Anthos Service Mesh 1.4 ist abgelaufen und wird nicht mehr unterstützt. Informationen zum Upgrade finden Sie unter Upgrade von früheren Versionen. Lesen Sie die aktuelle Dokumentation oder wählen Sie eine andere Version aus:

Übersicht über die Sicherheit von Anthos Service Mesh

Die Sicherheit von Anthos Service Mesh hilft Ihnen, Insider-Bedrohungen abzuschwächen und das Risiko einer Datenpanne zu verringern, indem sichergestellt wird, dass die gesamte Kommunikation zwischen Arbeitslasten verschlüsselt ist, sich gegenseitig authentifiziert und autorisiert.

Bisher wurde die Mikrosegmentierung mit IP-basierten Regeln genutzt, um das Risiko der Datenweitergabe durch Insider zu verringern. Durch die Einführung von Containern, gemeinsam genutzten Diensten und verteilten Produktionsumgebungen über mehrere Clouds hinweg ist dieser Ansatz jedoch schwieriger zu konfigurieren und noch schwieriger zu pflegen.

Mit Anthos Service Mesh können Sie eine dienstkontextsensitive und anfragekontextsensitive Netzwerksicherheitsebene konfigurieren, die von der Sicherheit des zugrunde liegenden Netzwerks unabhängig ist. Aus diesem Grund können Sie mit Anthos Service Mesh eine gestaffelte Sicherheitsebene anwenden, die den Zero Trust-Sicherheitsgrundsätzen entspricht. Auf diese Weise können Sie diesen Sicherheitsstatus durch deklarative Richtlinien erreichen, ohne den Anwendungscode zu ändern.

Sicherheitsvorteile

Anthos Service Mesh bietet die folgenden Sicherheitsvorteile:

  • Verminderung des Risikos von Replay- oder Imitationsangriffen, bei denen gestohlene Anmeldedaten verwendet werden. Anthos Service Mesh benötigt mTLS-Zertifikate, um Peers zu authentifizieren, anstelle von Inhabertokens wie JWT-Tokens. Da mTLS-Zertifikate an den TLS-Kanal gebunden sind, kann eine Entität in Ihrer Produktionsumgebung nicht als eine andere Identität ausgegeben werden. Dazu wird einfach das Authentifizierungstoken ohne Zugriff auf die privaten Schlüssel ausgegeben.

  • Sicherstellen der Verschlüsselung während der Übertragung. Durch die Verwendung von mTLS für die Authentifizierung wird außerdem sichergestellt, dass alle TCP-Kommunikationen bei der Übertragung verschlüsselt werden.

  • Zugriff auf einen Dienst mit vertraulichen Daten nur durch autorisierte Clients. Nur autorisierte Clients können auf einen Dienst mit vertraulichen Daten zugreifen, unabhängig vom Netzwerkstandort des Clients und den Anmeldedaten auf Anwendungsebene. Sie können angeben, dass nur Clients mit autorisierten Dienstidentitäten oder in autorisierten Kubernetes-Namespaces auf einen Dienst zugreifen können. Sie können mit IP-basierten Zugriffsrichtlinien auch Zugriff für Clients gewähren, die außerhalb der Anthos-Umgebung bereitgestellt werden.

  • Verminderung des Risikos von Verstößen gegen Nutzerdaten in Ihrem Produktionsnetzwerk. Sie können gewährleisten, dass Insider nur über autorisierte Clients auf vertrauliche Daten zugreifen können. Darüber hinaus können Sie dafür sorgen, dass bestimmte Clients nur dann Zugriff auf Nutzerdaten erhalten, wenn der Client ein gültiges und vorübergehendes Nutzer-Token vorweisen kann. Dadurch wird das Risiko minimiert, dass der Zugriff auf die Anmeldedaten eines einzigen Clients einem Angreifer Zugriff auf alle Nutzerdaten ermöglicht.

  • Identifikation von Clients, die auf einen Dienst mit vertraulichen Daten zugegriffen haben. Das Zugriffs-Logging von Anthos Service Mesh erfasst zusätzlich zur IP-Adresse die mTLS-Identität des Clients. Dadurch können Sie problemlos erkennen, welche Arbeitslast auf einen Dienst zugegriffen hat, auch wenn die Arbeitslast sitzungsspezifisch und dynamisch und in einem anderen Cluster oder VPC-Netzwerk (Virtual Private Cloud) bereitgestellt wird.

Funktionen

Anthos Service Mesh bietet die folgenden Funktionen, um die Sicherheitsvorteile zu nutzen:

  • Automatische Zertifikate und Schlüsselrotation Die Verwendung von mTLS auf Basis von Dienstidentitäten ermöglicht die Verschlüsselung der gesamten TCP-Kommunikation und bietet sicherere, nicht wiederholbare Anmeldedaten für die Zugriffssteuerung. Eine der größten Herausforderungen bei der umfangreichen Nutzung von mTLS ist die Verwaltung der Schlüssel und Zertifikate für alle Zielarbeitslasten. Anthos Service Mesh verwaltet die Rotation von mTLS-Schlüsseln und -Zertifikaten für Anthos-Arbeitslasten ohne Unterbrechung der Kommunikation. Auf diese Weise können Sie kleinere Entwertungsintervalle konfigurieren und so das Risiko weiter begrenzen.

  • Verwaltete private Zertifizierungsstelle (Mesh CA) Anthos Service Mesh enthält eine von Google verwaltete, multiregionale private Zertifizierungsstelle, Mesh CA, um Zertifikate für mTLS zu erstellen. Mesh CA ist ein sehr zuverlässiger und skalierbarer Dienst, der für dynamisch skalierte Arbeitslasten in einer Cloud-Plattform optimiert ist. Mit Mesh CA verwaltet Google die Sicherheit und Verfügbarkeit des CA-Back-Ends. Mesh CA ermöglicht es Ihnen, sich für alle Cluster auf eine einzige Root of Trust zu verlassen. Bei Verwendung von Mesh CA können Sie sich auf Workload Identity-Pools stützen, um eine grobe Isolation zu ermöglichen. Die Authentifizierung schlägt standardmäßig fehl, wenn sich Client und Server nicht im selben Workload Identity-Pool befinden.

    Zertifikate der Mesh CA enthalten die folgenden Daten zu den Diensten Ihrer Anwendung:

    • Die Google Cloud-Projekt-ID
    • Der GKE-Namespace
    • Der Name des GKE-Dienstkontos
  • Richtlinien für identitätssensitive Zugriffssteuerung (Firewall) Mit Anthos Service Mesh können Sie Netzwerksicherheitsrichtlinien konfigurieren, die auf der mTLS-Identität im Vergleich zur IP-Adresse des Peers beruhen. Auf diese Weise können Sie Richtlinien erstellen, die unabhängig vom Netzwerkstandort der Arbeitslast sind. Derzeit wird nur die Kommunikation zwischen Clustern im selben Google Cloud-Projekt unterstützt.

  • Richtlinien für anforderungssensitive Zugriffssteuerung (Firewall) Zusätzlich zur mTLS-Identität können Sie den Zugriff auf Basis der Anforderungen im JWT-Header von HTTP- oder gRPC-Anfragen gewähren. Mit Anthos Service Mesh können Sie feststellen, ob ein JWT von einer vertrauenswürdigen Entität signiert wurde. Das bedeutet, dass Sie Richtlinien konfigurieren können, die den Zugriff von bestimmten Clients nur dann zulassen, wenn eine Anforderung vorhanden ist oder einem bestimmten Wert entspricht.

  • Nutzerauthentifizierung mit Identity-Aware Proxy Sie authentifizieren Nutzer, die auf Dienste zugreifen, die in einem Anthos Service Mesh-Ingress-Gateway verfügbar sind, mit einem Identity-Aware Proxy (IAP). IAP kann Nutzer authentifizieren, die sich über einen Browser anmelden, sich in benutzerdefinierte Identitätsanbieter einbinden und ein kurzlebiges JWT-Token oder RCToken ausstellen, das verwendet werden kann, um den Zugriff auf das Ingress-Gateway oder einen nachgelagerten Dienst (mithilfe eines Sidecars) zu gewähren.

  • Zugriffs-Logging und -Monitoring: Anthos Service Mesh gewährleistet, dass Zugriffslogs und Messwerte in der Operations-Suite von Google Cloud verfügbar sind und bietet ein integriertes Dashboard, um die Zugriffsmuster auf einen Dienst oder eine Arbeitslast auf Basis dieser Daten zu verstehen. Sie können auch ein privates Ziel konfigurieren. Mit Anthos Service Mesh können Sie die Ausgabe falscher positiver Ergebnisse in Zugriffslogs reduzieren, indem Sie erfolgreiche Zugriffe nur einmal in einem konfigurierbaren Zeitfenster protokollieren. Anfragen, die von einer Sicherheitsrichtlinie abgelehnt werden oder zu einem Fehler führen, werden immer protokolliert. Dadurch können Sie die Kosten für die Aufnahme, Speicherung und Verarbeitung von Logs erheblich reduzieren, ohne dass wichtige Sicherheitssignale verloren gehen.

Beschränkungen

Die Sicherheit von Anthos Service Mesh unterliegt derzeit den folgenden Einschränkungen:

  • Für die mTLS-Authentifizierung wird nur ein einzelner Cluster unterstützt. Die clusterübergreifende mTLS-Authentifizierung wird dagegen nicht unterstützt. Für die cluster- und VPC-übergreifende Kommunikation empfehlen wir das Verwenden eines Ingress-Gateways und von Standard-TLS.

  • Die Mesh-Zertifizierungsstelle wird nur für Anthos-Bereitstellungen in Google Cloud unterstützt.

  • Für die Nutzerauthentifizierung, die IAP verwendet, muss ein Dienst im Internet veröffentlicht werden. Mit IAP und Anthos Service Mesh können Sie Richtlinien konfigurieren, die den Zugriff auf autorisierte Nutzer und Clients innerhalb eines IP-Bereichs auf einer Zulassungsliste beschränkt. Wenn Sie den Dienst nur für Clients innerhalb desselben Netzwerks freigeben möchten, müssen Sie eine benutzerdefinierte Richtlinien-Engine für die Nutzerauthentifizierung und die Ausstellung von Tokens konfigurieren.

Nächste Schritte