מבוא ל-mTLS ב-Apigee

התכונה Apigee mTLS מוסיפה אבטחה לתקשורת בין רכיבים ב-Edge של אשכול הענן הפרטי. היא מאפשרת להגדיר ולהתקין את רשת השירות (Service mesh) בדרך המקובלת בתחום. הוא תומך בניהול חבילות ובאוטומציה של הגדרות אישיות.

סקירה אדריכלית

כדי לספק תקשורת מאובטחת בין רכיבים, ב-Apigee mTLS נעשה שימוש ב-Service mesh שיוצרת חיבורי TLS מאובטחים ומאומתים באופן הדדי בין רכיבים.

בתמונה הבאה מוצגים חיבורים בין רכיבי Apigee שמאבטחים את Apigee mTLS (in red). היציאות שמופיעות בתמונה הן דוגמאות. ניתן לעיין בשימוש ביציאה כדי לראות רשימה של טווחים שבהם כל רכיב יכול להשתמש.

(חשוב לשים לב שיציאות שמצוינות ב-M משמשות לניהול הרכיב וצריכות להיות פתוחות ברכיב כדי ששרת הניהול יוכל לגשת אליהן).

כפי שניתן לראות בתרשים שלמעלה, השימוש ב-Apigee mTLS מוסיף אבטחה לחיבורים בין רוב הרכיבים באשכול, כולל:

מקור יעד
שרת ניהול נתב, MP, QPid, LDAP, Postgres, zokeeper וצומתי Cassandra
נתב לופבק; צמתים של Qpid, Zookeeper ו-Cassandra
מעבד בקשות לופבק; צמתים של Qpid, Zookeeper ו-Cassandra
גן החיות (ZooKeeper) ו-קסנדרה צמתים נוספים של גן חיות ו-Cassandra
ממשק המשתמש של Edge SMTP (ל-IdP חיצוני בלבד)
Postgres צמתים אחרים בגן החיות, גן חיות וקסנדרה

הצפנה/פענוח של הודעות

רשת השירות של Apigee mTLS מורכבת משרתים של Consul שפועלים בכל צומת שלzoKeeper באשכול, ואת שירותי Consul הבאים בכל צומת באשכול:

  • שרת proxy לתעבורת נתונים יוצאת המיירט הודעות יוצאות בצומת המארח. השירות הזה מצפין הודעות יוצאות לפני שליחתן ליעדן.
  • שרת proxy של תעבורת נתונים נכנסת המיירט הודעות נכנסות בצומת המארח. השירות הזה מפענח הודעות נכנסות לפני שהן נשלחות ליעד הסופי.

לדוגמה, כששרת הניהול שולח הודעה לנתב, שירות שרת ה-proxy לתעבורת נתונים יוצאת מיירט את ההודעה היוצאת, מצפין אותה ואז שולח אותה לנתב. כשהצומת של הנתב מקבל את ההודעה, שירות ה-proxy של תעבורת הנתונים הנכנסת מפענח את ההודעה ואז מעביר אותה לרכיב הנתב לצורך עיבוד.

כל זה מתרחש בשקיפות לרכיבי Edge: הם לא מודעים לתהליך ההצפנה והפענוח שמתבצע על ידי שירותי ה-proxy של Consul.

בנוסף, ב-Apigee mTLS נעשה שימוש בכלי השירות iptables, שירות של חומת אש של Linux שמנהל את ההפניה האוטומטית של תעבורת הנתונים.

דרישות

כדי להתקין את Apigee mTLS, הסביבה שלך חייבת לעמוד בדרישות הבאות:

הקטעים הבאים מתארים בפירוט את כל אחת מהדרישות האלה.

גרסה, פלטפורמה וטופולוגיה

בטבלה הבאה מפורטות הדרישות ל-mTLS:

דרישה תיאור
גרסאות
  • 4.51.00
  • 4.50.00
  • 4.19.06
טופולוגיה חייבת לכלול לפחות שלושה צמתים שלzokeeper. כתוצאה מכך, אפשר להתקין את Apigee mTLS רק בטופולוגיות שמשתמשות בצמתים 5, 9, 12 (מרכז נתונים מרובה) או 13 צמתים. למידע נוסף, ראו טופולוגיות של התקנה.
פלטפורמות/מערכות הפעלה

צריך להשתמש בערכים הבאים כדי לקבוע אם Apigee mTLS נתמך במערכת הפעלה מסוימת:

מערכת הפעלה גרסה נתמכת של ענן פרטי
v4.19.06 v4.50.00 v4.51.00
CentOS
RedHat Enterprise Linux (RHEL)
Oracle Linux
7.5, 7.6, 7.7 7.5, 7.6, 7.7, 7.8, 7.9 7.5, 7.6, 7.7, 7.8, 7.9, 8.0

חשוב לדעת ש-Apigee mTLS לא תומך בהכרח בכל מערכות ההפעלה שנתמכות על ידי הגרסה המתאימה של Apigee Edge לענן הפרטי שבו היא פועלת.

לדוגמה, אם גרסה 4.19.06 תומכת ב-CentOS x וב-y, זה לא בהכרח אומר ש-Apigee mTLS נתמך ב-CentOS x ו-y עבור גרסה 4.19.06.

תוכניות שירות/חבילות

כדי להשתמש ב-Apigee mTLS, צריך להתקין ולהפעיל את החבילות הבאות בכל מכונה באשכול, כולל מכונת הניהול, לפני התחלת תהליך ההתקנה:

כלי שירות/חבילה תיאור יש לך אפשרות להסיר לאחר ההתקנה?
base64 מאמת נתונים בסקריפטים של ההתקנה.
gnu-bash
gnu-sed
gnu-grep
משמש את סקריפט ההתקנה וכלים נפוצים אחרים.
iptables מחליפה את חומת האש המוגדרת כברירת מחדל, firewalld.
iptables-services מספק פונקציונליות לכלי השירות iptables.
lsof משמש את סקריפט ההתקנה.
nc מאמת iptables מסלולים.
openssl חותם על אישורים באופן מקומי בתהליך האתחול הראשוני.

במהלך ההתקנה, מתקינים גם את חבילת Consul במחשב הניהול כדי ליצור פרטי כניסה ואת מפתח ההצפנה.

החבילה apigee-mtls מתקינה ומגדירה את שרתי Consul, כולל שרתי ה-proxy של תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) בצמתים שלzoKeeper באשכול.

הרשאות בחשבון משתמש

לפני ההתקנה, עליכם ליצור חשבון משתמש חדש או לוודא שיש לכם גישה לחשבון עם הרשאות מורחבות.

החשבון שמפעיל את התקנת mTLS של Apigee בכל צומת באשכול צריך להיות מסוגל:

  • הפעלה, עצירה, הפעלה מחדש ואתחול של רכיבי Apigee
  • הגדרת כללים של חומת אש
  • יצירת חשבון משתמש חדש במערכת ההפעלה/מערכת
  • הפעלה, השבתה, הפעלה, הפסקה וביצוע אנונימיזציה של שירותים באמצעות systemctl

מחשב ניהול (מומלץ)

ההמלצה של Apigee היא להוסיף צומת באשכול שבו תוכלו לבצע משימות ניהוליות שונות שמתוארות במסמך הזה, כולל:

  1. מתקינים את HashiCorp Consul 1.6.2.
  2. ליצור ולהפיץ זוג מפתחות/אישורים ומפתח להצפנת רכילות.
  3. מעדכנים ומפיצים את קובץ התצורה.

כשמגדירים את מכונת הניהול:

  • יש לוודא שיש לך הרשאת גישה לרמה הבסיסית (root) שלו.
  • מורידים ומתקינים בה את כלי השירות apigee-service ו-apigee-setup, כפי שמתואר בכלי ההתקנה של Edge להתקנת Edge.
  • יש לוודא שאפשר להשתמש ב-scp/ssh כדי לגשת לכל הצמתים באשכול ממחשב הניהול. הפעולה הזו נדרשת כדי שתהיה אפשרות להפיץ את קובץ התצורה ואת פרטי הכניסה.

שימוש ביציאות והקצאה שלהן

בקטע הזה מתוארים השימוש ביציאות והקצאות של יציאות כדי לתמוך בתקשורת באמצעות Consul באמצעות mTLS של Apigee.

שימוש ביציאה: כל הצמתים שמריצים apigee-mtls

כל הצמתים באשכול שמשתמשים בשירות apigee-mtls חייבים לאפשר חיבורים משירותים ב-localhost (127.0.0.1). כך שרתי ה-proxy של Consul יוכלו לתקשר עם השירותים האחרים בזמן שהם מעבדים הודעות נכנסות ויוצאות.

שימוש ביציאות: צמתים של שרת Consul (צמתים שמפעילים אתzoKeeper)

כדי לאשר בקשות מכל הצמתים באשכול, צריך לפתוח את רוב היציאות הבאות בצומתי שרת ה-Consul (הצמתים שמפעילים את ZooKeeper):

צומת יציאת שרת קונסול תיאור פרוטוקול אפשר להשתמש ב-mtls-agents חיצוניים
*
Consul Server (צומתי ZooKeeper) 8300 חיבור כל שרתי Consul באשכול. הכנסה לקליק
8301 טיפול בהודעות חברוּת ובהודעות שידור בתוך האשכול. UDP/TCP
8302 יציאת WAN שמטפלת בהודעות חברות ושידורים בהגדרה של מרכז נתונים מרובה. UDP/TCP
8500 מטפל בחיבורי HTTP לממשקי ה-API של שרת Consul מתהליכים באותו צומת.

היציאה הזו לא משמשת לתקשורת או לתיאום מרחוק. היא מאזינה רק ל-localhost.

HTTP
8502 מטפל בחיבורי gRPC+HTTPS לממשקי ה-API של שרת ה-Consul מצמתים אחרים באשכול. gRPC+HTTPS
8503 מטפל בחיבורי HTTPS לממשקי ה-API של שרת Consul מצמתים אחרים באשכול. HTTPS
8600 מטפל ב-DNS של שרת הקונסול. UDP/TCP
* לפי המלצת Apigee, יש להגביל בקשות נכנסות רק לחברי אשכולות (כולל מאגר נתונים צולב). אפשר לעשות זאת באמצעות iptables.

כפי שמוצג בטבלה הזו, הצמתים שמריצים את הרכיב consul-server (צומתי ZooKeeper) חייבים לפתוח את היציאות 8301, 8302, 8502 ו-8503 לכל חברי האשכול שמריצים את השירות apigee-mtls, אפילו במרכזי הנתונים השונים. צמתים שלא פועלים בהם גן החיות לא צריכים לפתוח את היציאות האלה.

הקצאות יציאות לכל צומתי Consul (כולל צמתים המפעילים אתzoKeeper)

כדי לתמוך בתקשורת עם Consul, צמתים שמריצים את רכיבי Apigee הבאים חייבים לאפשר חיבורים חיצוניים ליציאות בטווחים הבאים:

רכיב Apigee טווח מספר היציאות הנדרשות לכל צומת
Apigee mTLS 10700 עד 10799 1
קסנדרה 10100 עד 10199 2
מעבד בקשות 10500 עד 10599 2
OpenLDAP 10200 עד 10299 1
Postgres 10300 עד 10399 3
QPID 10400 עד 10499 2
נתב 10600 עד 10699 2
ZooKeeper 10001 עד 10099 3

ה-Consul מקצה יציאות בדרך ליניארית פשוטה. לדוגמה, אם לאשכול יש שני צומתי Postgres, הצומת הראשון משתמש בשתי יציאות ולכן Consul מקצה להן את היציאות 10300 ו-10301. הצומת השני משתמש גם בשתי יציאות, ולכן Consol מקצה את 10302 ואת 10303 לצומת הזה. כלל זה חל על כל סוגי הרכיבים.

כמו שאפשר לראות, מספר היציאות בפועל תלוי בטופולוגיה: אם לאשכול יש שני צומתי Postgres, צריך לפתוח ארבע יציאות (שני צמתים כפול שתי יציאות כל אחת).

שימו לב לנקודות הבאות:

  • שרתי proxy של הקונסול לא יכולים להאזין באותן יציאות כמו שירותי Apigee.
  • ל-Consul יש רק מרחב כתובות יציאות אחד. ההקצאות של יציאות שרת proxy בקונסולה צריכות להיות ייחודיות בכל האשכול, כולל מרכזי נתונים. המשמעות היא שאם שרת proxy א' במארח א' מאזין ביציאה 15,000, שרת B במארח ב' לא יכול להאזין ביציאה 15,000.
  • מספר היציאות שנעשה בהן שימוש משתנה בהתאם לטופולוגיה, כפי שתואר קודם.

בהגדרה של מרכז נתונים מרובה, כל המארחים שמריצים mTLS צריכים לפתוח גם את יציאה 8302.

אפשר להתאים אישית את יציאות ברירת המחדל שבהן נעשה שימוש ב-Apigee mTLS. למידע נוסף על כך, תוכלו לקרוא את המאמר התאמה אישית של טווח יציאות proxy.

מגבלות

המגבלות הבאות חלות על Apigee mTLS:

  • לא מצפין את התקשורת בין הצמתים של Cassandra (יציאה 7000)
  • ההגדרה וההגדרה לא אידמפוטנטים. המשמעות היא שאם מבצעים שינוי אחד בצומת אחד, עליך לבצע את אותו שינוי בכל הצמתים. המערכת לא מחילה שינוי זה עבורך על צמתים אחרים. מידע נוסף זמין במאמר שינוי הגדרה קיימת של apigee-mtls.

הסברים על המונחים

בקטע הזה נעשה שימוש במונחים הבאים:

מונח הגדרה
cluster קבוצת המכונות שמהן מורכב Edge להתקנה של הענן הפרטי.
קונסול Service mesh שבו נעשה שימוש ב-Apigee mTLS. במודל האבטחה של Console מוסבר איך מאבטחים את התקשורת בענן הפרטי ב-Consul.
mTLS TLS שאומת בו-זמנית.
Service mesh רשת שכבת-על (או רשת בתוך רשת).
TLS אבטחת שכבת הטרנזקציות. פרוטוקול אימות מקובל בתחום לתקשורת מאובטחת.