Panoramica della sicurezza di Cloud Service Mesh
La sicurezza di Cloud Service Mesh con le API Istio ti aiuta a mitigare le minacce interne e a ridurre il rischio di una violazione dei dati garantendo che tutte le comunicazioni tra i carichi di lavoro siano crittografate, reciprocamente autenticate e autorizzate.
Tradizionalmente, la micro-segmentazione che utilizza regole basate sull'IP è stata utilizzata per a mitigare i rischi legati agli addetti ai lavori. Tuttavia, l'adozione di container, servizi e distribuiti, distribuiti su più cloud, fa sì che questo e un approccio più complesso da configurare e da mantenere.
Con Cloud Service Mesh, puoi configurare un livello di servizio sensibile al contesto e richiedere una sicurezza di rete sensibile al contesto che sia della sicurezza della rete sottostante. Per questo motivo, Cloud Service Mesh ti consente di adottare una postura di difesa in profondità in modo coerente con i principi di sicurezza Zero Trust. Ti permette di raggiungere questo obiettivo la postura tramite criteri dichiarativi e senza modificare il codice dell'applicazione.
TLS reciproco
Cloud Service Mesh utilizza il protocollo TLS reciproca (mTLS) per l'autenticazione peer. L'autenticazione si riferisce all'identità: chi è questo servizio? chi è questo utente finale? e posso fidarmi del fatto che sono chi dicono di essere?
mTLS consente ai carichi di lavoro di verificare le identità reciproche di autenticarsi reciprocamente. Forse hai già familiarità con il linguaggio TLS semplice, grazie alla sua per consentire ai browser di considerare attendibili i server web e criptare i dati che viene scambiato. Quando si utilizza TLS semplice, il client stabilisce che il server può essere considerata attendibile convalidando il certificato. mTLS è un'implementazione di TLS in cui sia il client che il server presentano certificati l'uno all'altro e verificano l'identità degli altri.
mTLS è il mezzo con cui Cloud Service Mesh implementa sia l'autenticazione sia la crittografia tra i servizi.
In Cloud Service Mesh, mTLS automatico è abilitato per impostazione predefinita. Con mTLS automatico, un proxy sidecar client rileva automaticamente se il server ha un sidecar. La il lato client invia mTLS ai carichi di lavoro con file collaterali e invia testo normale ai carichi di lavoro senza sidecar. Tuttavia, tieni presente che i servizi accettano sia il testo normale che Traffico mTLS. Per proteggere il tuo mesh di servizi, ti consigliamo di eseguire la migrazione per accettare solo traffico mTLS.
Per saperne di più sull'applicazione forzata solo di mTLS, consulta Cloud Service Mesh tramite esempi: mTLS.
Vantaggi per la sicurezza
Cloud Service Mesh offre i seguenti vantaggi in termini di sicurezza:
Riduce il rischio di attacchi di ripetizione o di impersonificazione che utilizzano il furto e credenziali. Cloud Service Mesh utilizza certificati mTLS per di autenticare i peer, anziché i token di connessione come JSON Web Tokens (JWT). Poiché i certificati mTLS sono associati al canale TLS, non è possibile a un'entità nel tuo ambiente di produzione per impersonare un'altra riproduzione del token di autenticazione senza accesso alle chiavi private.
Garantisce la crittografia in transito. L'utilizzo di mTLS per l'autenticazione garantisce inoltre che tutte le comunicazioni TCP siano criptate in transito.
Garantisce che solo i client autorizzati possano accedere a un servizio con dati sensibili. Solo i clienti autorizzati possono accedere a un servizio con dati sensibili indipendentemente dalla località di rete del client e a livello di applicazione e credenziali. Puoi specificare che solo i clienti con servizio autorizzato di identità o negli spazi dei nomi Kubernetes autorizzati. Puoi anche utilizzare i criteri di accesso basati su IP per concedere l'accesso ai client di cui è stato eseguito il deployment al di fuori del mesh.
Riduce il rischio di violazione dei dati utente all'interno della rete di produzione. Tu garantire che gli addetti ai lavori possano accedere ai dati sensibili solo tramite clienti. Inoltre, puoi fare in modo che determinati clienti possano accedere solo ai dati utente se il client può presentare un token utente valido e di breve durata. Questo riduce il rischio che la compromissione di una singola credenziale client concedere a un utente malintenzionato l'accesso a tutti i dati utente.
Identifica i client che hanno eseguito l'accesso a un servizio con dati sensibili. Il logging degli accessi di Cloud Service Mesh acquisisce l'identità mTLS questo client oltre all'indirizzo IP. In questo modo, puoi capire quale carico di lavoro ha eseguito l'accesso a un servizio anche se il carico di lavoro è temporaneo e dinamico di cui è stato eseguito il deployment e in un cluster o una rete Virtual Private Cloud (VPC) differente.
Funzionalità
Questa sezione descrive le funzionalità fornite da Cloud Service Mesh per realizzare i suoi vantaggi in termini di sicurezza.
Rotazione automatica del certificato e della chiave
L'uso di mTLS basato sulle identità di servizio consente di criptare tutti i TCP comunicazioni e fornisce una credenziale più sicura e non riproducibile per l'accesso controllo. Una delle principali sfide dell'utilizzo di mTLS su larga scala è la gestione delle chiavi e dei certificati per tutti i carichi di lavoro target. Cloud Service Mesh si occupa a rotazione di chiavi e certificati mTLS per i carichi di lavoro mesh senza interrompere le comunicazioni. È possibile configurare intervalli più piccoli di aggiornamento dei certificati e ridurre i rischi.
L'autorità di certificazione Cloud Service Mesh
Cloud Service Mesh include una rete privata gestita multiregionale un'autorità di certificazione, l'autorità di certificazione Cloud Service Mesh, per il rilascio di certificati per mTLS. L'autorità di certificazione Cloud Service Mesh è un servizio altamente affidabile e scalabile che è ottimizzato per carichi di lavoro con scalabilità dinamica su una piattaforma cloud. Con dell'autorità di certificazione Cloud Service Mesh, Google gestisce la sicurezza e la disponibilità Backend CA. L'autorità di certificazione Cloud Service Mesh ti consente di fare affidamento su un'unica radice di attendibilità tra i cluster. Quando utilizzi l'autorità di certificazione Cloud Service Mesh, puoi fare affidamento sul carico di lavoro per fornire un isolamento granulare. Per impostazione predefinita, ha esito negativo se il client e il server non si trovano nello stesso pool di identità per i carichi di lavoro.
I certificati dell'autorità di certificazione Cloud Service Mesh includono i seguenti dati sui servizi della tua applicazione:
- ID del progetto Google Cloud
- Lo spazio dei nomi GKE
- Il nome dell'account di servizio GKE
Certificate Authority Service
In alternativa all'autorità di certificazione Cloud Service Mesh, puoi configurare Cloud Service Mesh per utilizzare Certificate Authority Service, che è adatto per i seguenti casi d'uso:
- Se sono necessarie autorità di certificazione diverse su cui firmare i certificati dei carichi di lavoro in diversi cluster.
- Se devi eseguire il backup delle chiavi di firma in un HSM gestito.
- Se operi in un settore altamente regolamentato e sei soggetto a conformità.
- Se vuoi collegare la CA Cloud Service Mesh a un certificato radice aziendale personalizzato per firmare i certificati del carico di lavoro.
Il costo dell'autorità di certificazione Cloud Service Mesh è incluso nella Prezzi di Cloud Service Mesh. Il costo di CA Service non è incluso nel prezzo base di Cloud Service Mesh e viene addebitato separatamente. Inoltre, CA Service prevede uno SLA (accordo sul livello del servizio) al contrario dell'autorità di certificazione Cloud Service Mesh.
Per questa integrazione, a tutti i carichi di lavoro in Cloud Service Mesh vengono concessi due ruoli IAM:
Criteri di controllo dell'accesso sensibile all'identità (firewall)
Con Cloud Service Mesh, puoi configurare criteri di sicurezza di rete basati sull'identità mTLS rispetto all'indirizzo IP del peer. Ciò consente crei criteri indipendenti dalla località di rete del carico di lavoro. Sono supportate solo le comunicazioni tra cluster nello stesso progetto Google Cloud.
Richiedi criteri di controllo dell'accesso (firewall) basati su rivendicazioni
Oltre all'identità mTLS, puoi concedere l'accesso in base alle rivendicazioni delle richieste nell'intestazione JWT delle richieste HTTP o gRPC. Cloud Service Mesh ti consente affermare che un JWT è firmato da un'entità attendibile. Ciò significa che puoi configurare criteri che consentano l'accesso da determinati client solo se esiste una rivendicazione della richiesta o corrisponde a un valore specificato.
Autenticazione degli utenti con Identity-Aware Proxy
Autentichi gli utenti che accedono a qualsiasi servizio esposto su una il gateway in entrata Cloud Service Mesh utilizzando Identity-Aware Proxy (IAP). IAP può autenticare gli utenti che accedono da un browser, si integrano con provider di identità personalizzati, ed emettere un token JWT di breve durata o un RCToken che può essere utilizzato per concedere l'accesso al gateway in entrata o a un servizio downstream (utilizzando una side-car). Per saperne di più, consulta Integrazione di IAP con Cloud Service Mesh.
Autenticazione degli utenti con il provider di identità esistente
Puoi integrare il tuo provider di identità esistente con Cloud Service Mesh per fornire l'autenticazione e il controllo dell'accesso degli utenti finali basati su browser ai carichi di lavoro di cui è stato eseguito il deployment. Per ulteriori informazioni, vedi Configurare l'autenticazione utente di Cloud Service Mesh.
Accesso a logging e monitoraggio
Cloud Service Mesh garantisce che i log e le metriche degli accessi siano disponibili Google Cloud Observability e fornisce una dashboard integrata per comprendere i pattern di accesso di un servizio o di un carico di lavoro in base a questi dati.
Conforme a FIPS
Il componente del piano dati utilizza Crittografia convalidata FIPS 140-2 moduli.
Limitazioni
La sicurezza di Cloud Service Mesh presenta le seguenti limitazioni:
- L'autenticazione utente che utilizza IAP richiede che un servizio sia pubblicato su internet. IAP e Cloud Service Mesh ti consentono di configurare criteri che possono limitare l'accesso a utenti e clienti autorizzati in un intervallo IP consentito. Se scegli di esporre il servizio solo ai client all'interno della stessa rete, devi configurare un motore di criteri personalizzato per l'autenticazione degli utenti e l'emissione di token.
Passaggi successivi
- Best practice per la sicurezza di Cloud Service Mesh
- Configurare la sicurezza del trasporto
- Aggiornare i criteri di autorizzazione