Best Practices für die Sicherheit von Cloud Service Mesh

In diesem Dokument werden Best Practices zum Erstellen und Steuern einer sicheren Cloud Service Mesh-Konfiguration beschrieben, die in der Google Kubernetes Engine (GKE) ausgeführt wird. Die Anleitungen in diesem Dokument gehen über die Einstellungen zum Konfigurieren und Installieren von Cloud Service Mesh hinaus und beschreiben, wie Sie Cloud Service Mesh mit anderen Google Cloud-Produkten und -Features verwenden können, um sich vor den Sicherheitsbedrohungen zu schützen, denen Anwendungen in einem Mesh-Netzwerk möglicherweise begegnen.

Dieses Dokument richtet sich an Administratoren, die Richtlinien in einem Cloud Service Mesh verwalten, und Nutzer, die Dienste in einem Cloud Service Mesh ausführen. Die hier beschriebenen Sicherheitsmaßnahmen sind auch für Organisationen nützlich, die die Sicherheit ihrer Service Meshes erhöhen müssen, um Compliance-Anforderungen zu erfüllen.

Das Dokument ist so aufgebaut:

• Einführung
• Angriffsvektoren und Sicherheitsrisiken
  • Angriffsvektoren
  • Sicherheitsrisiken
• Maßnahmen zum Schutz eines Service Mesh
  • Sicherheitsarchitektur
  • Clustersicherheit
    • Strikte mTLS-Authentifizierung aktivieren
    • Zugriffssteuerungen aktivieren
      • Cloud Service Mesh-Authentifizierungsrichtlinien erzwingen
      • JSON-Webtoken (JWT)
      • Cloud Service Mesh-Nutzerauthentifizierung
      • Autorisierungsrichtlinien erzwingen
      • Tokenaustausch für den Zugriff auf Mesh-Dienste erzwingen
    • Sicheres Verarbeiten von Ausnahmen der Cloud Service Mesh-Richtlinie
      • Kubernetes-Netzwerkrichtlinien erzwingen
    • Sicherer Zugriff auf die Steuerungsebene
    • Namespace-Grenzen erzwingen
      • Kubernetes-RBAC-Netzwerkrichtlinien erzwingen
  • Sicherheit am Edge des Mesh-Netzwerks
    • Zugriffssteuerung für eingehenden Cluster-Traffic
    • Ausgehenden Cluster-Traffic regulieren
    • Mit privatem Cluster oder VPC Service Control externe Zugriffe sperren
    • Schutz vor externen DDoS-Angriffen
  • Sicherheit bei der Verwaltung und Automatisierung von Mesh-Netzwerken
    • Rollen für Vorgänge im Mesh-Netzwerk segmentieren
    • Richtlinienkonfigurationen automatisch validieren
      • Mit GitOps-Ansatz und Config Sync Konfigurationsabweichungen verhindern
    • Audit-Logging und Monitoring erzwingen
    • Zertifizierungsstelle für clusterinterne Zertifikate schützen
  • Arbeitslastsicherheit
    • Pod-Berechtigungen einschränken
    • Container-Images sichern
    • Sicherheitslücken in Mesh-Netzwerken minimieren
    • Workload Identity für einen sicheren Zugriff auf Google-Dienste verwenden
    • Sicherheitsstatus über Sicherheitsdashboard und Telemetrie überwachen
  • Sicherheit für vertrauliche Nutzerdaten und Anmeldedaten

Einleitung

Cloud Service Mesh bietet Features und Tools, mit denen Sie Dienste auf einheitliche Weise beobachten, verwalten und schützen können. Es verfolgt einen anwendungsorientierten Ansatz und verwendet vertrauenswürdige Anwendungsidentitäten anstelle eines auf Netzwerk-IP ausgerichteten Ansatzes. Sie können ein Service Mesh transparent bereitstellen, ohne vorhandenen Anwendungscode ändern zu müssen. Cloud Service Mesh bietet eine deklarative Kontrolle über das Netzwerkverhalten, wodurch die Arbeit von Teams, die für die Bereitstellung und Freigabe von Anwendungsfeatures verantwortlich sind, von den Zuständigkeiten der für Sicherheit und Netzwerk verantwortlichen Administratoren entkoppelt werden kann.

Cloud Service Mesh basiert auf dem Open-Source-Service Mesh von Istio, das komplexe Konfigurationen und Topologien ermöglicht. Je nach Struktur Ihrer Organisation sind möglicherweise mehrere Teams oder Rollen für die Installation und Konfiguration eines Mesh-Netzwerks verantwortlich. Die Cloud Service Mesh-Standardeinstellungen werden zum Schutz von Anwendungen ausgewählt. In einigen Fällen benötigen Sie jedoch möglicherweise benutzerdefinierte Konfigurationen oder gewähren Ausnahmen, indem bestimmte Anwendungen, Ports oder IP-Adressen von der Teilnahme an einem Mesh ausgeschlossen werden. Kontrollen zur Steuerung von Mesh-Konfigurationen und Sicherheitsausnahmen sind wichtig.

Angriffsvektoren und Sicherheitsrisiken

Angriffsvektoren

Die Sicherheit von Cloud Service Mesh folgt dem Zero-Trust-Sicherheitsmodell, das davon ausgeht, dass Sicherheitsbedrohungen von innerhalb und außerhalb des Sicherheitsperimeters einer Organisation stammen. Beispiele für Sicherheitsangriffe, die Anwendungen in einem Service Mesh gefährden können:

• Daten-Exfiltration-Angriffe. Beispielsweise Angriffe, die sensible Daten oder Anmeldedaten aus Dienst-zu-Dienst-Traffic abhören.
• Man-in-the-Middle-Angriffe. Beispiel: Ein schädlicher Dienst, der sich als legitimer Dienst maskiert, um die Kommunikation zwischen Diensten zu abzurufen oder zu ändern.
• Angriffe auf Rechteausweitung. Beispielsweise Angriffe, die unberechtigten Zugriff auf erweiterte Berechtigungen zum Ausführen von Vorgängen in einem Netzwerk nutzen.
• DoS-Angriffe (Denial of Service).
• Botnet-Angriffe, die versuchen, Dienste zu manipulieren und zu bearbeiten, um Angriffe auf andere Dienste zu starten.

Die Angriffe können auch anhand der Angriffsziele kategorisiert werden:

• Angriffe auf das interne Mesh-Netzwerk. Angriffe, mit denen die interne Kommunikation zwischen Diensten oder Diensten und der Steuerungsebene manipuliert, abgehört oder gespooft werden soll.
• Angriffe auf die Steuerungsebene. Angriffe, die darauf abzielen, die Steuerungsebene zu beeinträchtigen (z. B. ein DoS-Angriff) oder sensible Daten aus der Steuerungsebene exfiltrieren.
• Angriffe auf das Mesh-Netzwerk am Edge. Angriffe, die auf das Manipulieren, Abhören oder Spoofing der Kommunikation für ein- oder ausgehenden Traffic im Mesh-Netzwerk abzielen.
• Angriffe auf Vorgänge im Mesh-Netzwerk. Angriffe auf die Vorgänge im Mesh-Netzwerk. Angreifer versuchen möglicherweise, erweiterte Berechtigungen zu erhalten, um böswillige Vorgänge in einem Mesh-Netzwerk auszuführen, wie z. B. Ändern der Sicherheitsrichtlinien und Arbeitslast-Images.

Sicherheitsrisiken

Neben Sicherheitsangriffen hat ein Mesh-Netzwerk auch andere Sicherheitsrisiken. In der folgenden Liste werden einige mögliche Sicherheitsrisiken beschrieben:

• Unvollständiger Schutzmaßnahmen für die Sicherheit. Ein Service Mesh wurde nicht mit Authentifizierungs- und Autorisierungsrichtlinien zum Schutz der Sicherheit konfiguriert. Beispielsweise wurden für Dienste in einem Mesh keine Authentifizierungs- oder Autorisierungsrichtlinien definiert.
• Ausnahmen von Sicherheitsrichtlinien. Nutzer können Ausnahmen für Sicherheitsrichtlinien für bestimmten internen oder externen Traffic erstellen, um von den Cloud Service Mesh-Sicherheitsrichtlinien ausgeschlossen zu werden, um ihren spezifischen Anwendungsfällen gerecht zu werden. Informationen zur sicheren Handhabung solcher Fälle finden Sie im Abschnitt Ausnahmen von Richtlinien sicher einrichten.
• Vernachlässigung der Image-Upgrades. Für die in einem Mesh-Netzwerk verwendeten Images können Sicherheitslücken erkannt werden. Sie müssen die Mesh-Komponenten- und Arbeitslast-Images mit den neuesten Fehlerkorrekturen auf dem neuesten Stand halten.
• Mangelnde Wartung (keine Fachkenntnisse oder Ressourcen). Die Mesh-Software und Richtlinienkonfigurationen erfordern eine regelmäßige Wartung, um die neuesten Sicherheitsmechanismen zu nutzen.
• Mangelnde Sichtbarkeit. Fehlkonfigurationen oder unsichere Konfigurationen von Mesh-Richtlinien und abnormaler Traffic bzw. abnormale Vorgänge im Mesh-Netzwerk werden von Mesh-Administratoren nicht erkannt.
• Konfigurationsabweichung. Die Konfiguration von Richtlinien in einem Mesh-Netzwerk weicht von der "Source of Truth" ab.

Maßnahmen zum Schutz eines Service Mesh

In diesem Abschnitt wird ein Betriebshandbuch zum Sichern von Service Mesh vorgestellt.

Sicherheitsarchitektur

Die Sicherheit eines Service Mesh hängt von der Sicherheit der Komponenten auf verschiedenen Ebenen des Mesh-Systems und seiner Anwendungen ab. Das übergeordnete Ziel des vorgeschlagenen Cloud Service Mesh-Sicherheitsstatus besteht darin, ein Service Mesh durch die Integration mehrerer Sicherheitsmechanismen auf verschiedenen Ebenen zu schützen, die zusammen die allgemeine Systemsicherheit im Rahmen des Zero-Trust-Sicherheitsmodells erreichen. Das folgende Diagramm zeigt den vorgeschlagenen Cloud Service Mesh-Sicherheitsstatus.

Cloud Service Mesh bietet Sicherheit auf mehreren Ebenen, darunter:

• Sicherheit am Edge des Mesh-Netzwerks
  • Die Cloud Service Mesh-Sicherheit für eingehenden Traffic bietet die Zugriffssteuerung für externen Traffic und sichert den externen Zugriff auf die APIs, die von den Diensten im Mesh bereitgestellt werden.
  • Die Cloud Service Mesh-Sicherheit für ausgehenden Traffic regelt den ausgehenden Traffic von internen Arbeitslasten.
  • Die Cloud Service Mesh-Nutzerauthentifizierung kann in die Google-Infrastruktur eingebunden werden, um externe Aufrufe von Webbrowsern bei den Diensten zu authentifizieren, die Webanwendungen ausführen.
  • Die Gateway-Zertifikatverwaltung von Cloud Service Mesh schützt und rotiert die privaten Schlüssel und X.509-Zertifikate, die von Cloud Service Mesh-Gateways für eingehenden und ausgehenden Traffic mithilfe von Certificate Authority Service verwendet werden.
  • Cloud Armor kann vor externen Distributed-Denial-of-Service- (DDoS)- und Layer-7-Angriffen schützen. Es dient als Web Application Firewall (WAF), um das Mesh-Netzwerk vor Netzwerkangriffen zu schützen. Zum Beispiel Angriffe durch Injektion und Remote-Codeausführung.
  • VPC und VPC Service Controls schützen das Edge des Mesh-Netzwerks durch die private Netzwerkzugriffssteuerung.
• Clustersicherheit
  • Die gegenseitige TLS-Authentifizierung (mTLS) von Cloud Service Mesh erzwingt die Traffic-Verschlüsselung und Authentifizierung von Arbeitslast zu Arbeitslast.
  • Eine verwaltete Zertifizierungsstelle wie die Cloud Service Mesh-Zertifizierungsstelle und der Certificate Authority Service stellt die von den Arbeitslasten verwendeten Zertifikate sicher bereit und verwaltet sie.
  • Die Cloud Service Mesh-Autorisierung erzwingt die Zugriffssteuerung für Mesh-Dienste anhand ihrer Identität und anderer Attribute.
  • Das GKE Enterprise-Sicherheitsdashboard bietet Monitoring der Konfigurationen von Sicherheitsrichtlinien und Kubernetes-Netzwerkrichtlinien für die Arbeitslasten.
  • Die Kubernetes-Netzwerkrichtlinie erzwingt die Zugriffssteuerung für Pods anhand von IP-Adressen, Pod-Labels, Namespaces und mehr.
  • Die Sicherheit der Steuerungsebene schützt vor Angriffen auf der Steuerungsebene. Dieser Schutz verhindert, dass Angreifer Dienst- und Mesh-Konfigurationsdaten ändern, ausnutzen oder umgehen.
• Arbeitslastsicherheit
  • Halten Sie sich über Cloud Service Mesh-Sicherheitsversionen auf dem Laufenden, um dafür zu sorgen, dass die in Ihrem Mesh ausgeführten Cloud Service Mesh-Binärprogramme frei von öffentlich bekannten Sicherheitslücken sind.
  • Mit Workload Identity können Arbeitslasten Anmeldedaten erhalten, um Google-Dienste sicher aufzurufen.
  • Der Cloud Key Management Service (Cloud KMS) schützt sensible Daten oder Anmeldedaten über Hardwaresicherheitsmodule (HSM). Arbeitslasten können beispielsweise mit Cloud KMS Anmeldedaten oder andere sensible Daten speichern. CA Service wird zum Ausstellen von Zertifikaten für Mesh-Arbeitslasten verwendet und unterstützt Kunden- und HSM-basierte Signaturschlüssel, die von Cloud KMS verwaltet werden.
  • Kubernetes CNI (Container Network Interface) verhindert Angriffe der Rechteausweitung, da kein privilegierter Cloud Service Mesh-Init-Container erforderlich ist.
• Operatorsicherheit
  • Die rollenbasierte Zugriffssteuerung von Kubernetes (RBAC) beschränkt den Zugriff auf Kubernetes-Ressourcen und die Operatorberechtigungen, um Angriffe durch böswillige Operatoren oder Operator-Identitätsdiebstahl zu minimieren.
  • GKE Enterprise Policy Controller validiert und prüft die Richtlinienkonfigurationen im Mesh, um Fehlkonfigurationen zu vermeiden.
  • Die Google Cloud-Binärautorisierung sorgt dafür, dass die im Mesh-Netzwerk enthaltenen Arbeitslast-Images mit den Images identisch sind, die von den Administratoren autorisiert werden.
  • Google Cloud-Audit-Logging prüft Mesh-Vorgänge.

Das folgende Diagramm zeigt die Kommunikations- und Konfigurationsabläufe mit den integrierten Sicherheitslösungen in Cloud Service Mesh.

Clustersicherheit

Strikte mTLS-Authentifizierung aktivieren

Bei MitM-Angriffen (Man-in-the-Middle) wird versucht, eine schädliche Entität zwischen zwei kommunizierenden Parteien einzufügen, um die Kommunikation abzuhören oder zu manipulieren. Cloud Service Mesh schützt vor MitM- und Daten-Exfiltrationsangriffen, indem für alle kommunizierenden Parteien die mTLS-Authentifizierung und -Verschlüsselung erzwungen wird. Der Modus "Moderat" verwendet mTLS, wenn von beiden Seiten unterstützt, lässt jedoch Verbindungen ohne mTLS zu. Im Gegensatz dazu erfordert die strikte mTLS-Authentifizierung, dass der Traffic mit mTLS verschlüsselt und authentifiziert wird, und es wird kein Traffic im Nur-Text-Format zugelassen.

Mit Cloud Service Mesh können Sie die Mindestversion für TLS für die TLS-Verbindungen zwischen Ihren Arbeitslasten konfigurieren, um Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen.

Weitere Informationen finden Sie unter Cloud Service Mesh am Beispiel: mTLS | mTLS im gesamten Mesh-Netzwerk erzwingen.

Zugriffssteuerungen aktivieren

Cloud Service Mesh-Sicherheitsrichtlinien (z. B. Authentifizierungs- und Autorisierungsrichtlinien) sollten für den gesamten Traffic innerhalb und aus dem Mesh-Netzwerk erzwungen werden, es sei denn, es gibt gute Gründe, einen Dienst oder Pod aus den Cloud Service Mesh-Sicherheitsrichtlinien auszuschließen. In einigen Fällen können Nutzer berechtigte Gründe haben, die Cloud Service Mesh-Sicherheitsrichtlinien für einige Ports und IP-Bereiche zu umgehen. Beispielsweise zum Herstellen nativer Verbindungen zu Diensten, die nicht von Cloud Service Mesh verwaltet werden. Informationen zum Sichern des Cloud Service Mesh für solche Anwendungsfälle finden Sie unter Sicheres Arbeiten mit Ausnahmen von Cloud Service Mesh-Richtlinien.

Die Dienstzugriffssteuerung ist entscheidend, um unbefugten Zugriff auf Dienste zu verhindern. Die mTLS-Erzwingung verschlüsselt und authentifiziert eine Anfrage, aber ein Mesh-Netzwerk benötigt weiterhin Cloud Service Mesh-Autorisierungsrichtlinien, um die Zugriffssteuerung für Dienste zu erzwingen. Beispielsweise werden nicht autorisierte Anfragen von authentifizierten Clients abgelehnt.

Cloud Service Mesh-Autorisierungsrichtlinien bieten eine flexible Möglichkeit, Zugriffssteuerungen zu konfigurieren, um Ihre Dienste vor unbefugtem Zugriff zu schützen. Die Autorisierungsrichtlinien von Cloud Service Mesh sollten anhand der authentifizierten Identitäten, die aus den Authentifizierungsergebnissen abgeleitet werden, erzwungen werden. Authentifizierungen, die auf mTLS oder JSON Web Token (JWT) basieren, sollten zusammen als Teil der Cloud Service Mesh-Autorisierungsrichtlinien verwendet werden.

Cloud Service Mesh-Authentifizierungsrichtlinien erzwingen

JSON-Webtoken (JWT)

Zusätzlich zur mTLS-Authentifizierung können Mesh-Administratoren von einem Dienst erfordern, dass Anfragen über JWT authentifiziert und autorisiert werden. Cloud Service Mesh fungiert nicht als JWT-Anbieter, sondern authentifiziert JWTs anhand der konfigurierten Endpunkte des JSON-Webschlüsselsatzes (JWKS). Die JWT-Authentifizierung kann auf Eingangsgateways für externen Traffic oder auf interne Dienste innerhalb des Mesh-Netzwerks angewendet werden. Die JWT-Authentifizierung kann mit der mTLS-Authentifizierung kombiniert werden, wenn ein JWT als Anmeldedaten zur Darstellung des Endnutzers verwendet wird. Der angeforderte Dienst erfordert einen Nachweis, dass er im Namen des Endnutzers aufgerufen wird. Die JWT-Authentifizierung schützt vor Angriffen, die ohne gültige Anmeldedaten und im Namen eines tatsächlichen Endnutzers auf einen Dienst zugreifen.

Cloud Service Mesh-Nutzerauthentifizierung

Die Cloud Service Mesh-Nutzerauthentifizierung ist eine integrierte Lösung für die browserbasierte Endnutzerauthentifizierung und die Zugriffssteuerung für Ihre Arbeitslasten. Es bindet ein Service Mesh in vorhandene Identitätsanbieter (Identity Providers, IdP) ein, um einen standardmäßigen webbasierten OIDC-Anmelde- und Einwilligungsvorgang zu implementieren, und verwendet Cloud Service Mesh-Autorisierungsrichtlinien für die Zugriffssteuerung.

Autorisierungsrichtlinien erzwingen

Die Autorisierungsrichtlinien von Cloud Service Mesh steuern:

• Wer oder was Zugriff auf einen Dienst hat
• Auf welche Ressourcen zugegriffen werden kann
• Welche Vorgänge für die zulässigen Ressourcen ausgeführt werden können

Mit Autorisierungsrichtlinien kann die Zugriffssteuerung basierend auf den tatsächlichen Identitäten, als die Dienste ausgeführt werden, auf den Attributen der Anwendungsebene (Ebene 7) (z. B. Anfrageheader) und der Netzwerkebene (Ebene 3 und Ebene 4) wie IP-Bereiche und Ports vielseitig konfiguriert werden.

Zum Schutz vor unbefugtem Zugriff auf Dienste oder Daten sollten Cloud Service Mesh-Autorisierungsrichtlinien auf der Grundlage authentifizierter Identitäten, die aus den Authentifizierungsergebnissen abgeleitet werden, erzwungen werden.

Standardmäßig sollte der Zugriff auf einen Dienst verweigert werden, sofern keine Autorisierungsrichtlinie explizit definiert ist, die den Zugriff auf diesen Dienst zulässt. Beispiele für Autorisierungsrichtlinien, die Zugriffsanfragen verweigern, finden Sie unter Best Practices für Autorisierungsrichtlinien.

Autorisierungsrichtlinien sollten das Vertrauen so weit wie möglich einschränken. Der Zugriff auf einen Dienst kann beispielsweise basierend auf einzelnen URL-Pfaden definiert werden, die von einem Dienst bereitgestellt werden, sodass nur ein Dienst A auf den Pfad /admin eines Dienstes B zugreifen kann.

Autorisierungsrichtlinien können zusammen mit Kubernetes-Netzwerkrichtlinien verwendet werden, die nur auf der Netzwerkebene (Ebene 3 und Ebene 4) funktionieren und den Netzwerkzugriff für IP-Adressen und Ports auf Kubernetes-Pods und Kubernetes-Namespaces steuern.

Tokenaustausch für den Zugriff auf Mesh-Dienste erzwingen

Zum Schutz vor Tokenwiederholungsangriffen, bei denen Tokens gestohlen und die gestohlenen Tokens für den Zugriff auf Mesh-Dienste wiederverwendet werden, sollte ein Token in einer Anfrage von außerhalb des Mesh-Netzwerks gegen ein kurzlebiges Token innerhalb des Mesh-Netzwerks am Edge ausgetauscht werden.

Eine Anfrage von außerhalb des Mesh-Netzwerks für den Zugriff auf einen Mesh-Dienst muss ein Token wie JWT oder Cookie enthalten, um vom Mesh-Dienst authentifiziert und autorisiert zu werden. Ein Token von außerhalb des Mesh-Netzwerks kann langlebig sein. Zum Schutz vor Tokenwiederholungsangriffen sollte ein Token von außerhalb des Mesh-Netzwerks gegen ein kurzlebiges Mesh-internes Token mit einem eingeschränkten Bereich am Ingress des Mesh ausgetauscht werden. Der Mesh-Dienst authentifiziert ein Mesh-internes Token und autorisiert die Zugriffsanfrage anhand des Mesh-internen Tokens.

Cloud Service Mesh unterstützt die Integration in Identity-Aware Proxy (IAP), wodurch ein RequestContextToken (ein kurzlebiges, Mesh-internes Token, das von einem externen Token ausgetauscht wird) generiert wird, das in Cloud Service Mesh für die Autorisierung verwendet wird. Mit dem Austausch von Tokens wird erreicht, dass Angreifer im Mesh-Netzwerk keine gestohlenen Tokens für den Zugriff auf Dienste verwenden können. Der begrenzte Umfang und die Lebensdauer des ausgetauschten Tokens verringern die Wahrscheinlichkeit eines Angriffs durch Tokenwiederholung.

Cloud Service Mesh-Richtlinienausnahmen sicher verarbeiten

Möglicherweise haben Sie spezielle Anwendungsfälle für Ihr Service Mesh. Es kann beispielsweise erforderlich sein, einen bestimmten Netzwerkport verfügbar zu machen, um den Texttraffic zu verarbeiten. Für bestimmte Nutzungsszenarien müssen Sie manchmal Ausnahmen erstellen, um bestimmten internen oder externen Traffic von den Cloud Service Mesh-Sicherheitsrichtlinien auszuschließen. Dies führt zu Sicherheitsbedenken.

Es kann legitime Gründe haben, die Cloud Service Mesh-Sicherheitsrichtlinien für einige Ports und IP-Bereiche zu umgehen. Sie können Pods Annotationen wie excludeInboundPorts, excludeOutboundPorts und excludeOutboundIPRanges hinzufügen, um auszuschließen, dass der Traffic von der Envoy-Sidecar verarbeitet wird. Neben Annotationen zum Ausschließen des Traffics können Sie das Mesh-Netzwerk komplett umgehen. Dazu stellen Sie eine Anwendung mit deaktivierter Sidecar-Injektion bereit. Fügen Sie beispielsweise dem Anwendungs-Pod das Label sidecar.istio.io/inject="false" hinzu:

Das Umgehen von Cloud Service Mesh-Sicherheitsrichtlinien hat negative Auswirkungen auf die Gesamtsystemsicherheit. Wenn beispielsweise Cloud Service Mesh mTLS und Autorisierungsrichtlinien für einen Netzwerkport mithilfe von Annotationen umgangen werden, ist keine Zugriffssteuerung für den Traffic auf dem Port möglich und es ist möglicherweise kein Abhören oder Ändern des Traffics möglich. Darüber hinaus wirkt sich das Umgehen von Cloud Service Mesh-Richtlinien auch auf Nicht-Sicherheitsrichtlinien wie Netzwerkrichtlinien aus.

Wenn die Cloud Service Mesh-Sicherheitsrichtlinie absichtlich oder unbeabsichtigt für einen Port oder eine IP umgangen wird, sollten andere Sicherheitsmaßnahmen vorhanden sein, um das Mesh-Netzwerk zu sichern und Sicherheitsausnahmen, potenzielle Sicherheitslücken und den allgemeinen Status der Sicherheitserzwingung zu überwachen. So sichern Sie das Mesh-Netzwerk in solchen Szenarien:

• Der Traffic, der die Sidecars umgeht, muss nativ verschlüsselt und authentifiziert werden, um MitM-Angriffe zu verhindern.
• Erzwingen Sie Kubernetes-Netzwerkrichtlinien, um die Konnektivität von Ports mit Richtlinienausnahmen zu beschränken (z. B. Begrenzen Sie einen Port mit Richtlinienausnahmen, um nur Traffic von einem anderen Dienst im selben Namespace zuzulassen) oder um nur Traffic durch die Ports zuzulassen, für die die Cloud Service Mesh-Sicherheitsrichtlinie erzwungen wird.
• Erzwingen Sie GKE Enterprise Policy Controller, um Cloud Service Mesh-Richtlinien automatisch zu validieren. Erzwingen Sie beispielsweise, dass die Cloud Service Mesh-Sidecars immer in Arbeitslasten eingeschleust werden.

Kubernetes-Netzwerkrichtlinien erzwingen

Cloud Service Mesh baut auf der zugrunde liegenden Plattform (z. B. Kubernetes) auf. Daher hängt die Sicherheit von Cloud Service Mesh von der Sicherheit der zugrunde liegenden Plattform ab. Beispiel: Ohne Kontrolle darüber, wer Kubernetes-Ressourcen aktualisieren kann, kann ein Nutzer das Kubernetes-Deployment eines Dienstes ändern, um die Sidecar-Datei des Dienstes zu umgehen.

Um einen starken Sicherheitsstatus für ein Service Mesh zu schaffen, sollten die Sicherheitsmechanismen der zugrunde liegenden Plattform durchgesetzt werden, damit sie zusammen mit den Cloud Service Mesh-Sicherheitsrichtlinien zusammenarbeiten.

Kubernetes-Netzwerkrichtlinien werden auf der Netzwerkebene (L3 und L4) für IP-Adressen und Ports auf Kubernetes-Pods und -Namespaces ausgeführt. Kubernetes-Netzwerkrichtlinien können zusammen mit Cloud Service Mesh-Richtlinien erzwungen werden, um die Sicherheit des Mesh-Netzwerks zu verbessern.

Beispielsweise kann der Mesh-Administrator Kubernetes-Netzwerkrichtlinien so konfigurieren, dass Traffic nur Ports mit erzwungener Cloud Service Mesh-Sicherheitsrichtlinie verwendet. Wenn der gesamte Traffic mit Cloud Service Mesh mTLS erzwungen werden muss, kann der Administrator eine Kubernetes-Netzwerkrichtlinie so konfigurieren, dass Traffic nur an Ports zugelassen wird, die mit der Cloud Service Mesh-mTLS-Richtlinie konfiguriert sind. Der Mesh-Administrator kann auch Kubernetes-Netzwerkrichtlinien konfigurieren, um die Konnektivität von Ports mit Richtlinienausnahmen zu beschränken. Beispielsweise können Sie die Konnektivität solcher Ports innerhalb eines Namespace beschränken.

Sicherer Zugriff auf die Steuerungsebene

Die Cloud Service Mesh-Steuerungsebene authentifiziert alle Clients, die eine Verbindung herstellen. Daher können nur Aufrufer mit gültigen Anmeldedaten (Kubernetes-JWT- oder X.509-Zertifikate, die von zulässigen Zertifizierungsstellen ausgestellt wurden) auf die Cloud Service Mesh-Steuerungsebene zugreifen. TLS verschlüsselt die Verbindungen zwischen Arbeitslasten und der Cloud Service Mesh-Steuerungsebene.

Neben dem Authentifizierungsmechanismus können für das clusterinterne Cloud Service Mesh Kubernetes-Netzwerkrichtlinien bereitgestellt werden, um den Cloud Service Mesh-System-Namespace (standardmäßig istio-system) von nicht verwalteten Namespaces und Clients außerhalb des Mesh-Netzwerks zu isolieren und gleichzeitig den Datenebenen den Zugriff auf die Steuerungsebene zu ermöglichen. VPC-Firewallregeln können verhindern, dass Traffic außerhalb eines Clusters Istiod erreicht. Mit solchen Netzwerkisolationsmaßnahmen kann ein Angreifer von außerhalb des Mesh-Netzwerks nicht auf die Steuerungsebene zugreifen, selbst wenn er gültige Anmeldedaten hat. Für verwaltete Steuerungsebenen übernimmt Google die Sicherheit für die Steuerungsebenen und solche Richtlinien zur Netzwerkisolation für Steuerungsebenen sind nicht erforderlich.

Namespace-Grenzen erzwingen

So verhindern Sie, dass der Nutzer eines Namespace auf Ressourcen in einem nicht autorisierten Namespace zugreift bzw. diese aktualisiert:

• Erzwingen Sie Zugriffssteuerungen.
• Erzwingen Sie Kubernetes-Netzwerkrichtlinien. Wenn Dienste in einem Namespace keinen Traffic außerhalb des Namespace haben, sollte der Mesh-Administrator eine Kubernetes-Netzwerkrichtlinie bereitstellen, die nur Traffic innerhalb des Namespace zulässt: kein eingehender oder ausgehender Traffic in den bzw. aus dem Namespace.
• Erzwingen Sie Kubernetes-RBAC-Netzwerkrichtlinien.
  • Die Rollen von Anwendungsadministratoren sollten an einen Namespace gebunden sein.
  • Gewähren Sie nur Mesh-Administratoren die ClusterRole.

Kubernetes-RBAC-Netzwerkrichtlinien erzwingen

Die Mesh-Administratoren sollten Kubernetes-RBAC-Richtlinien erzwingen, um zu steuern, wer auf Kubernetes-Ressourcen zugreifen und diese aktualisieren darf. Die Kubernetes-Zugriffssteuerung kann die Sicherheitsrisiken im Mesh-Netzwerk minimieren. Nicht autorisierte Nutzer sollten beispielsweise nicht berechtigt sein, Kubernetes-Deployments zu ändern und die Richtlinienerzwingungen für Cloud Service Mesh zu umgehen. Die Rollen eines Nutzers sollten an einen Namespace gebunden sein, damit der Nutzer nicht auf mehr Namespaces zugreifen kann, als er benötigt. Ausführliche Anleitungen und Beispiele für die Konfiguration von RBAC finden Sie unter Rollenbasierte Zugriffssteuerung konfigurieren. Nachdem Sie Workload Identity aktiviert haben, können Sie auch ein Kubernetes-Dienstkonto als IAM-Dienstkonto zulassen.

Sicherheit am Edge des Mesh-Netzwerks

Da die meisten Angriffe auch von außerhalb eines Clusters stammen können, ist die Sicherheit am Edge des Mesh-Netzwerks entscheidend.

Zugriffssteuerung für eingehenden Cluster-Traffic

Cloud Service Mesh empfängt eingehenden externen Traffic über das Ingress-Gateway. Über das Eingangsgateway bereitgestellte Dienste sind möglicherweise Angriffe von externen Quellen ausgesetzt. Sicherheitsadministratoren sollten Dienste, die externem Traffic über Eingangsgateways ausgesetzt sind, immer ausreichend sichern, um sie vor Angriffen zu schützen.

Bei eingehendem Traffic sollten Authentifizierung und Autorisierung für Dienste erzwungen werden, die externen Aufrufern zur Verfügung gestellt werden.

• Sicherheitsrichtlinien für eingehenden Cluster-Traffic erzwingen Wenn der Cluster externen Traffic empfangen muss, sollte der Mesh-Administrator Richtlinien für eingehenden Traffic erzwingen, einschließlich Cloud Service Mesh-Gateway TLS sowie Authentifizierungs- und Autorisierungsrichtlinien, um externe Anfragen zu authentifizieren und zu prüfen, ob externe Anfragen für den Zugriff auf Dienste autorisiert sind, die vom Ingress-Gateway zur Verfügung gestellt werden. Die Erzwingung von Sicherheitsrichtlinien für eingehenden Traffic schützt vor Angriffen von außerhalb des Mesh-Netzwerks, die versuchen, ohne gültige Anmeldedaten oder Berechtigungen auf einen Dienst zuzugreifen.
• Verwenden Sie Cloud Armor als Web Application Firewall (WAF) zum Schutz vor webbasierten Angriffen wie Injektionsangriffen und Remote-Ausführungsangriffen. Weitere Informationen finden Sie unter Von Edge zu Mesh: Service Mesh-Anwendungen über GKE Ingress verfügbar machen.

Ausgehenden Cluster-Traffic regulieren

Die Sicherheit des ausgehenden Cluster-Traffics ist für die Sicherheit des Mesh-Netzwerks entscheidend, da Sicherheitsrichtlinien für ausgehenden Traffic vor Daten-Exfiltration-Angriffen schützen, die Filterung von ausgehendem Traffic erzwingen und den TLS-Ursprung für ausgehenden Traffic erzwingen können. Sicherheitsadministratoren sollten den ausgehenden Cluster-Traffic regulieren und prüfen.

Zusätzlich zur Verwendung von VPC-Firewalls, um ausgehenden Traffic zu beschränken, sollten die Administratoren des Mesh-Netzwerks auch Sicherheitsrichtlinien für ausgehenden Cluster-Traffic erzwingen und ausgehenden Traffic so konfigurieren, dass er Ausgangsgateways durchläuft.

Richtlinien für ausgehenden Traffic können die folgenden Angriffe minimieren:

• Daten-Exfiltration-Angriffe.
• Dienst-Pods können von Angreifern ausgenutzt werden, wenn ihre CVEs nicht gepatcht wurden. Manipulierte Pods können zu einem von Angreifern kontrollierten Botnet werden, das Spam sendet oder DoS-Angriffe startet.

Mit Autorisierungsrichtlinien für Eingangsgateways kann sichergestellt werden, dass nur autorisierte Dienste Traffic an bestimmte Hosts außerhalb des Mesh-Netzwerks senden dürfen. Für Traffic, der das Mesh-Netzwerk verlässt, kann der TLS-Ursprung an Ausgangsgateways erfolgen, anstatt an einzelnen Sidecars. So kann der TLS-Ursprung für Traffic einheitlich und sicher erfolgen, da die Clientzertifikate für mTLS von den Namespaces isoliert werden können, in denen Anwendungen ausgeführt werden.

Mit privatem Cluster oder VPC Service Control externe Zugriffe sperren

Sie erzwingen Richtlinien für eingehenden und ausgehenden Traffic und sperren externen Zugriff mit einem privaten Cluster oder VPC Service Controls, sofern möglich. Sicherheitsrichtlinien werden von Sicherheitsadministratoren für das Mesh-Netzwerk gesteuert. Die Konfiguration eines privaten Clusters oder von VPC Service Controls hingegen kann von Sicherheitsadministratoren der Organisation erzwungen werden.

VPC Service Controls kann erzwungen werden, um einen Sicherheitsbereich für die Dienste zu definieren. Damit können Sie Folgendes erreichen:

• Verhindern, dass Dienste auf externe Ressourcen zugreifen.
• Verhindern, dass externe Nutzer auf die Dienste in einem Sicherheitsperimeter zugreifen.

VPC Service Controls trägt zum Schutz vor Daten-Exfiltration-Angriffen bei und verhindert, dass externe Angreifer auf Dienste innerhalb eines Mesh-Netzwerks zugreifen.

Schutz vor externen DDoS-Angriffen

Externe DDoS-Angriffe können Eingangsgateways und Backend-Dienste überlasten, sodass legitime Anfragen nicht verarbeitet werden. Cloud Armor kann zum Schutz vor DDoS-Angriffen verwendet werden. Cloud Armor schützt nicht nur vor DDoS-Angriffen auf Netzwerkebene (L3 und L4), sondern auch vor DDoS-Angriffen auf Anwendungsebene (L7).

Sicherheit bei der Verwaltung und Automatisierung von Mesh-Netzwerken

Es ist wichtig, die Sicherheit für administrative Vorgänge und Automatisierungen zu berücksichtigen, die Sie für Ihr Mesh-Netzwerk einrichten, z. B. CI/CD. Mit den folgenden Vorgehensweisen können Sie für einen sicheren Betrieb des Mesh-Netzwerks sorgen, ohne das Risiko, Dienste zusätzlichen Angriffen auszusetzen.

Rollen für Vorgänge im Mesh-Netzwerk segmentieren

Nach dem Prinzip der rollenbasierten Zugriffssteuerung sollten Nutzer eines Mesh-Netzwerks nach ihren Rollen klassifiziert werden. Jeder Rolle sollte nur der Mindestsatz an Berechtigungen gewährt werden, der für die Rolle benötigt wird.

Beispielsweise sollte die Gruppe von Nutzern, die Dienstbereitstellungen durchführen, keine Berechtigungen zum Aktualisieren von Authentifizierungs- und Autorisierungsrichtlinien haben.

Es gibt verschiedene Operatorkategorien. Beispiel: Clusteroperatoren und Namespace-Operatoren. Es ist wichtig, die Rechteausweitung bei einem Operator zu verhindern, was zu einem unberechtigten Zugriff auf nicht autorisierte Ressourcen führen kann.

Mit Kubernetes-RBAC-Richtlinien können Mesh-Administratoren den Ressourcenzugriff nur auf autorisierte Nutzer beschränken.

Richtlinienkonfigurationen automatisch validieren

Operatoren können die Cloud Service Mesh-Richtlinien versehentlich falsch konfigurieren, was zu schwerwiegenden Sicherheitsvorfällen führen kann. Zur Vermeidung einer Fehlkonfiguration und zur automatischen Validierung von Cloud Service Mesh-Richtlinien können Mesh-Administratoren Policy Controller verwenden, um Einschränkungen für Richtlinienkonfigurationen zu erzwingen.

Um zu vermeiden, dass Personen mit Berechtigungen zum Aktualisieren von Cloud Service Mesh-Sicherheitsrichtlinien und zur Automatisierung der Validierung von Cloud Service Mesh-Richtlinien zu viel Vertrauen haben, sollten die Mesh-Administratoren mit Policy Controller Einschränkungen für Cloud Service Mesh-Richtlinien implementieren.

Policy Controller basiert auf dem Open-Source-Projekt Gatekeeper und kann entweder als Kubernetes-Admission-Controller ausgeführt werden, um die Anwendung ungültiger Ressourcen zu verhindern, oder im Prüfmodus, damit Administratoren über Richtlinienverstöße informiert werden. Policy Controller kann die Bereitstellung von Ressourcen im Mesh-Netzwerk automatisch validieren. Dazu gehört z. B., dass die Annotationen für eine Bereitstellung die Cloud Service Mesh-Richtlinien nicht umgehen, ob die Cloud Service Mesh-Richtlinien wie erwartet sind und ob eine Bereitstellung keine Root-Funktionen wie NET_ADMIN und NET_RAW enthält.

Policy Controller kann auch vorhandene Cloud Service Mesh-Ressourcen anhand von Einschränkungen prüfen, um Fehlkonfigurationen von Richtlinien zu erkennen.

Im Folgenden finden Sie einige Beispiele für das Erzwingen von Sicherheitsrichtlinien durch GKE Enterprise Policy Controller:

• Pods an der Ausführung privilegierter Container hindern.
• Nur Images aus bestimmten Repositories zulassen, um die Ausführung nicht autorisierter Container-Images zu verhindern.
• Die Deaktivierung von TLS für alle Hosts und Hostteilmengen in Istio DestinationRules verbieten.
• Verhindern, dass Hauptkonten und Namespaces in Istio AuthorizationPolicy-Regeln ein Präfix aus einer angegebenen Liste haben.
• Das Erstellen bekannter Ressourcen verhindern, die Arbeitslasten für externe IP-Adressen verfügbar machen.
• Erfordern, dass Ingress-Ressourcen nur HTTPS sind.
• Ein schreibgeschütztes Root-Dateisystem für den Container festlegen.

Die mit Policy Controller bereitgestellte Einschränkungsvorlagenbibliothek enthält eine Reihe von Einschränkungsvorlagen, die mit dem sofort einsatzbereiten Cloud Service Mesh-Bundle für Sicherheitseinschränkungen verwendet werden können, um bestimmte Best Practices für die Sicherheit von Cloud Service Mesh zu erzwingen, z. B. Authentifizierung, Autorisierung und Trafficrichtlinien. Im Folgenden sind einige Beispieleinschränkungen aufgeführt, die im Bundle enthalten sind:

• Erzwingen Sie den strengen mTLS-PeerAuthentication auf Mesh-Netzwerk.
• Erzwingen, dass PeerAuthentications keine strikte mTLS-Authentifizierung überschreiben können.
• Erzwingen Sie die Autorisierungsrichtlinie default Deny auf Mesh-Ebene.
• Sichere Muster der AuthorizationPolicy erzwingen.
• Das Erzwingen der Cloud Service Mesh-Sidecars wird immer in Arbeitslasten eingefügt.

Zum Umgang mit Ausnahmen und Break-Glass-Situationen kann der Mesh-Administrator Folgendes tun:

• Einen Namespace aus der Zulassungs-Webhook-Erzwingung von Policy Controller ausschließen, wobei Verstöße jedoch weiterhin in Audit erfasst werden.
• Die Einschränkung spec.enforcementAction auf Probelauf festlegen. Der Zulassungs-Webhook verhindert zwar keine Änderungen, aber Verstöße werden weiterhin in Audit erfasst.
• Der Einschränkungsvorlage eine Ausnahmelogik hinzufügen (Beispiel).

Mit GitOps-Ansatz und Config Sync Konfigurationsabweichungen verhindern

Konfigurationsabweichungen treten auf, wenn die Konfiguration von Richtlinien in einem Mesh von ihrer "Source of Truth" abweicht. Mit Config Sync können Sie Konfigurationsabweichungen verhindern.

Audit-Logging und Monitoring erzwingen

Mesh-Administratoren sollten Folgendes überwachen:

• Cloud-Audit-Logging
• Cloud Service Mesh-Audit-Logging
• Audit-Logging der Richtlinieneinschränkung
• Anthos Config Sync
• Zugriffslogs
• Service-Level-Messwerte
• Auf Traces zugreifen

Diese Beobachtbarkeitsressourcen können verwendet werden, um zu prüfen, ob die Sicherheitskonfiguration wie erwartet funktioniert, und um Ausnahmen von der Erzwingung von Sicherheitsrichtlinien zu überwachen. Beispiel: Zugriff, der nicht über Sidecars geleitet wurde, Zugriff, der keine gültigen Anmeldedaten hatte, aber einen Dienst erreicht hat.

Obwohl Open-Source-Software für die Beobachtbarkeit (z. B. Prometheus) mit Cloud Service Mesh verwendet werden kann, empfehlen wir dringend die Operations-Suite von Google Cloud (früher Stackdriver). Die integrierte Beobachtbarkeitslösung für Google Cloud bietet vollständig verwaltete und nutzerfreundliche Funktionen für Logging, Messwerterfassung, Monitoring und Benachrichtigungen.

Zertifizierungsstelle für clusterinterne Zertifikate schützen

Cloud Service Mesh verwendet standardmäßig eine von Google verwaltete Zertifizierungsstelle mit dem Namen Cloud Service Mesh-Zertifizierungsstelle.

Wenn Sie die nicht verwaltete Istio-Zertifizierungsstelle (CA) verwenden, die als Teil von Istiod gehostet wird, wird der Signaturschlüssel der Zertifizierungsstelle in einem Kubernetes-Secret gespeichert und kann von Operatoren mit Zugriff auf die Secret-Ressource im Namespace istio-system aufgerufen werden. Dies ist ein Risiko, da ein Operator den CA-Schlüssel möglicherweise unabhängig von der CA von Istiod verwenden und möglicherweise Arbeitslastzertifikate unabhängig signieren kann. Es besteht auch die Gefahr, dass ein selbstverwalteter CA-Signaturschlüssel aufgrund eines Betriebsfehlers versehentlich gestohlen wird.

Zum Schutz des Signaturschlüssels der Zertifizierungsstelle kann der Mesh-Administrator das Mesh-Netzwerk auf die Verwendung der von Google gesicherten und verwalteten Cloud Service Mesh-Zertifizierungsstelle oder des Certificate Authority Service (CA Service) aktualisieren. Im Vergleich zur Cloud Service Mesh-Zertifizierungsstelle unterstützt CA Service die Signaturschlüssel pro Kunde über Cloud KMS, unterstützt von Cloud HSM. CA Service unterstützt auch regulierte Arbeitslasten, die Cloud Service Mesh-Zertifizierungsstelle jedoch nicht.

Arbeitslastsicherheit

Die Arbeitslastsicherheit schützt vor Angriffen, bei denen Arbeitslast-Pods manipuliert und diese manipulierten Pods dann für Angriffe auf den Cluster (z. B. Botnet-Angriffe) genutzt werden.

Pod-Berechtigungen einschränken

Ein Kubernetes-Pod kann Berechtigungen haben, die sich auf andere Pods auf dem Knoten oder dem Cluster auswirken. Es ist wichtig, Sicherheitseinschränkungen für Arbeitslast-Pods zu erzwingen, um zu verhindern, dass ein manipulierter Pod Angriffe auf den Cluster startet.

So erzwingen Sie das Prinzip der geringsten Berechtigung für die Arbeitslasten auf einem Pod:

• Die in einem Mesh-Netzwerk bereitgestellten Dienste sollten mit möglichst wenigen Berechtigungen ausgeführt werden.
• Kubernetes-Pods, die im privilegierten Modus ausgeführt werden, können Netzwerkstacks und andere Kernelfunktionen auf dem Host bearbeiten. Mit GKE Enterprise Policy Controller kann verhindert werden, dass Pods privilegierte Container ausführen.
• Cloud Service Mesh kann so konfiguriert werden, dass ein Init-Container verwendet wird, um die iptables-Trafficweiterleitung an die Sidecar-Datei zu konfigurieren. Dadurch muss der Nutzer, der Arbeitslasten-Deployments erstellt, Berechtigungen zum Bereitstellen von Containern mit den Funktionen NET_ADMIN und NET_RAW haben. Um das Risiko der Ausführung von Containern mit erweiterten Berechtigungen zu vermeiden, können Mesh-Administratoren stattdessen das CNI-Plug-in von Istio für die Konfiguration der Trafficweiterleitung an Sidecars enable.

Container-Images sichern

Angreifer können Angriffe starten, indem sie anfällige Container-Images ausnutzen. Administratoren sollten die Binärautorisierung erzwingen, um die Integrität von Container-Images zu prüfen und sicherzustellen, dass nur vertrauenswürdige Container-Images im Mesh bereitgestellt werden.

Sicherheitslücken in Mesh-Netzwerken minimieren

• Container Analysis. Container Analysis kann Sicherheitslücken in GKE-Arbeitslasten scannen und erkennen.
• Umgang mit CVEs (Common Vulnerabilities and Exposures). In einem Container-Image erkannte Sicherheitslücken sollten von den Mesh-Administratoren so schnell wie möglich behoben werden. Bei verwaltetem Cloud Service Mesh mit verwalteter Datenebene bearbeitet Google automatisch CVEs, die sich auf die Mesh-Images auswirken.

Workload Identity für einen sicheren Zugriff auf Google-Dienste verwenden

Workload Identity ist die empfohlene Methode für Mesh-Arbeitslasten, um sicher auf Google-Dienste zuzugreifen. Die Alternative zum Speichern eines Dienstkontoschlüssels in einem Kubernetes-Secret und zur Verwendung des Dienstkontoschlüssels für den Zugriff auf Google-Dienste ist aufgrund der Risiken von Datenlecks, Rechteausweitung, Offenlegung von Informationen und Nachweisbarkeit nicht so sicher.

Sicherheitsstatus über Sicherheitsdashboard und Telemetrie überwachen

Ein Service Mesh kann Sicherheitsausnahmen und potenzielle Sicherheitsücken haben. Es ist wichtig, den Sicherheitsstatus eines Mesh-Netzwerks aufzuzeigen und zu überwachen. Dazu gehören die erzwungenen Sicherheitsrichtlinien, Sicherheitsausnahmen und potenzielle Sicherheitslücken im Mesh-Netzwerk. Mit dem GKE Enterprise-Sicherheitsdashboard und der Telemetrie können Sie den Sicherheitsstatus des Mesh-Netzwerks ermitteln und überwachen.

Telemetrie überwacht den Zustand und die Leistung von Diensten in einem Mesh-Netzwerk, sodass Mesh-Administratoren das Verhalten von Diensten (z. B. SLOs, abnormaler Traffic, Dienstausfall, Topologie) beobachten können.

Das GKE Enterprise-Sicherheitsdashboard analysiert und visualisiert die Sicherheitsrichtlinien, die auf eine Arbeitslast in einem Service Mesh angewendet werden, einschließlich Richtlinien zur Zugriffssteuerung (Kubernetes-Netzwerkrichtlinien, Richtlinien zur Binärautorisierung und Richtlinien für die Zugriffssteuerung von Diensten) sowie Authentifizierungsrichtlinien (mTLS).

Sicherheit für vertrauliche Nutzerdaten und Anmeldedaten

Vertrauliche Nutzerdaten oder Anmeldedaten können anfällig für Angriffe durch Pods oder schädliche Vorgänge sein, die im nichtflüchtigen Clusterspeicher gespeichert sind, z. B. mithilfe von Kubernetes-Secrets oder direkt in Pods. Sie sind auch anfällig für Netzwerkangriffe, wenn sie zur Authentifizierung bei Diensten über das Netzwerk übertragen werden.

• Speichern Sie vertrauliche Nutzerdaten und Anmeldedaten nach Möglichkeit in einem geschützten Speicher wie Secret Manager und Cloud KMS.
• Legen Sie separate Namespaces für Kubernetes-Pods fest, die auf vertrauliche Daten zugreifen, und definieren Sie Kubernetes-Richtlinien, damit die Namespaces nicht von anderen Namespaces aus zugänglich sind. Segmentieren Sie die Rollen, die für Vorgänge verwendet werden, und erzwingen Sie Namespace-Grenzen.
• Erzwingen Sie den Tokenaustausch, um die Exfiltration von langlebigen Tokens mit hohen Berechtigungen zu verhindern.

Nächste Schritte

• Best Practices für die Verwendung von Cloud Service Mesh-Gateways für ausgehenden Traffic in GKE-Clustern ansehen
• Transportsicherheit konfigurieren
• Autorisierungsrichtlinien aktualisieren