare i client Cloud Service Mesh solo per terminare le connessioni TLS.

Il gateway in entrata termina il TLS per il traffico proveniente da un bilanciatore del carico prima di inoltrare il traffico ai servizi nel mesh

Se vuoi esporre solo un gateway in entrata al bilanciatore del carico, puoi utilizzare il pattern di deployment del gateway in entrata. In questo pattern, il bilanciatore del carico non indirizza direttamente i servizi nel mesh. Un proxy centrale si trova invece sul perimetro del mesh e instrada il traffico ai servizi al suo interno, in base alla configurazione che riceve da Cloud Service Mesh. Il proxy centrale può essere un proxy Envoy di cui hai eseguito il deployment su istanze di macchine virtuali (VM) in un gruppo di istanze gestite di Compute Engine.

TLS a un gateway in entrata con mTLS all'interno di un mesh.
TLS verso un gateway in entrata con mTLS all'interno di un mesh (fai clic per ingrandire)

Dal punto di vista della sicurezza, configurerai il gateway in entrata per terminare TLS, quindi, facoltativamente, configurerai le connessioni all'interno del tuo mesh in modo che siano protette da mTLS. Queste includono le connessioni tra il gateway in entrata e i servizi in-mesh e le connessioni tra i servizi in-mesh.

Dal punto di vista della configurazione, segui questi passaggi:

  1. Configura il mesh di servizi e abilita mTLS per le comunicazioni all'interno del mesh (come spiegato in precedenza).
  2. Configura il bilanciatore del carico per instradare il traffico al gateway in entrata e avviare connessioni utilizzando il protocollo HTTPS (come spiegato in precedenza).
  3. Crea un insieme di risorse dell'API Compute Engine che rappresenta il gateway in entrata e il criterio TLS del server.

Per il terzo passaggio, configura Cloud Service Mesh per terminare HTTPS e presentare certificati come segue:

  1. Crea una risorsa Mesh per rappresentare il mesh.

  2. Crea una risorsa Route che punti ai servizi di backend globali corretti e collega la risorsa Route alla risorsa Mesh.

  3. Crea un criterio TLS del server: configura serverCertificate.

  4. Crea una risorsa Gateway per rappresentare il gateway gestito in entrata di Cloud Service Mesh.

  5. Collega la risorsa del criterio TLS del server alla risorsa Gateway.

Il pattern gateway in entrata è particolarmente utile nelle grandi organizzazioni che utilizzano un VPC condiviso. In una situazione di questo tipo, un team può consentire l'accesso ai servizi solo attraverso un gateway in entrata. Nel diagramma precedente, quando configuri la regola di forwarding globale per il bilanciatore del carico, fornisci un indirizzo IP diverso (in questo esempio, 10.0.0.2) rispetto a quello fornito quando configuri il mesh (in questo esempio, l'indirizzo mesh è 10.0.0.1). I client che comunicano tramite un'entità del piano dati xDS configurata da Cloud Service Mesh possono utilizzare questo indirizzo per accedere al gateway in entrata.

Ad esempio, supponiamo che:

  • Due progetti di servizio (1 e 2), entrambi collegati alla stessa rete VPC condiviso.

  • Il progetto di servizio 1 contiene un mesh di servizi configurato da Cloud Service Mesh.

    Il progetto di servizio 1 ha configurato un mesh e un gateway in entrata. Questo gateway in entrata è raggiungibile dall'indirizzo 10.0.0.2/VIP.

  • Il progetto di servizio 2 contiene un mesh di servizi configurato da Cloud Service Mesh.

    Il progetto di servizio 2 potrebbe avere o meno un proprio gateway in entrata.

  • Cloud Service Mesh configura i client Cloud Service Mesh in ciascun progetto di servizio. Viene eseguito il bootstrap dei client per utilizzare la stessa rete.

Data questa configurazione, i client nel mesh del progetto di servizio 2 possono comunicare con il gateway in entrata nel progetto di servizio 1 utilizzando il VIP 10.0.0.2. In questo modo i proprietari del progetto di servizio 1 possono configurare il routing, la sicurezza e altri criteri specifici per il traffico che entra nel mesh. In effetti, i proprietari del progetto di servizio 1 possono indicare ad altri che i client nel tuo mesh possono raggiungere i miei servizi su 10.0.0.2.

Limitazioni

La sicurezza del servizio Cloud Service Mesh è supportata solo con GKE. Non puoi eseguire il deployment della sicurezza dei servizi con Compute Engine.

Passaggi successivi