Ringkasan keamanan Anthos Service Mesh

Keamanan Anthos Service Mesh membantu Anda memitigasi ancaman orang dalam dan mengurangi risiko pelanggaran data dengan memastikan bahwa semua komunikasi antar-workload dienkripsi, diautentikasi bersama, dan diizinkan.

Secara tradisional, segmentasi mikro yang menggunakan aturan berbasis IP telah digunakan untuk memitigasi risiko orang dalam. Namun, adopsi container, layanan bersama, dan lingkungan produksi terdistribusi yang tersebar di beberapa cloud membuat pendekatan ini lebih sulit untuk dikonfigurasi dan bahkan lebih sulit dikelola.

Dengan Anthos Service Mesh, Anda dapat mengonfigurasi lapisan peka konteks layanan dan meminta keamanan jaringan kontekstual yang tidak bergantung pada keamanan jaringan yang mendasarinya. Oleh karena itu, Anthos Service Mesh memungkinkan Anda mengadopsi postur defense in depth yang konsisten dengan prinsip keamanan Zero Trust. Memungkinkan Anda mencapai postur ini melalui kebijakan deklaratif dan tanpa mengubah kode aplikasi apa pun.

TLS bersama

Anthos Service Mesh menggunakan TLSal (mTLS) untuk autentikasi peer. mTLS memungkinkan workload saling memverifikasi identitas, mengautentikasi, dan saling memberi otorisasi. Anda mungkin sudah terbiasa dengan TLS sederhana melalui penggunaannya di HTTPS untuk memungkinkan browser memercayai server web dan mengenkripsi data yang dipertukarkan. Ketika TLS sederhana digunakan, klien akan menetapkan bahwa server dapat dipercaya dengan memvalidasi sertifikatnya. mTLS adalah implementasi TLS yang memungkinkan klien dan server memberikan sertifikat satu sama lain dan memverifikasi identitas masing-masing.

mTLS adalah cara yang digunakan Anthos Service Mesh untuk menerapkan autentikasi dan enkripsi antarlayanan.

Manfaat keamanan

Anthos Service Mesh memberikan manfaat keamanan berikut:

  • Memitigasi risiko serangan replay atau peniruan identitas yang menggunakan kredensial yang dicuri. Anthos Service Mesh mengandalkan sertifikat mTLS untuk mengautentikasi peer, bukan token pemilik seperti token JWT. Karena sertifikat mTLS terikat dengan saluran TLS, entitas dalam lingkungan produksi Anda tidak dapat meniru identitas lain hanya dengan memutar ulang token autentikasi tanpa akses ke kunci pribadi.

  • Memastikan enkripsi saat transit. Menggunakan mTLS untuk autentikasi juga memastikan bahwa semua komunikasi TCP dienkripsi saat dalam pengiriman.

  • Memastikan hanya klien yang diotorisasi yang dapat mengakses layanan dengan data sensitif. Hanya klien yang diotorisasi yang dapat mengakses layanan dengan data sensitif, terlepas dari lokasi jaringan klien dan kredensial tingkat aplikasi. Anda dapat menentukan bahwa suatu layanan hanya dapat diakses oleh klien dengan identitas layanan resmi atau dengan namespace Kubernetes resmi. Anda juga dapat menggunakan kebijakan akses berbasis IP untuk memberikan akses kepada klien yang di-deploy di luar lingkungan GKE Enterprise.

  • Memitigasi risiko pelanggaran data pengguna dalam jaringan produksi Anda. Anda dapat memastikan bahwa orang dalam hanya dapat mengakses data sensitif melalui klien yang diotorisasi. Selain itu, Anda dapat memastikan bahwa klien tertentu hanya bisa mendapatkan akses ke data pengguna jika klien tersebut dapat memberikan token pengguna yang valid dan berumur pendek. Hal ini mengurangi risiko penyusupan satu kredensial klien kepada penyerang ke semua data pengguna.

  • Mengidentifikasi klien mana yang mengakses layanan dengan data sensitif. Logging akses Anthos Service Mesh menangkap identitas mTLS klien selain alamat IP. Dengan demikian, Anda dapat dengan mudah memahami workload mana yang mengakses layanan meskipun beban kerja tersebut bersifat sementara dan di-deploy secara dinamis, serta di cluster atau jaringan Virtual Private Cloud (VPC) yang berbeda.

Fitur

Anthos Service Mesh menyediakan fitur berikut untuk mewujudkan manfaat keamanannya:

  • Rotasi sertifikat dan kunci otomatis. Penggunaan mTLS berdasarkan identitas layanan memungkinkan Anda mengenkripsi semua komunikasi TCP dan memberikan kredensial yang lebih aman dan tidak dapat diputar ulang untuk kontrol akses. Salah satu tantangan utama menggunakan mTLS dalam skala besar adalah mengelola kunci dan sertifikat untuk semua workload target. Anthos Service Mesh mengelola rotasi kunci dan sertifikat mTLS untuk workload GKE Enterprise tanpa mengganggu komunikasi. Hal ini memungkinkan Anda mengonfigurasi interval pembatalan validasi yang lebih kecil, sehingga makin mengurangi risiko.

  • Certificate authority pribadi terkelola (Mesh CA). Anthos Service Mesh menyertakan certificate authority multi-regional yang dikelola Google, Mesh CA, untuk menerbitkan sertifikat untuk mTLS. Mesh CA adalah layanan yang sangat andal dan skalabel yang dioptimalkan untuk workload yang diskalakan secara dinamis pada platform cloud. Dengan Mesh CA, Google mengelola keamanan dan ketersediaan backend CA. Mesh CA memungkinkan Anda mengandalkan satu root kepercayaan di seluruh cluster GKE Enterprise. Saat menggunakan Mesh CA, Anda dapat mengandalkan kumpulan identitas workload untuk menyediakan isolasi yang terperinci. Secara default, autentikasi akan gagal jika klien dan server tidak berada dalam kumpulan workload identity yang sama.

    Sertifikat dari Mesh CA menyertakan data berikut tentang layanan aplikasi Anda:

    • Project ID Google Cloud
    • Namespace GKE
    • Nama akun layanan GKE
  • Kebijakan kontrol akses berbasis identitas (firewall). Dengan Anthos Service Mesh, Anda dapat mengonfigurasi kebijakan keamanan jaringan yang didasarkan pada identitas mTLS versus alamat IP peer. Hal ini memungkinkan Anda membuat kebijakan yang terpisah dari lokasi jaringan beban kerja. Hanya komunikasi lintas cluster dalam project Google Cloud yang sama yang saat ini didukung.

  • Minta kebijakan kontrol akses yang peka klaim (firewall). Selain identitas mTLS, Anda dapat memberikan akses berdasarkan klaim permintaan di header JWT dari permintaan HTTP atau gRPC. Anthos Service Mesh memungkinkan Anda menegaskan bahwa JWT ditandatangani oleh entity tepercaya. Artinya, Anda dapat mengonfigurasi kebijakan yang mengizinkan akses dari klien tertentu hanya jika klaim permintaan ada atau cocok dengan nilai yang ditentukan.

  • Autentikasi pengguna dengan Identity-Aware Proxy. Anda mengautentikasi pengguna yang mengakses layanan apa pun yang terekspos pada gateway ingress Anthos Service Mesh menggunakan Identity-Aware Proxy (IAP). IAP dapat mengautentikasi pengguna yang login dari browser, berintegrasi dengan penyedia identitas kustom, dan mengeluarkan token JWT berumur pendek atau RCToken yang kemudian dapat digunakan untuk memberikan akses di gateway Ingress atau layanan downstream (dengan menggunakan side-car).

  • Mengakses logging dan pemantauan. Anthos Service Mesh memastikan bahwa log dan metrik akses tersedia di Kemampuan Observasi Google Cloud, dan menyediakan dasbor terintegrasi untuk memahami pola akses layanan atau workload berdasarkan data ini. Anda juga dapat memilih untuk mengonfigurasi tujuan pribadi. Anthos Service Mesh memungkinkan Anda mengurangi derau dalam log akses dengan hanya mencatat akses yang berhasil ke dalam log satu kali dalam jangka waktu yang dapat dikonfigurasi. Permintaan yang ditolak oleh kebijakan keamanan atau mengakibatkan error selalu dicatat dalam log. Hal ini memungkinkan Anda mengurangi biaya yang terkait dengan penyerapan, penyimpanan, dan pemrosesan log secara signifikan, tanpa kehilangan sinyal keamanan utama.

Batasan

Keamanan Anthos Service Mesh saat ini memiliki batasan berikut:

  • Mesh CA hanya didukung di GKE.

  • Autentikasi pengguna yang menggunakan IAP mengharuskan layanan dipublikasikan ke internet. Dengan IAP dan Anthos Service Mesh, Anda dapat mengonfigurasi kebijakan yang dapat membatasi akses ke pengguna dan klien yang diizinkan dalam rentang IP yang diizinkan. Jika memilih untuk hanya mengekspos layanan ke klien dalam jaringan yang sama, Anda perlu mengonfigurasi mesin kebijakan kustom untuk autentikasi pengguna dan penerbitan token.

Langkah selanjutnya