Untuk menerapkan kontrol akses yang tepat terhadap layanan, Anda dapat mengonfigurasi daftar hitam atau daftar putih dalam kebijakan keamanan Service Mesh (ASM). Daftar hitam dan daftar putih merupakan mekanisme otorisasi umum yang masing-masing melarang atau mengizinkan permintaan tertentu untuk mengakses aplikasi. ASM memungkinkan Anda mengonfigurasi daftar hitam dan daftar putih guna mengontrol lalu lintas timur-barat dan lalu lintas utara-selatan berdasarkan berbagai dimensi, seperti alamat IP, nama domain HTTP, dan port, sehingga menjamin keamanan aplikasi dalam ASM. Topik ini menjelaskan cara mengonfigurasi daftar hitam untuk lalu lintas timur-barat dalam kebijakan keamanan ASM.
Prasyarat
Gerbang masuk telah dideploy, dan alamat IP gerbang masuk telah diperoleh. Untuk informasi selengkapnya, lihat Buat gerbang masuk.
Aplikasi telah dideploy di kluster yang ditambahkan ke instans ASM.
Gateway Istio dan layanan virtual telah dibuat. http://${IP address of the ingress gateway}/productpage dapat diakses. Untuk informasi selengkapnya, lihat Langkah 1 hingga Langkah 3 dalam Gunakan resource Istio untuk mengarahkan traffic ke versi layanan yang berbeda.
Prosedur
-
Masuk ke Konsol ASM. Di panel navigasi kiri, pilih .
-
Pada halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih .
-
Pada halaman ASMSecurityPolicy, klik Create. Pada kotak dialog Create ASMSecurityPolicy, klik Black/White List, lalu klik OK.
-
Pada langkah Workload and Match Rules pada wizard konfigurasi, atur parameter dan klik Submit.
Parameter
Deskripsi
ASMSecurityPolicyName
Tetapkan nama menjadi test.
Workload List
-
Klik Add Workload.
-
Pada kotak dialog Add Workload, centang kotak Workload Scope. Atur Namespaces menjadi default dan Workload Type menjadi Service.
-
Pada bagian Select workloads, pilih productpage, klik ikon
untuk menambahkan workload yang dipilih ke bagian selected, lalu klik OK.
Match Rule List
Atur Match Mode menjadi Black List, aktifkan sakelar Port, dan masukkan 9080. Konfigurasi ini menolak semua permintaan ke port 9080 pada Pod productpage.
Setelah kebijakan dibuat, wizard konfigurasi akan menampilkan pesan ASM security policy created successfully pada langkah Complete. Anda dapat mengklik View YAML untuk melihat file YAML resource atau mengklik Complete untuk kembali ke halaman ASMSecurityPolicy dan melihat kebijakan keamanan baru tersebut.
-
-
Jalankan perintah berikut untuk memeriksa apakah konfigurasi daftar hitam telah berlaku:
curl ${ASM_GATEWAY_IP}/productpage -IOutput yang diharapkan:
HTTP/1.1 403 Forbidden content-length: 19 content-type: text/plain date: Fri, 22 Dec 2023 03:07:26 GMT server: istio-envoy x-envoy-upstream-service-time: 10Respons HTTP
403dikembalikan. Hal ini menunjukkan bahwa Anda tidak memiliki izin untuk mengakses aplikasi productpage, yang mengonfirmasi bahwa daftar hitam telah berlaku.
Referensi
Untuk informasi selengkapnya mengenai konsep dan fitur kebijakan keamanan ASM, lihat Ikhtisar kebijakan keamanan ASM.
Anda dapat mengaktifkan fitur audit mesh untuk mencatat atau melacak operasi harian pengguna yang berbeda. Anda juga dapat mengonfigurasi peringatan audit untuk operasi pada resource ASM dan mengirimkan pemberitahuan peringatan kepada kontak peringatan secara tepat waktu ketika resource penting berubah. Untuk informasi selengkapnya, lihat Gunakan fitur audit operasi KubeAPI dalam ASM dan Konfigurasikan peringatan audit untuk operasi pada resource ASM.