Ringkasan keamanan Anthos Service Mesh

Keamanan Anthos Service Mesh membantu Anda memitigasi ancaman orang dalam dan mengurangi risiko pelanggaran data dengan memastikan bahwa semua komunikasi antar-workload dienkripsi, diautentikasi bersama, dan diizinkan.

Secara tradisional, segmentasi mikro yang menggunakan aturan berbasis IP telah digunakan untuk memitigasi risiko orang dalam. Namun, adopsi container, layanan bersama, dan lingkungan produksi terdistribusi yang tersebar di beberapa cloud membuat pendekatan ini lebih sulit untuk dikonfigurasi dan bahkan lebih sulit dikelola.

Dengan Anthos Service Mesh, Anda dapat mengonfigurasi lapisan peka konteks layanan dan meminta keamanan jaringan kontekstual yang tidak bergantung pada keamanan jaringan yang mendasarinya. Oleh karena itu, Anthos Service Mesh memungkinkan Anda mengadopsi postur defense in depth yang konsisten dengan prinsip keamanan Zero Trust. Memungkinkan Anda mencapai postur ini melalui kebijakan deklaratif dan tanpa mengubah kode aplikasi apa pun.

TLS bersama

Anthos Service Mesh menggunakan TLSal (mTLS) untuk autentikasi peer. Autentikasi mengacu pada identitas: siapa layanan ini? Siapa pengguna akhir ini? dan apakah saya dapat memercayai keaslian identitas pengguna?

mTLS memungkinkan beban kerja saling memverifikasi identitas dan melakukan autentikasi satu sama lain. Anda mungkin familier dengan TLS sederhana melalui penggunaannya di HTTPS untuk memungkinkan browser memercayai server web dan mengenkripsi data yang dipertukarkan. Ketika TLS sederhana digunakan, klien akan menetapkan bahwa server dapat dipercaya dengan memvalidasi sertifikatnya. mTLS adalah implementasi TLS yang mana klien dan server memberikan sertifikat satu sama lain dan memverifikasi identitas masing-masing.

mTLS adalah cara yang digunakan Anthos Service Mesh untuk menerapkan autentikasi dan enkripsi antarlayanan.

Di Anthos Service Mesh 1.6 dan yang lebih baru, mTLS otomatis diaktifkan secara default. Dengan mTLS otomatis, proxy file bantuan klien akan otomatis mendeteksi apakah server memiliki file bantuan. Sidecar klien mengirimkan mTLS ke beban kerja dengan file bantuan dan mengirimkan teks biasa ke beban kerja tanpa file bantuan. Namun, perlu diketahui bahwa layanan menerima traffic teks biasa dan mTLS. Untuk mengamankan mesh layanan, sebaiknya migrasikan layanan Anda agar hanya menerima traffic mTLS.

Manfaat keamanan

Anthos Service Mesh memberikan manfaat keamanan berikut:

  • Memitigasi risiko serangan replay atau peniruan identitas yang menggunakan kredensial yang dicuri. Anthos Service Mesh mengandalkan sertifikat mTLS untuk mengautentikasi peer, bukan token pemilik seperti Token Web JSON (JWT). Karena sertifikat mTLS terikat dengan saluran TLS, entitas dalam lingkungan produksi Anda tidak dapat meniru identitas entitas lain hanya dengan memutar ulang token autentikasi tanpa akses ke kunci pribadi.

  • Memastikan enkripsi saat transit. Menggunakan mTLS untuk autentikasi juga memastikan bahwa semua komunikasi TCP dienkripsi saat dalam pengiriman.

  • Memastikan hanya klien yang diotorisasi yang dapat mengakses layanan dengan data sensitif. Hanya klien yang diotorisasi yang dapat mengakses layanan dengan data sensitif, terlepas dari lokasi jaringan klien dan kredensial tingkat aplikasi. Anda dapat menentukan bahwa suatu layanan hanya dapat diakses oleh klien dengan identitas layanan resmi atau dengan namespace Kubernetes resmi. Anda juga dapat menggunakan kebijakan akses berbasis IP untuk memberikan akses kepada klien yang di-deploy di luar lingkungan GKE Enterprise.

  • Memitigasi risiko pelanggaran data pengguna dalam jaringan produksi Anda. Anda dapat memastikan bahwa orang dalam hanya dapat mengakses data sensitif melalui klien yang diotorisasi. Selain itu, Anda dapat memastikan bahwa klien tertentu hanya bisa mendapatkan akses ke data pengguna jika klien tersebut dapat memberikan token pengguna yang valid dan berumur pendek. Hal ini mengurangi risiko penyusupan satu kredensial klien kepada penyerang ke semua data pengguna.

  • Mengidentifikasi klien mana yang mengakses layanan dengan data sensitif. Logging akses Anthos Service Mesh menangkap identitas mTLS klien selain alamat IP. Dengan demikian, Anda dapat dengan mudah memahami workload mana yang mengakses layanan meskipun beban kerja tersebut bersifat sementara dan di-deploy secara dinamis, serta di cluster atau jaringan Virtual Private Cloud (VPC) yang berbeda.

Fitur

Anthos Service Mesh menyediakan fitur berikut untuk mewujudkan manfaat keamanannya:

  • Rotasi sertifikat dan kunci otomatis. Penggunaan mTLS berdasarkan identitas layanan memungkinkan Anda mengenkripsi semua komunikasi TCP dan memberikan kredensial yang lebih aman dan tidak dapat diputar ulang untuk kontrol akses. Salah satu tantangan utama menggunakan mTLS dalam skala besar adalah mengelola kunci dan sertifikat untuk semua workload target. Anthos Service Mesh mengelola rotasi kunci dan sertifikat mTLS untuk workload GKE Enterprise tanpa mengganggu komunikasi. Hal ini memungkinkan Anda mengonfigurasi interval pembatalan validasi yang lebih kecil, sehingga makin mengurangi risiko.

  • Certificate authority pribadi terkelola (Mesh CA). Anthos Service Mesh menyertakan certificate authority multi-regional yang dikelola Google, Mesh CA, untuk menerbitkan sertifikat untuk mTLS. Mesh CA adalah layanan yang sangat andal dan skalabel yang dioptimalkan untuk workload yang diskalakan secara dinamis pada platform cloud. Dengan Mesh CA, Google mengelola keamanan dan ketersediaan backend CA. Mesh CA memungkinkan Anda mengandalkan satu root kepercayaan di seluruh cluster GKE Enterprise. Saat menggunakan Mesh CA, Anda dapat mengandalkan kumpulan identitas workload untuk menyediakan isolasi yang terperinci. Secara default, autentikasi akan gagal jika klien dan server tidak berada dalam kumpulan workload identity yang sama.

    Sertifikat dari Mesh CA menyertakan data berikut tentang layanan aplikasi Anda:

    • Project ID Google Cloud
    • Namespace GKE
    • Nama akun layanan GKE
  • Kebijakan kontrol akses berbasis identitas (firewall). Dengan Anthos Service Mesh, Anda dapat mengonfigurasi kebijakan keamanan jaringan yang didasarkan pada identitas mTLS versus alamat IP peer. Hal ini memungkinkan Anda membuat kebijakan yang terpisah dari lokasi jaringan beban kerja. Hanya komunikasi lintas cluster dalam project Google Cloud yang sama yang saat ini didukung.

  • Minta kebijakan kontrol akses yang peka klaim (firewall). Selain identitas mTLS, Anda dapat memberikan akses berdasarkan klaim permintaan di header JWT dari permintaan HTTP atau gRPC. Anthos Service Mesh memungkinkan Anda menegaskan bahwa JWT ditandatangani oleh entity tepercaya. Artinya, Anda dapat mengonfigurasi kebijakan yang mengizinkan akses dari klien tertentu hanya jika klaim permintaan ada atau cocok dengan nilai yang ditentukan.

  • Autentikasi pengguna dengan Identity-Aware Proxy. Anda mengautentikasi pengguna yang mengakses layanan apa pun yang terekspos pada gateway ingress Anthos Service Mesh menggunakan Identity-Aware Proxy (IAP). IAP dapat mengautentikasi pengguna yang login dari browser, berintegrasi dengan penyedia identitas kustom, dan mengeluarkan token JWT berumur pendek atau RCToken yang kemudian dapat digunakan untuk memberikan akses di gateway Ingress atau layanan downstream (dengan menggunakan side-car). Untuk mengetahui informasi selengkapnya, lihat Mengintegrasikan IAP dengan Anthos Service Mesh.

  • Autentikasi pengguna dengan Penyedia Identitas Anda yang ada. Anda dapat mengintegrasikan Penyedia Identitas yang ada dengan Anthos Service Mesh untuk menyediakan autentikasi pengguna akhir berbasis browser dan kontrol akses ke workload yang di-deploy. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi autentikasi pengguna Anthos Service Mesh.

  • Mengakses logging dan pemantauan. Anthos Service Mesh memastikan bahwa log dan metrik akses tersedia di Kemampuan Observasi Google Cloud, dan menyediakan dasbor terintegrasi untuk memahami pola akses layanan atau workload berdasarkan data ini. Anda juga dapat memilih untuk mengonfigurasi tujuan pribadi. Anthos Service Mesh memungkinkan Anda mengurangi derau dalam log akses dengan hanya mencatat akses yang berhasil ke dalam log satu kali dalam jangka waktu yang dapat dikonfigurasi. Permintaan yang ditolak oleh kebijakan keamanan atau mengakibatkan error selalu dicatat dalam log. Hal ini memungkinkan Anda mengurangi biaya yang terkait dengan penyerapan, penyimpanan, dan pemrosesan log secara signifikan, tanpa kehilangan sinyal keamanan utama.

  • Mematuhi FIPS. Semua komponen dan proxy bidang kontrol dalam cluster menggunakan modul enkripsi yang divalidasi FIPS 140-2.

Batasan

Keamanan Anthos Service Mesh saat ini memiliki batasan berikut:

  • Mesh CA hanya didukung di GKE di Google Cloud dan infrastruktur lokal.
  • Autentikasi pengguna yang menggunakan IAP mengharuskan layanan dipublikasikan ke internet. Dengan IAP dan Anthos Service Mesh, Anda dapat mengonfigurasi kebijakan yang dapat membatasi akses ke pengguna dan klien yang diizinkan dalam rentang IP yang diizinkan. Jika memilih untuk hanya mengekspos layanan ke klien dalam jaringan yang sama, Anda perlu mengonfigurasi mesin kebijakan kustom untuk autentikasi pengguna dan penerbitan token.

Langkah selanjutnya