Ringkasan keamanan Anthos Service Mesh

Keamanan Anthos Service Mesh membantu Anda memitigasi ancaman orang dalam dan mengurangi risiko pelanggaran data dengan memastikan bahwa semua komunikasi antar-workload dienkripsi, diautentikasi bersama, dan diizinkan.

Secara tradisional, segmentasi mikro yang menggunakan aturan berbasis IP telah digunakan untuk memitigasi risiko orang dalam. Namun, adopsi container, layanan bersama, dan lingkungan produksi terdistribusi yang tersebar di beberapa cloud membuat pendekatan ini lebih sulit untuk dikonfigurasi dan bahkan lebih sulit dikelola.

Dengan Anthos Service Mesh, Anda dapat mengonfigurasi lapisan peka konteks layanan dan meminta keamanan jaringan kontekstual yang tidak bergantung pada keamanan jaringan yang mendasarinya. Oleh karena itu, Anthos Service Mesh memungkinkan Anda mengadopsi postur defense in depth yang konsisten dengan prinsip keamanan Zero Trust. Memungkinkan Anda mencapai postur ini melalui kebijakan deklaratif dan tanpa mengubah kode aplikasi apa pun.

TLS bersama

Anthos Service Mesh menggunakan TLSal (mTLS) untuk autentikasi peer. Autentikasi mengacu pada identitas: siapa layanan ini? Siapa pengguna akhir ini? dan apakah saya dapat memercayai keaslian identitas pengguna?

mTLS memungkinkan beban kerja saling memverifikasi identitas dan melakukan autentikasi satu sama lain. Anda mungkin familier dengan TLS sederhana melalui penggunaannya di HTTPS untuk memungkinkan browser memercayai server web dan mengenkripsi data yang dipertukarkan. Ketika TLS sederhana digunakan, klien akan menetapkan bahwa server dapat dipercaya dengan memvalidasi sertifikatnya. mTLS adalah implementasi TLS yang mana klien dan server memberikan sertifikat satu sama lain dan memverifikasi identitas masing-masing.

mTLS adalah cara yang digunakan Anthos Service Mesh untuk menerapkan autentikasi dan enkripsi antarlayanan.

Di Anthos Service Mesh 1.6 dan yang lebih baru, mTLS otomatis diaktifkan secara default. Dengan mTLS otomatis, proxy file bantuan klien akan otomatis mendeteksi apakah server memiliki file bantuan. Sidecar klien mengirimkan mTLS ke beban kerja dengan file bantuan dan mengirimkan teks biasa ke beban kerja tanpa file bantuan. Namun, perlu diketahui bahwa layanan menerima traffic teks biasa dan mTLS. Untuk mengamankan mesh layanan, sebaiknya migrasikan layanan Anda agar hanya menerima traffic mTLS.

Untuk informasi selengkapnya tentang penerapan mTLS saja, lihat Anthos Service Mesh melalui contoh: mTLS.

Konfigurasi cipher suite

Daftar berikut mencakup cipher suite default yang mematuhi FIPS Anthos Service Mesh:

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384

Untuk meningkatkan keamanan, versi TLS minimum sisi server yang didukung oleh beban kerja Anthos Service Mesh adalah 1.2, yang mendukung penyesuaian cipher suite. Perhatikan bahwa Anthos Service Mesh juga mendukung TLS v1.3, yang akan melakukan hard code cipher suite dan tidak mendukung perubahan cipher tersebut.

Untuk mengetahui informasi selengkapnya tentang cipher suite, lihat Konfigurasi TLS umum Envoy dan Autentikasi TLSal TLS Istio.

Manfaat keamanan

Anthos Service Mesh memberikan manfaat keamanan berikut:

  • Memitigasi risiko serangan replay atau peniruan identitas yang menggunakan kredensial yang dicuri. Anthos Service Mesh mengandalkan sertifikat mTLS untuk mengautentikasi peer, bukan token pemilik seperti Token Web JSON (JWT). Karena sertifikat mTLS terikat dengan saluran TLS, entitas dalam lingkungan produksi Anda tidak dapat meniru identitas entitas lain hanya dengan memutar ulang token autentikasi tanpa akses ke kunci pribadi.

  • Memastikan enkripsi saat transit. Menggunakan mTLS untuk autentikasi juga memastikan bahwa semua komunikasi TCP dienkripsi saat dalam pengiriman.

  • Memastikan hanya klien yang diotorisasi yang dapat mengakses layanan dengan data sensitif. Hanya klien yang diotorisasi yang dapat mengakses layanan dengan data sensitif, terlepas dari lokasi jaringan klien dan kredensial tingkat aplikasi. Anda dapat menentukan bahwa suatu layanan hanya dapat diakses oleh klien dengan identitas layanan resmi atau dengan namespace Kubernetes resmi. Anda juga dapat menggunakan kebijakan akses berbasis IP untuk memberikan akses kepada klien yang di-deploy di luar lingkungan GKE Enterprise.

  • Memitigasi risiko pelanggaran data pengguna dalam jaringan produksi Anda. Anda dapat memastikan bahwa orang dalam hanya dapat mengakses data sensitif melalui klien yang diotorisasi. Selain itu, Anda dapat memastikan bahwa klien tertentu hanya bisa mendapatkan akses ke data pengguna jika klien tersebut dapat memberikan token pengguna yang valid dan berumur pendek. Hal ini mengurangi risiko penyusupan satu kredensial klien kepada penyerang ke semua data pengguna.

  • Mengidentifikasi klien mana yang mengakses layanan dengan data sensitif. Logging akses Anthos Service Mesh menangkap identitas mTLS klien selain alamat IP. Dengan demikian, Anda dapat dengan mudah memahami workload mana yang mengakses layanan meskipun beban kerja tersebut bersifat sementara dan di-deploy secara dinamis, serta di cluster atau jaringan Virtual Private Cloud (VPC) yang berbeda.

Fitur

Bagian ini menjelaskan fitur-fitur yang disediakan Anthos Service Mesh untuk mewujudkan manfaat keamanannya.

Rotasi sertifikat dan kunci otomatis

Penggunaan mTLS berdasarkan identitas layanan memungkinkan untuk mengenkripsi semua komunikasi TCP dan memberikan kredensial yang lebih aman dan tidak dapat diputar ulang untuk kontrol akses. Salah satu tantangan utama menggunakan mTLS dalam skala besar adalah mengelola kunci dan sertifikat untuk semua workload target. Anthos Service Mesh menangani rotasi kunci dan sertifikat mTLS untuk workload GKE Enterprise tanpa mengganggu komunikasi. Konfigurasi interval pembaruan sertifikat yang lebih kecil dapat mengurangi risiko.

Otoritas sertifikat Anthos Service Mesh (Mesh CA)

Anthos Service Mesh menyertakan otoritas sertifikat pribadi multi-regional terkelola, Mesh CA, untuk menerbitkan sertifikat untuk mTLS. Mesh CA adalah layanan yang sangat andal dan skalabel, yang dioptimalkan untuk workload yang diskalakan secara dinamis di platform cloud. Dengan Mesh CA, Google mengelola keamanan dan ketersediaan backend CA. Mesh CA memungkinkan Anda mengandalkan satu root kepercayaan di seluruh cluster GKE Enterprise. Saat menggunakan Mesh CA, Anda dapat mengandalkan kumpulan workload identity untuk menyediakan isolasi yang terperinci. Secara default, autentikasi akan gagal jika klien dan server tidak berada dalam kumpulan identitas workload yang sama.

Sertifikat dari Mesh CA menyertakan data berikut tentang layanan aplikasi Anda:

  • Project ID Google Cloud
  • Namespace GKE
  • Nama akun layanan GKE

Certificate Authority Service

Sebagai alternatif Mesh CA, Anda dapat mengonfigurasi Anthos Service Mesh untuk menggunakan Certificate Authority Service, yang cocok untuk kasus penggunaan berikut:

  • Jika Anda memerlukan certificate authority untuk menandatangani sertifikat workload pada cluster yang berbeda.
  • Jika Anda ingin menggunakan sertifikat plugin CA Kustom Istiod.
  • Jika Anda perlu mencadangkan kunci penandatanganan di HSM terkelola.
  • Jika Anda berada dalam industri yang diatur dengan regulasi ketat dan tunduk pada kepatuhan.
  • Jika Anda ingin menautkan CA Anthos Service Mesh ke root certificate perusahaan kustom untuk menandatangani sertifikat workload.

Biaya Mesh CA tercakup dalam harga Anthos Service Mesh. CA Service tidak termasuk dalam harga Anthos Service Mesh dasar dan ditagih secara terpisah. Selain itu, Layanan CA dilengkapi dengan SLA eksplisit, tetapi Mesh CA tidak.

Untuk integrasi ini, semua workload di Anthos Service Mesh diberi dua peran IAM:

Kebijakan kontrol akses identitas (firewall)

Dengan Anthos Service Mesh, Anda dapat mengonfigurasi kebijakan keamanan jaringan yang didasarkan pada identitas mTLS versus alamat IP peer. Hal ini memungkinkan Anda membuat kebijakan yang terpisah dari lokasi jaringan beban kerja. Hanya komunikasi lintas cluster dalam project Google Cloud yang sama yang saat ini didukung.

Minta kebijakan kontrol akses yang peka klaim (firewall)

Selain identitas mTLS, Anda dapat memberikan akses berdasarkan klaim permintaan di header JWT dari permintaan HTTP atau gRPC. Anthos Service Mesh memungkinkan Anda menyatakan bahwa JWT ditandatangani oleh entity tepercaya. Artinya, Anda dapat mengonfigurasi kebijakan yang mengizinkan akses dari klien tertentu hanya jika klaim permintaan ada atau cocok dengan nilai yang ditentukan.

Autentikasi pengguna dengan Identity-Aware Proxy

Anda harus mengautentikasi pengguna yang mengakses layanan apa pun yang terekspos di gateway masuk Anthos Service Mesh menggunakan Identity-Aware Proxy (IAP). IAP dapat mengautentikasi pengguna yang login dari browser, berintegrasi dengan penyedia identitas khusus, dan mengeluarkan token JWT berumur pendek atau RCToken yang kemudian dapat digunakan untuk memberikan akses di gateway Ingress atau layanan downstream (dengan menggunakan side-car). Untuk mengetahui informasi selengkapnya, lihat Mengintegrasikan IAP dengan Anthos Service Mesh.

Autentikasi pengguna dengan Penyedia Identitas Anda yang ada

Anda dapat mengintegrasikan Penyedia Identitas yang ada dengan Anthos Service Mesh untuk menyediakan autentikasi pengguna akhir berbasis browser dan kontrol akses ke workload yang di-deploy. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi autentikasi pengguna Anthos Service Mesh.

Mengakses logging dan pemantauan

Anthos Service Mesh memastikan bahwa log dan metrik akses tersedia di Kemampuan Observasi Google Cloud, dan menyediakan dasbor terintegrasi untuk memahami pola akses layanan atau workload berdasarkan data ini. Anda juga dapat memilih untuk mengonfigurasi tujuan pribadi. Anthos Service Mesh memungkinkan Anda mengurangi derau dalam log akses dengan hanya mencatat akses yang berhasil ke dalam log satu kali dalam jangka waktu yang dapat dikonfigurasi. Permintaan yang ditolak oleh kebijakan keamanan atau mengakibatkan error selalu dicatat dalam log. Hal ini memungkinkan Anda mengurangi biaya yang terkait dengan penyerapan, penyimpanan, dan pemrosesan log secara signifikan, tanpa kehilangan sinyal keamanan utama.

Sesuai FIPS

Semua komponen bidang kontrol dalam cluster dan proxy pada arsitektur x86 menggunakan modul enkripsi yang divalidasi FIPS 140-2.

Batasan

Keamanan Anthos Service Mesh saat ini memiliki batasan berikut:

  • Mesh CA hanya didukung di GKE di Google Cloud dan infrastruktur lokal.
  • Autentikasi pengguna yang menggunakan IAP mengharuskan layanan dipublikasikan ke internet. Dengan IAP dan Anthos Service Mesh, Anda dapat mengonfigurasi kebijakan yang dapat membatasi akses ke pengguna dan klien yang diizinkan dalam rentang IP yang diizinkan. Jika memilih untuk hanya mengekspos layanan ke klien dalam jaringan yang sama, Anda perlu mengonfigurasi mesin kebijakan kustom untuk autentikasi pengguna dan penerbitan token.

Langkah selanjutnya