Dalam komunikasi TLS, klien memverifikasi Sertifikat server, tetapi server tidak mengotentikasi klien karena klien tidak menyediakan sertifikat. Untuk skenario yang memerlukan keamanan lebih tinggi, server juga harus memverifikasi identitas klien, sehingga memerlukan penggunaan komunikasi mTLS. Dalam mTLS, baik klien maupun server menampilkan sertifikat, sehingga komunikasi terenkripsi hanya dapat dilakukan setelah verifikasi timbal balik. Topik ini menjelaskan cara mengimplementasikan komunikasi mTLS ujung ke ujung di lingkungan Anda menggunakan ASM.
Informasi latar belakang
Dengan ASM, Anda dapat menggunakan mTLS untuk mengenkripsi lalu lintas ujung ke ujung tanpa perlu memodifikasi aplikasi. Selain itu, Anda dapat memanfaatkan sertifikat yang disediakan oleh mTLS di setiap tahap untuk kontrol akses. Pendekatan ini meningkatkan keamanan keseluruhan bisnis Anda.
Dalam lingkungan Kubernetes, komunikasi ujung ke ujung biasanya mencakup tiga tahap:
Lalu lintas masuk: Klien di luar kluster mengakses layanan di dalam kluster.
Lalu lintas timur-barat: Komunikasi antara beban kerja di dalam kluster.
Lalu lintas keluar: Beban kerja di dalam kluster mengakses layanan di luar kluster.
Menggunakan ASM untuk mengimplementasikan mTLS ujung ke ujung memberikan manfaat berikut:
Aplikasi dapat fokus pada logika bisnis dan menyerahkan kemampuan keamanan kepada infrastruktur service mesh, mempercepat iterasi bisnis.
ASM mengelola penerbitan dan rotasi sertifikat untuk komunikasi di dalam kluster, secara signifikan mengurangi beban pemeliharaan Anda.
Tidak diperlukan modifikasi aplikasi bisnis selama migrasi, membuat proses migrasi menjadi lebih lancar.
Gunakan mTLS untuk mengenkripsi lalu lintas masuk
Ketika klien di luar kluster mengakses layanan di dalam kluster, mereka perlu melewati gateway ingress ASM. Untuk informasi lebih lanjut, lihat Konfigurasikan Layanan mTLS pada Gateway Ingress ASM dan Batasi Akses Klien Tertentu.
Gunakan mTLS untuk mengenkripsi lalu lintas timur-barat
Komunikasi mTLS lalu lintas timur-barat adalah salah satu fitur dasar yang disediakan oleh ASM, dan tidak diperlukan konfigurasi tambahan. Cukup suntikkan proxy Sidecar di kedua sisi komunikasi di dalam kluster. Untuk informasi lebih lanjut, lihat Instal Proxy Sidecar.
Komunikasi antara dua pod yang disuntik dengan proxy Sidecar secara otomatis ditingkatkan ke mTLS, dan tidak diperlukan modifikasi pada aplikasi. Selain itu, karena keduanya terhubung ke bidang kontrol ASM, komunikasi antara gateway ingress/egress ASM dan proxy Sidecar juga secara otomatis menggunakan enkripsi mTLS.
Sertifikat yang digunakan dalam komunikasi mTLS diterbitkan berdasarkan ServiceAccount yang digunakan oleh beban kerja dan secara berkala diputar oleh bidang kontrol ASM, menghilangkan kebutuhan akan intervensi manual.
Untuk memfasilitasi migrasi bertahap bisnis Anda ke ASM, ASM menyediakan konfigurasi autentikasi identitas peer. Selama proses migrasi, Anda dapat menyesuaikan tingkat autentikasi identitas peer ke PERMISSIVE (menerima lalu lintas teks biasa dan mTLS). Setelah migrasi selesai, Anda dapat mengubah tingkat autentikasi identitas peer ke STRICT (hanya menerima lalu lintas mTLS) untuk memastikan bahwa semua lalu lintas di dalam kluster dienkripsi menggunakan mTLS.
Gunakan mTLS untuk mengenkripsi lalu lintas keluar
Jika Anda memiliki layanan di luar kluster yang memerlukan mTLS untuk akses, aplikasi Anda masih dapat memulai permintaan teks biasa. Gateway egress ASM dapat meningkatkan permintaan teks biasa ini ke mTLS dan meneruskannya ke layanan eksternal. Untuk informasi lebih lanjut, lihat Gunakan Gateway Egress ASM untuk Mengakses Layanan mTLS Eksternal.