HashiCorp lanceert nieuwe versie van Consul multi-cloud service mesh-platform

19 mei 2020

HashiCorp maakt vandaag bekend dat de bètaversie van Consul 1.8.0 per direct beschikbaar is. Consul is een multi-cloud service mesh-platform dat het mogelijk maakt om services binnen elk runtime-platform, publieke of private cloud te verbinden en te beveiligen.

Deze release biedt de volgende nieuwe functies:

  • Ingress Gateway: deze native Consul-oplossing maakt het mogelijk om applicaties buiten de service mesh te laten communiceren met services binnen de mesh
  • Terminating gateway: stelt applicaties binnen de service mesh in staat om te communiceren met services buiten de mesh
  • Bundeling van WAN-verkeer via Mesh Gateways: maakt federatie van Consul-datacenters mogelijk door WAN-gossip en RPC-verkeer door te leiden via mesh-gateways. Op deze manier hoeven Consul servers niet direct aan het WAN te worden blootgesteld
  • Audit logging (alleen Consul Enterprise): legt alle informatie die beveiligingsbeheerders nodig hebben op inzichtelijke wijze vast. Dit maakt het makkelijker voor hen om beveiliging analyses en risicobeoordelingen uit te voeren
  • Single Sign-On (alleen Consul Enterprise): stelt operators in staat om de identiteitsverificatie af te laten handelen door browsergebaseerde Single Sign-on (SSO)-oplossingen zoals Okta. Gebruikers kunnen zo op basis van selfservice ACL-tokens genereren voor het beheer van groepen, diensten, namespaces, Consul KV, centrale configuraties en meer. Daarmee ontstaat een workflow voor het aanleveren van tokens voor services en gebruikers op basis van identiteitsverificatie met SSO.

Ingress Gateway

IT-professionals die een beroep doen op service mesh-technologie merken vaak dat het onboarding- en migratieproces voor applicaties tijd in beslag neemt en gefaseerd verloopt. Om deze reden communiceren applicaties binnen fysieke of virtuele datacenters met de applicaties binnen de mesh via een gateway. Deze gateway biedt de mogelijkheid van noord-zuid verkeer naar de upstream service (oftewel de service die uiteindelijk op het verzoek reageert).De Ingress Gateway is een component van Consul dat operators een snelle en eenvoudige manier biedt om services over te zetten naar de service mesh van Consul.

HashiCorp heeft in deze release ‘Ingress Gateway’ toegevoegd als nieuwe optie voor de opdracht consul connect envoy. Daarmee wordt een Envoy-instance uitgevoerd die is geconfigureerd om een dynamische subset van Connect-services open te stellen voor systemen en gebruikers buiten de mesh. Dit maakt het mogelijk om toegang tot services te verlenen via de Envoy-proxy (die intern gebruikmaakt van mutual TLS) zonder de noodzaak van authenticatie of integratie met de service mesh van Consul. De ingress gateway kan optioneel worden geconfigureerd om een door Consul gegenereerd TLS-certificaat te presenteren voor de versleuteling van netwerkverkeer. 

Hierdoor kunnen externe services onderhandelen over een betrouwbare TLS-verbinding met de ingress gateway als ze de Consul Certificate Authority vertrouwen.

Terminating gateway

Consul service mesh biedt versleutelde communicatie tussen diensten via mTLS. De onderlinge verbindingen tussen services worden beheerd door Connect-intentions. Deze bepalen of een service een verbinding met een andere service mag maken. Intentions vereenvoudigen de netwerkbeveiliging, omdat de segmentatie is gebaseerd op service-ID’s in plaats van kortstondige bron-IP-adressen en doel-IP-adressen.

De overstap naar service mesh vindt vaak stapsgewijs plaats, als gevolg van beperkte personele middelen of een gebrek aan infrastructure automation. In een dergelijke situatie kunnen gebruikers tijdens de overgangsfase geruime tijd gebruik maken van services binnen en buiten de service mesh. Er zijn ook scenario’s te bedenken waarin bepaalde services zich nooit binnen de mesh bevinden.

In deze onvermijdelijk hybride omgevingen moeten services binnen de mesh een rechtstreekse verbinding maken met externe services. Dit doet afbreuk aan de gebruikservaring als a) verschillende services op verschillende manieren worden gedetecteerd, b) niet alle verbindingen met mTLS zijn versleuteld en c) Connect-intentions slechts een subset van verbindingen beheren. Deze beperking van Connect-intentions doet afbreuk aan een van de belangrijkste voordelen van Connect. Firewall-teams zullen nog altijd moeten zorgen voor veilige verbindingen van kortstondige service-adressen binnen de mesh naar service-adressen buiten de mesh. De oplossing voor dit probleem zou niet moeten inhouden dat al het verkeer van de meshed omgeving wordt opengesteld voor de externe services. Het is van cruciaal belang om voor een beperking te zorgen van het aantal nodes die dergelijke verbindingen tot stand kunnen brengen.

In deze release werd het concept van een terminating gateway aan de service mesh van Consul toegevoegd. Terminating gateways zijn uitgaande proxy’s die mTLS-verbindingen van Connect termineren, intenties toepassen en verzoeken doorleiden naar de doel services.

WAN-federatie via mesh gateways

IT-infrastructuren bevinden zich om verschillende redenen maar zelden binnen een co-located omgeving met optimale connectiviteit en lage latency. Consul biedt de mogelijkheid om elk onderdeel van de co-located IT-omgeving te verenigen tot één Consul-datacenter (LAN join). Deze afzonderlijke datacenters kunnen vervolgens worden gefedereerd tot een Consul Cluster (WAN join). De onderlinge communicatie tussen de services van deze datacenters wordt afgehandeld door mesh-gateways aan de netwerk rand. Om communicatie tussen de Consul-servers in elk datacenter mogelijk te maken, moeten de servers direct wederzijds bereikbaar zijn via hun door het WAN aangekondigde netwerkadres. Dit resulteert in een complexe omgeving en maakt de Consul-servers vatbaar voor beveiligingsproblemen. 

Met deze release maakt HashiCorp het mogelijk om datacenters te federeren op een manier waarbij alleen de mesh-gateways aan het WAN worden blootgesteld. Dit draagt bij aan krachtiger beveiliging en verbeterde gebruikservaring tijdens het inrichten van de omgeving.

Audit Logging (alleen Consul Enterprise)

Omdat Consul een zakelijke software oplossing is, moeten veel gebruikers voldoen aan wet- en regelgeving zoals HIPAA, PCI en de GDPR. Dit vraagt om een gedetailleerd overzicht van alles wat er zich binnen het systeem plaatsvindt.

In deze release voegt HashiCorp Audit Logging toe aan Consul. Deze functie biedt:

Een inzichtelijk en praktisch toepasbaar logbestand van geverifieerde gebeurtenissen. Dat geldt zowel voor pogingen als daadwerkelijk uitgevoerde handelingen binnen het systeem. Op die manier kan worden vastgelegd welke bewerkingen mensen in Consul uitvoeren. Om tegemoet te komen aan de eis van ondubbelzinnige overeenstemming met de wet- en regelgeving tijdens het gebruik van Consul hebben operators en beveiligingsmedewerkers een historie nodig van alle gebeurtenissen die direct door mensen in gang zijn gezet. Alle gebeurtenissen zijn voorzien van een tijdstempel, een beschrijving van de uitgevoerde bewerking en de gebruiker die deze in gang heeft gezet. Functionaliteit die standaard veilig is. Het is belangrijk dat gebruikers niet van auditing afzien omdat dit ten nadele gaat van de prestaties van Consul. Gebruikers die de meeste behoefte hebben aan auditing zijn naar alle waarschijnlijkheid ook de gebruikers die Consul op zijn prestatie limieten wil laten draaien. HashiCorp wil operators realistische verwachtingen bieden ten aanzien van hun audit logs, zodat ze Consul op elke gewenste schaal kunnen inzetten en auditen.

Single Sign-On (alleen Consul Enterprise)

Gebruikers die toegang tot Consul willen krijgen, laten hun identiteit traditioneel alleen met behulp van ACL-tokens verifiëren. Dit zijn toegangs-ID’s die alleen binnen Consul bestaan. Veel organisaties willen Consul echter integreren met hun bestaande authenticatiesystemen.

Single Sign-On biedt operators de mogelijkheid om de identiteitsverificatie over te laten aan browsergebaseerde SSO-oplossingen zoals die van Okta, zodat gebruikers op basis van selfservice, ACL-tokens kunnen verkrijgen voor het beheer van groepen, services, namespaces, Consul KV, centrale configuraties en meer. Daarmee ontstaat een workflow voor de aanlevering van tokens voor services en gebruikers op basis van hun SSO-identiteit.

 

Robbert Hoeffnagel

Robbert Hoeffnagel

Editor and consultant @ Belgium Cloud, DatacenterWorks, InfosecurityMagazine.be, Green IT Amsterdam and Mepax

Pin It on Pinterest

Share This