Google Cloud ha sviluppato Traffic Director per offrire ai suoi clienti un prodotto di rete di gestione dei servizi mesh completamente gestito che include load balancing, traffic management e service discovery, ha sottolineato l’azienda.
Ora Google Cloud ha compiuto un ulteriore passo e ha annunciato la disponibilità di una soluzione di sicurezza zero trust completamente gestita che utilizza Traffic Director con Google Kubernetes Engine (GKE) e Certificate Authority (CA) Service.
Quando gli amministratori di piattaforma e i professionisti della sicurezza pensano di modernizzare le loro applicazioni con una postura di sicurezza lungimirante, ha sottolineato Google Cloud nel presentare la nuova soluzione, si orientano verso la sicurezza zero trust.
Questa postura di sicurezza si basa su pochi blocchi fondamentali, ha sottolineato ancora Google Cloud. Il primo è un mezzo per assegnare e affermare l’identità del servizio (per esempio, usando certificati X.509). Il secondo punto è rappresentato da mutual authentication (mTLS) o server authentication (TLS).
Il terzo è la crittografia per tutti i flussi di traffico (cifratura TLS). Poi controlli di autorizzazione e privilegi minimi. Infine, l’infrastruttura per rendere tutto ciò gestibile e affidabile.
Traffic Director lo fa integrandosi con CA Service, una Certificate Authority privata altamente disponibile che emette certificati privati che esprimono service identity e fornisce un’infrastruttura di certificati mTLS gestita con gestione completa del ciclo di vita del certificato.
Insieme, questi servizi risolvono sia l’emissione di certificati che le complessità di rotazione della CA.
Con Traffic Director che gestisce la sicurezza da servizio a servizio, secondo Google Cloud le aziende possono ora beneficiare della crittografia end-to-end, dell’autenticazione a livello di servizio e delle policy di autorizzazione granulari per i loro service mesh.
Con questa nuova funzionalità le imprese possono implementare il mutual TLS (mTLS) e TLS tra i propri servizi, inclusa la gestione del ciclo di vita del certificato. Le comunicazioni all’interno della propria rete sono autenticate e criptate.
Inoltre, possono abilitare la identity-based authorization, così come l’autorizzazione basata su altri parametri (come il request method).
Questi concetti sono alla base del role-based access control (RBAC) e permettono di adottare una posizione di sicurezza basata sui “minimi privilegi” in cui solo i servizi autorizzati possono comunicare tra loro in base alle regole ALLOW/DENY.
