A differenza di un'applicazione monolitica che potrebbe essere eseguita in un unico posto, le app di microservizi distribuite a livello globale effettuano chiamate oltre i confini della rete. Ciò significa più punti di accesso alle applicazioni e più opportunità di attacchi dannosi. Inoltre, poiché i pod Kubernetes hanno IP temporanei, le regole firewall tradizionali basate su IP non sono adeguate per proteggere l'accesso tra un carico di lavoro e l'altro. Un'architettura basata su microservizi richiede un nuovo approccio alla sicurezza. Basato su funzionalità di sicurezza come account di servizio Kubernetes e criteri di sicurezza di Istio, Anthos Service Mesh offre ancora più funzionalità per aiutarti a proteggere le tue applicazioni.
Questa pagina fornisce agli operatori di applicazione una panoramica della risorsa personalizzata (RP) AuthorizationPolicy
. I criteri di autorizzazione consentono di abilitare il controllo dell'accesso ai carichi di lavoro a livello di applicazione (L7) e di trasporto (L3/4). Sei tu a configurare i criteri di autorizzazione per specificare le autorizzazioni. Che cosa è consentito fare a questo servizio o a questo utente?
Criteri di autorizzazione
Le richieste tra i servizi nel tuo mesh (e tra utenti finali e servizi) sono consentite per impostazione predefinita. Puoi utilizzare la RP AuthorizationPolicy
per definire
criteri granulari per i tuoi carichi di lavoro. Dopo aver applicato i criteri di autorizzazione, Anthos Service Mesh li distribuisce ai proxy sidecar. Quando le richieste entrano in un carico di lavoro, il proxy sidecar controlla i criteri di autorizzazione per determinare se la richiesta deve essere consentita o rifiutata.
Ambito dei criteri
Puoi applicare un criterio all'intero mesh di servizi, a uno spazio dei nomi o a un singolo carico di lavoro.
Per applicare un criterio a livello di mesh, specifica lo spazio dei nomi principale,
istio-system
, nel campometadata:namespace
:apiVersion: "security.istio.io/v1beta1" kind: "AuthorizationPolicy" metadata: name: "mesh-wide" namespace: istio-system spec: ...
Per applicare un criterio a uno spazio dei nomi, specifica lo spazio dei nomi nel campo
metadata:namespace
:apiVersion: "security.istio.io/v1beta1" kind: "AuthorizationPolicy" metadata: name: "currencyservice" namespace: currencyservice spec: ...
Per limitare un criterio a un carico di lavoro specifico, includi un campo
selector
.apiVersion: "security.istio.io/v1beta1" kind: "AuthorizationPolicy" metadata: name: "frontend" namespace: demo spec: selector: matchLabels: app: frontend ...
Struttura di base
Un criterio di autorizzazione include l'ambito del criterio, un action
e un elenco di
rules
:
Come descritto nella sezione precedente, l'ambito dei criteri può essere l'intero mesh, uno spazio dei nomi o un carico di lavoro specifico. Se lo includi, il campo
selector
specifica la destinazione del criterio.Il campo
action
consente di specificare seALLOW
oDENY
la richiesta. Se non specifichi un'azione, il valore predefinito èALLOW
. Per maggiore chiarezza, ti consigliamo di specificare sempre l'azione. (i criteri di autorizzazione supportano anche le azioniAUDIT
eCUSTOM
.)Il campo
rules
specifica quando attivare l'azione.Il campo
from
inrules
specifica le origini della richiesta.Il campo
to
inrules
specifica le operations della richiesta.Il campo
when
specifica conditions aggiuntive necessarie per applicare la regola.
Nell'esempio seguente:
Il criterio viene applicato alle richieste al servizio
frontend
nello spazio dei nomidemo
.Le richieste sono consentite quando "hello:world" è nell'intestazione della richiesta; in caso contrario, le richieste vengono rifiutate.
apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
name: "hello-world"
namespace: demo
spec:
selector:
matchLabels:
app: frontend
action: ALLOW
rules:
- when:
- key: request.headers[hello]
values: ["world"]
Controllo dell'accesso su richiesta
Puoi controllare l'accesso a operations di richieste specifiche, come metodi HTTP o porte TCP, aggiungendo una sezione to
in rules
.
Nell'esempio seguente, solo i metodi HTTP GET
e POST
sono consentiti
per currencyservice
nello spazio dei nomi demo
.
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: currencyservice
namespace: demo
spec:
selector:
matchLabels:
app: currencyservice
action: ALLOW
rules:
- to:
- operation:
methods: ["GET", "POST"]
Controllo dell'accesso su identità autenticata
Negli esempi precedenti, i criteri consentono le richieste da carichi di lavoro non autenticati. Se hai abilitato STRICT
TLS reciproca (mTLS), puoi limitare l'accesso in base all'identità del carico di lavoro o dello spazio dei nomi da cui proviene la richiesta nella sezione source
.
Utilizza il campo
principals
onotPrincipal
per controllare l'accesso a livello di carico di lavoro.Utilizza il campo
namespaces
onotNamespaces
per controllare l'accesso a livello di spazio dei nomi.
Per tutti i campi precedenti è necessario aver attivato mTLS STRICT
. Se non riesci a impostare mTLS di STRICT
, consulta Rifiutare le richieste di testo non crittografato per una soluzione alternativa.
Carico di lavoro identificato
Nell'esempio seguente, le richieste a currencyservice
sono consentite solo
dal servizio frontend
. Le richieste al currencyservice
da altri
carichi di lavoro vengono rifiutate.
apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
name: "currencyservice"
namespace: demo
spec:
selector:
matchLabels:
app: currencyservice
action: ALLOW
rules:
- from:
- source:
principals: ["example-project-1234.svc.id.goog/ns/demo/sa/frontend-sa"]
Per specificare un account di servizio, il principals
per
l'autorità di certificazione Anthos Service Mesh (Mesh CA)
deve essere nel seguente formato:
principals: ["PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT_NAME"]
PROJECT_ID.svc.id.goog
è il dominio di attendibilità per Mesh CA. Se utilizzi
la CA Istio (precedentemente nota come Citadel), il dominio di attendibilità predefinito è
cluster.local
.
Spazio dei nomi identificato
L'esempio seguente mostra un criterio che nega le richieste se l'origine non è
lo spazio dei nomi foo
:
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: httpbin-deny
namespace: foo
spec:
selector:
matchLabels:
app: httpbin
version: v1
action: DENY
rules:
- from:
- source:
notNamespaces: ["foo"]
Corrispondenza dei valori
La maggior parte dei campi nei criteri di autorizzazione supporta tutti i seguenti schemi corrispondenti:
- Corrispondenza esatta: corrispondenza esatta della stringa.
- Corrispondenza con caratteri jolly utilizzando il carattere jolly
"*"
:- Corrispondenza prefisso: una stringa che termina con
"*"
. Ad esempio,"test.example.*"
corrisponde a"test.example.com"
o"test.example.com.cn"
. - Corrispondenza suffisso: una stringa con un valore
"*"
iniziale. Ad esempio,"*.example.com"
corrisponde a"eng.example.com"
o"test.eng.example.com"
.
- Corrispondenza prefisso: una stringa che termina con
- Corrispondenza di presenza: per specificare che un campo deve essere presente e non vuoto, utilizza il formato
fieldname: ["*"]
. È diverso dal lasciare un campo non specificato, il che significa che deve corrispondere a qualsiasi cosa, incluso il campo vuoto.
Esistono alcune eccezioni. Ad esempio, i seguenti campi supportano solo la corrispondenza esatta:
- Il campo
key
nella sezionewhen
- Il
ipBlocks
nella sezionesource
- Il campo
ports
nella sezioneto
Il criterio di esempio seguente consente l'accesso ai percorsi con il prefisso /test/*
o il suffisso */info
:
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: tester
namespace: default
spec:
selector:
matchLabels:
app: products
action: ALLOW
rules:
- to:
- operation:
paths: ["/test/*", "*/info"]
Corrispondenza di esclusione
Per soddisfare condizioni negative come notValues
nel campo when
, notIpBlocks
nel campo source
e notPorts
nel campo to
, Anthos Service Mesh supporta la corrispondenza delle esclusioni. L'esempio seguente richiede una richiesta valida
principals
, derivata dall'autenticazione JWT, se il percorso di richiesta
non è /healthz
. Di conseguenza, il criterio esclude le richieste al percorso /healthz
dall'autenticazione JWT:
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: disable-jwt-for-healthz
namespace: default
spec:
selector:
matchLabels:
app: products
action: ALLOW
rules:
- to:
- operation:
notPaths: ["/healthz"]
from:
- source:
requestPrincipals: ["*"]
Rifiuta richieste di testo normale
In Anthos Service Mesh 1.5 e versioni successive, mTLS automatico è abilitato per impostazione predefinita. Con mTLS automatico, un proxy sidecar client rileva automaticamente se il server ha un file collaterale. Il client collaterale invia mTLS ai carichi di lavoro con file collaterali e invia testo non crittografato ai carichi di lavoro senza file collaterali. Per la massima sicurezza, ti consigliamo di attivare mTLS STRICT.
Se non riesci ad abilitare mTLS con la modalità STRICT
per un carico di lavoro o uno spazio dei nomi, la soluzione alternativa consiste nel creare un criterio di autorizzazione per consentire esplicitamente il traffico con namespaces
o principals
non vuoti oppure rifiutare il traffico con namespaces
o principals
vuoti. Poiché namespaces
e principals
possono essere estratti solo con una richiesta mTLS, questi criteri rifiutano di fatto qualsiasi traffico di testo non crittografato.
Il seguente criterio nega la richiesta se l'entità nella richiesta è vuota (nel caso delle richieste in testo non crittografato). Il criterio consente
le richieste se l'entità non è vuota. ["*"]
significa una corrispondenza non vuota, mentre
utilizzare con notPrincipals
significa corrispondenza su entità vuota.
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: require-mtls
namespace: NAMESPACE
spec:
action: DENY
rules:
- from:
- source:
notPrincipals: ["*"]
Priorità dei criteri di autorizzazione
Puoi configurare criteri di autorizzazione ALLOW
e DENY
separati, ma devi conoscere la precedenza dei criteri e il comportamento predefinito per assicurarti che i criteri facciano ciò che vuoi. Il seguente diagramma descrive la precedenza dei criteri.
I criteri di esempio nelle sezioni seguenti illustrano alcuni comportamenti predefiniti e le situazioni in cui potrebbero essere utili.
Non consentire nulla
Nell'esempio seguente viene mostrato un criterio ALLOW
che non corrisponde a nulla. Per impostazione predefinita, se non sono presenti altri criteri ALLOW
, le richieste vengono sempre negate.
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: allow-nothing
spec:
action: ALLOW
È buona norma iniziare con il criterio di autorizzazione nulla e aggiungere in modo incrementale altri criteri ALLOW
per avere più accesso a un carico di lavoro.
Nega tutti gli accessi
L'esempio seguente mostra un criterio DENY
che corrisponde a tutto. Poiché i criteri DENY
vengono valutati prima dei criteri ALLOW
, tutte le richieste vengono rifiutate anche se esiste un criterio ALLOW
che corrisponde alla richiesta.
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: deny-all
spec:
action: DENY
rules:
- {}
Un criterio di negazione di tutto è utile se vuoi disabilitare temporaneamente tutti gli accessi a un carico di lavoro.
Consenti qualsiasi accesso
L'esempio seguente mostra un criterio ALLOW
che corrisponde a tutto e consente l'accesso completo a un carico di lavoro. Il criterio allow-all rende inutili gli altri criteri ALLOW
perché consente sempre la richiesta.
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: allow-all
spec:
action: ALLOW
rules:
- {}
Un criterio allow-all è utile se vuoi esporre temporaneamente l'accesso completo a un carico di lavoro. Le richieste di nota potrebbero comunque essere rifiutate se esistono criteri DENY
poiché vengono valutate prima dei criteri ALLOW
.
best practice
Creare un account di servizio Kubernetes per ciascun servizio e specificare l'account di servizio nel deployment. Ad esempio:
apiVersion: v1 kind: ServiceAccount metadata: name: frontend-sa namespace: demo --- apiVersion: apps/v1 kind: Deployment metadata: name: frontend namespace:demo spec: selector: matchLabels: app: frontend template: metadata: labels: app: frontend spec: serviceAccountName: frontend-sa ...
Inizia con un criterio non consentito e aggiungi in modo incrementale più criteri
ALLOW
per avere più accesso ai carichi di lavoro.Se utilizzi JWT per il tuo servizio:
Crea un criterio
DENY
per bloccare le richieste non autenticate, ad esempio:apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: requireJWT namespace: admin spec: action: DENY rules: - from: - source: notRequestPrincipals: ["*"]
Applica un criterio che non consente nulla.
Definisci i criteri
ALLOW
per ogni carico di lavoro. Ad esempio, vedi Token JWT.
Passaggi successivi
Scopri di più sulle funzionalità di sicurezza di Anthos Service Mesh:
- Configurazione dell'autenticazione utente di Anthos Service Mesh
- Configurazione dei criteri di controllo per i servizi
- Configurazione della sicurezza del trasporto
- Integrazione di Identity-Aware Proxy con Anthos Service Mesh
- Best practice per l'utilizzo dei gateway in uscita di Anthos Service Mesh sui cluster GKE
Scopri di più sui criteri di autorizzazione nella documentazione di Istio: