Best practice per la sicurezza di Cloud Service Mesh

Questo documento descrive le best practice per stabilire e governare una configurazione sicura di Cloud Service Mesh in esecuzione su Google Kubernetes Engine (GKE). Le indicazioni riportate nel documento vanno oltre le impostazioni utilizzate per configurare e installare Cloud Service Mesh e descrivono come utilizzare Cloud Service Mesh con altri prodotti e funzionalità di Google Cloud per proteggerti dalle minacce alla sicurezza che le applicazioni in un mesh potrebbero dover affrontare.

Il pubblico di destinazione di questo documento include gli amministratori che gestiscono i criteri in Cloud Service Mesh e gli utenti che eseguono servizi Cloud Service Mesh. Le misure di sicurezza descritte qui sono utili anche per le organizzazioni che devono migliorare la sicurezza dei propri mesh di servizi per soddisfare i requisiti di conformità.

Il documento è organizzato come segue:

• Introduzione
• Vettori d'attacco e rischi per la sicurezza
  • Vettori di attacco
  • Rischi per la sicurezza
• Misure per proteggere un mesh di servizi
  • Architettura di sicurezza
  • Sicurezza del cluster
    • Abilitare TLS reciprocamente rigoroso
    • Attivare i controlli dell'accesso
      • Applica i criteri di autenticazione di Cloud Service Mesh
      • JSON Web Token (JWT)
      • Autenticazione degli utenti Cloud Service Mesh
      • Applicare i criteri di autorizzazione
      • Applicare lo scambio di token per accedere ai servizi mesh
    • Gestire in sicurezza le eccezioni ai criteri di Cloud Service Mesh
      • Applicare i criteri di rete Kubernetes
    • Accesso sicuro al piano di controllo
    • Applicare i confini dello spazio dei nomi
      • Applica i criteri RBAC di Kubernetes
  • Sicurezza dell'edge mesh
    • Controllo dell'accesso all'ingresso del cluster
    • Regola il traffico in uscita del cluster
    • Utilizzare un cluster privato o i Controlli di servizio VPC per bloccare gli accessi esterni
    • Difendersi dagli attacchi DDoS esterni
  • Sicurezza per l'amministrazione e l'automazione del mesh
    • Segmentare i ruoli utilizzati per le operazioni di mesh
    • Convalidare automaticamente le configurazioni dei criteri
      • Usa un approccio GitOps con Config Sync per evitare la deviazione della configurazione
    • Applica l'audit logging e il monitoraggio
    • Proteggere l'autorità di certificazione per i certificati in-cluster
  • Sicurezza del carico di lavoro
    • Limitare i privilegi del pod
    • Immagini container sicure
    • Ridurre le vulnerabilità del mesh
    • Utilizza la federazione delle identità per i carichi di lavoro per GKE al fine di accedere in modo sicuro ai servizi Google
    • Monitorare lo stato di sicurezza tramite la dashboard per la sicurezza e i dati di telemetria
  • Sicurezza per credenziali e dati utente sensibili

Introduzione

Cloud Service Mesh fornisce funzionalità e strumenti che ti aiutano a osservare, gestire e difendere i servizi in modo unificato. Adotta un approccio incentrato sulle applicazioni e utilizza identità delle applicazioni attendibili anziché un approccio incentrato sull'IP di rete. Puoi eseguire il deployment di un mesh di servizi in modo trasparente, senza dover modificare il codice dell'applicazione. Cloud Service Mesh offre un controllo dichiarativo sulla rete il che aiuta a disaccoppiare il lavoro dei team responsabili la distribuzione e il rilascio di funzionalità dell'applicazione dalle responsabilità responsabili della sicurezza e del networking.

Cloud Service Mesh si basa sul mesh di servizi Istio open source, che consente configurazioni e topologie sofisticate. A seconda della struttura della tua organizzazione, uno o più team o ruoli potrebbero essere responsabili dell'installazione e della configurazione di una mesh. Vengono scelte le impostazioni predefinite di Cloud Service Mesh ma in alcuni casi potrebbe essere necessario configurazioni personalizzate o di concedere eccezioni escludendo determinate app, porte o indirizzi IP che partecipano a un mesh. È importante disporre di controlli per gestire le configurazioni mesh e le eccezioni di sicurezza.

Vettori d’attacco e rischi per la sicurezza

Vettori d'attacco

La sicurezza di Cloud Service Mesh segue il modello di sicurezza Zero Trust, presuppone che le minacce alla sicurezza provengano sia dall'interno che dall'esterno il perimetro di sicurezza dell'organizzazione. Esempi di tipi di attacchi alla sicurezza che possono le applicazioni in un mesh di servizi includono:

• Attacchi di esfiltrazione di dati. Ad esempio, attacchi che intercettano dati sensibili o credenziali dal traffico tra servizi.
• Attacchi man-in-the-middle. Ad esempio, un servizio dannoso che si spaccia per un servizio legittimo per ottenere o modificare la comunicazione tra i servizi.
• Attacchi di escalation dei privilegi. Ad esempio, attacchi che utilizzano l'accesso illecito a privilegi elevati per eseguire operazioni in una rete.
• Attacchi Denial of Service (DoS).
• Attacchi di botnet che tentano di compromettere e manipolare i servizi per lanciare attacchi su altri servizi.

Gli attacchi possono essere classificati anche in base ai target:

• Attacchi alla rete interna del mesh. Attacchi volti a manomettere, intercettare o falsificare la comunicazione service-to-service o service-to-control-plane interna del mesh.
• Attacchi al piano di controllo. Attacchi volti a far cadere il piano di controllo malfunzionamenti (come un attacco DoS) o esfiltrazione di dati sensibili dal piano di controllo.
• Attacchi ai bordi della maglia. Attacchi finalizzati a manomissioni, intercettazioni o spoofing le comunicazioni alla rete mesh in entrata o in uscita.
• Attacchi alle operazioni di Mesh. Attacchi mirati alle operazioni del mesh. Gli utenti malintenzionati possono tentare di ottenere privilegi elevati per eseguire operazioni dannose in una mesh, ad esempio modificare i criteri di sicurezza e le immagini dei carichi di lavoro.

Rischi per la sicurezza

Oltre agli attacchi alla sicurezza, un mesh deve affrontare anche altri rischi per la sicurezza. L'elenco seguente descrive alcuni possibili rischi per la sicurezza:

• Protezione di sicurezza incompleta. Non è stato configurato un mesh di servizi con criteri di autenticazione e autorizzazione per proteggerne la sicurezza. Ad esempio, non sono definiti criteri di autenticazione o autorizzazione per i servizi in un mesh.
• Eccezioni ai criteri di sicurezza. Per soddisfare i loro casi d'uso specifici, gli utenti possono creare eccezioni ai criteri di sicurezza per escludere determinati tipi di traffico (interno o esterno) dai criteri di sicurezza di Cloud Service Mesh. A gestire questi casi in modo sicuro, consulta la sezione Gestire in modo sicuro le eccezioni ai criteri.
• Mancata attenzione agli upgrade delle immagini. Potrebbero essere scoperte le vulnerabilità delle immagini utilizzata in una mesh. Devi mantenere le immagini del componente mesh e del carico di lavoro con le ultime correzioni di vulnerabilità.
• Mancanza di manutenzione (nessuna competenza o risorsa). Il software mesh e le configurazioni dei criteri richiedono una manutenzione regolare i più recenti meccanismi di protezione della sicurezza.
• Mancanza di visibilità. Errori di configurazione o configurazioni non sicure del mesh e le operazioni/attività di rete mesh anormali non vengono l'attenzione degli amministratori della rete mesh.
• Spostamento della configurazione. La configurazione dei criteri in un mesh si discosta dalla fonte attendibile.

Misure per proteggere un mesh di servizi

Questa sezione presenta un manuale operativo per la protezione delle mesh di servizi.

Architettura di sicurezza

La sicurezza di un mesh di servizi dipende dalla sicurezza dei componenti a diversi livelli del sistema mesh e delle relative applicazioni. L'intenzione di alto livello della postura di sicurezza proposta di Cloud Service Mesh è proteggere un servizio mesh integrando più meccanismi di sicurezza a diversi livelli, che garantiscono congiuntamente la sicurezza complessiva del sistema in base al modello di sicurezza Zero Trust. Il seguente diagramma mostra la postura di sicurezza proposta di Cloud Service Mesh.

Cloud Service Mesh fornisce sicurezza a più livelli, tra cui:

• Sicurezza perimetrale mesh
  • La sicurezza di Cloud Service Mesh Ingress fornisce il controllo dell'accesso per il traffico esterno e protegge l'accesso esterno alle API esposte dai servizi nella rete mesh.
  • La sicurezza in uscita di Cloud Service Mesh regola il traffico in uscita dai carichi di lavoro interni.
  • L'autenticazione utente di Cloud Service Mesh si integra con l'infrastruttura di Google per autenticare le chiamate esterne dai browser web ai servizi che eseguono applicazioni web.
  • La gestione dei certificati dei gateway di Cloud Service Mesh protegge e ruota le chiavi private e i certificati X.509 utilizzati dai gateway di ingresso e di uscita di Cloud Service Mesh utilizzando Certificate Authority Service.
  • Cloud Armor può difendere gli attacchi DDoS (Distributed Denial-of-Service) e di livello 7 esterni. it funge da web application firewall (WAF) per proteggere il mesh di attacchi di rete. Ad esempio, iniezione ed esecuzione di codice in remoto attacchi informatici.
  • VPC e Controlli di servizio VPC proteggono il confine del mesh tramite i controlli di accesso alla rete privata.
• Sicurezza del cluster
  • Cloud Service Mesh TLS reciproco (mTLS) applica la crittografia e l'autenticazione del traffico da carico di lavoro a carico di lavoro.
  • CA gestita, come l'autorità di certificazione Cloud Service Mesh e Certificate Authority Service, esegue il provisioning e la gestione dei certificati utilizzati in modo sicuro dai carichi di lavoro.
  • L'autorizzazione Cloud Service Mesh applica il controllo dell'accesso per i servizi mesh in base alle loro identità e ad altri attributi.
  • La dashboard della sicurezza di GKE Enterprise fornisce il monitoraggio delle configurazioni dei criteri di sicurezza e dei criteri di rete Kubernetes per i carichi di lavoro.
  • Il criterio di rete di Kubernetes applica il controllo dell'accesso ai pod in base all'IP indirizzi IP, etichette pod, spazi dei nomi e altro ancora.
  • La sicurezza del piano di controllo protegge dagli attacchi al piano. Questa protezione impedisce agli utenti malintenzionati di modificare, sfruttare o perdita di dati dei servizi e della configurazione mesh.
• Sicurezza dei carichi di lavoro
  • Tieniti al passo con le release di sicurezza di Cloud Service Mesh per assicurarti che i binari di Cloud Service Mesh in esecuzione nel tuo mesh siano privi di vulnerabilità note pubblicamente.
  • Workload Identity Federation for GKE consente ai carichi di lavoro di ottenere le credenziali per chiamare in modo sicuro i servizi Google.
  • CNI (Container Network Interface) di Kubernetes impedisce gli attacchi di escalation dei privilegi eliminando la necessità di un contenitore di inizializzazione Cloud Service Mesh con privilegi.
• Sicurezza dell'operatore
  • Controllo dell'accesso basato su ruoli (RBAC) di Kubernetes limita l'accesso a le risorse Kubernetes e limita le autorizzazioni degli operatori per mitigare attacchi che hanno origine da operatori dannosi o impersonificazione degli operatori.
  • Policy Controller di GKE Enterprise convalida e controlla le configurazioni dei criteri nel mesh per evitare configurazioni errate.
  • Autorizzazione binaria Google Cloud garantisce che le immagini dei carichi di lavoro nel mesh siano quelle autorizzate per gli amministratori.
  • L'audit logging di Google Cloud controlla le operazioni della rete mesh.

Il diagramma seguente mostra i flussi di comunicazione e configurazione con le soluzioni di sicurezza integrate in Cloud Service Mesh.

Sicurezza del cluster

Attivare TLS reciproco rigoroso

Un attacco man in the middle (MitM) tenta di inserire un'entità dannosa tra due comunicano con le parti al fine di intercettare o manipolare la comunicazione. Cloud Service Mesh si difende dagli attacchi MitM ed esfiltrazione di dati applicazione forzata Autenticazione e crittografia mTLS per tutte le parti comunicative. La modalità permissiva utilizza mTLS quando entrambi i lati supportano ma consente connessioni senza mTLS. Al contrario, la modalità mTLS restrittiva richiede il traffico deve essere criptato e autenticato con mTLS e non consente il testo normale per via del traffico.

Cloud Service Mesh ti consente di configurare la versione TLS minima per le connessioni TLS tra i tuoi carichi di lavoro per soddisfare i tuoi requisiti di sicurezza e conformità.

Per ulteriori informazioni, consulta Cloud Service Mesh tramite esempi: mTLS | Applicazione di mTLS a livello di mesh.

Attiva i controlli dell'accesso

I criteri di sicurezza di Cloud Service Mesh (ad esempio i criteri di autenticazione e autorizzazione) devono essere applicati a tutto il traffico in entrata e in uscita dal mesh, a meno che non esistano motivazioni valide per escludere un servizio o un pod dai criteri di sicurezza di Cloud Service Mesh. In alcuni casi, gli utenti potrebbero avere motivi legittimi per eludere Criteri di sicurezza di Cloud Service Mesh per alcune porte e intervalli IP. Per per stabilire connessioni native con servizi non gestiti Cloud Service Mesh. Per proteggere Cloud Service Mesh in questi casi d'uso, consulta gli Gestisci in modo sicuro le eccezioni ai criteri di Cloud Service Mesh.

Il controllo dell'accesso ai servizi è fondamentale per impedire l'accesso non autorizzato i servizi di machine learning. L'applicazione forzata di mTLS cripta e autentica una richiesta, ma la rete mesh esigenze Criteri di autorizzazione di Cloud Service Mesh per applicare il controllo dell'accesso ai servizi. Ad esempio, il rifiuto di una richiesta non autorizzata proveniente da un client autenticato.

I criteri di autorizzazione di Cloud Service Mesh offrono un modo flessibile per configurare e controlli dell'accesso per difendere i servizi dagli accessi non autorizzati. I criteri di autorizzazione di Cloud Service Mesh devono essere applicati in base al identità autenticate derivate dai risultati dell'autenticazione (mTLS o JSON) Le autenticazioni basate su token web (JWT) devono essere utilizzate insieme come parte Criteri di autorizzazione di Cloud Service Mesh.

Applica i criteri di autenticazione di Cloud Service Mesh

JSON Web Token (JWT)

Oltre all'autenticazione mTLS, gli amministratori del mesh possono richiedere un servizio per autenticare e autorizzare le richieste in base al JWT. Cloud Service Mesh non funge da provider JWT, ma autentica i JWT in base agli endpoint del set di chiavi web JSON (JWKS) configurati. L'autenticazione JWT può essere applicata ai gateway di ingresso per il traffico esterno o ai servizi interni per il traffico in-mesh. L'autenticazione JWT può essere combinata con l'autenticazione mTLS quando un JWT viene utilizzato come credenziale per rappresentare il chiamante finale e richiede la prova che venga chiamato per conto del chiamante finale. L'applicazione dell'autenticazione JWT protegge dagli attacchi che accedono a un servizio senza credenziali valide e per conto di un utente finale reale.

Autenticazione degli utenti Cloud Service Mesh

Autenticazione degli utenti Cloud Service Mesh è una soluzione integrata per l'autenticazione e l'accesso degli utenti finali basati su browser dei carichi di lavoro. Integra un mesh di servizi con i provider di identità (IdP) esistenti per implementare un flusso di accesso e consenso OpenID Connect (OIDC) web standard e utilizza i criteri di autorizzazione di Cloud Service Mesh per il controllo dell'accesso.

Applicare i criteri di autorizzazione

I criteri di autorizzazione di Cloud Service Mesh controllano:

• Chi o cosa è autorizzato ad accedere a un servizio.
• Risorse a cui è possibile accedere.
• Quali operazioni possono essere eseguite sulle risorse consentite.

I criteri di autorizzazione sono un modo versatile per configurare il controllo dell'accesso in base le identità effettive con cui vengono eseguiti i servizi, livello di applicazione (livello 7) le proprietà del traffico (ad esempio le intestazioni delle richieste) e il livello di rete (livello 3) e livello 4) come gli intervalli IP e le porte.

I criteri di autorizzazione di Cloud Service Mesh devono essere applicati in base alle identità autenticate ricavate dai risultati dell'autenticazione per proteggersi dall'accesso non autorizzato a servizi o dati.

Per impostazione predefinita, l'accesso a un servizio dovrebbe essere negato a meno che non venga stabilito un criterio di autorizzazione per consentire l'accesso al servizio. Consulta: Best practice per i criteri di autorizzazione per esempi di criteri di autorizzazione che negano le richieste di accesso.

I criteri di autorizzazione devono limitare la fiducia il più possibile. Ad esempio: l'accesso a un servizio può essere definito in base ai singoli percorsi dell'URL esposti in modo che solo un servizio A possa accedere al percorso /admin di un servizio B.

I criteri di autorizzazione possono essere utilizzati insieme Criteri di rete di Kubernetes, che operano esclusivamente a livello di rete (livello 3 e 4) e che controllano accesso di rete per indirizzi IP e porte sui pod Kubernetes e Kubernetes spazi dei nomi.

Imporre lo scambio di token per l'accesso ai servizi mesh

Per difendersi dagli attacchi di replay dei token che rubano i token e li riutilizzano per accedere ai servizi del mesh, un token in una richiesta dall'esterno del mesh deve essere scambiato con un token interno al mesh di breve durata all'estremità del mesh.

Una richiesta dall'esterno del mesh per accedere a un servizio mesh deve includere un token, ad esempio JWT o cookie, per essere autenticata e autorizzata dal servizio mesh. Un token esterno al mesh può avere una lunga durata. Per difendersi dagli attacchi di ripetizione dei token, un token esterno al mesh deve essere scambiato con un token interno al mesh di breve durata con un ambito limitato all'ingresso del mesh. Il servizio mesh autentica un token interno mesh e autorizza l'accesso. basata sul token interno alla rete mesh.

Passaggi successivi

• Rivedi le best practice per l'utilizzo dei gateway in uscita Cloud Service Mesh sui cluster GKE
• Configurare la sicurezza del trasporto
• Aggiornare i criteri di autorizzazione