Оркестрация на Google Cloud Identity и управление на достъпа с помощта на Terraform

18 юни
Оркестрация на Google Cloud Identity и управление на достъпа с помощта на Terraform
Сигурността е от ключово значение за компаниите, които преминават към облачните технологии, независимо на какъв етап се намират в този процес. В тази статия Александър Снеговой, Cloud архитект в DataArt, разяснява как една организация може да използва предимствата на Terraform за управление на достъпа до идентичност в Google Cloud среда.

Принципът на Google Cloud Platform (GCP) е такъв, че установяването на сигурност както на инфраструктурата, така и на потребителското ниво, е нещо, което трябва да се направи в началото на преминаването в облака. Членовете на екипа на вашия проект или организация в най-общия случай няма да имат достъп до ресурси, освен ако не им зададете такива правомощия изрично. Това е от съществено значение, защото не е добра идея да се осигури пълен достъп до всички ресурси или да се позволи достъп на всички служители, без значение от позицията и компетенциите им. Управлението на достъпа става още по-голямо предизвикателство, когато имате много проекти, по които компанията работи.

За да изградите сигурна инфраструктура, GCP ви предоставя услуга за управление на достъпа, наречена Identity and Access Management (IAM). Тя предлага много полезни функции, сред които:

  • единен интерфейс за контрол на достъпа до всички услуги
  • контекстно-ориентиран контрол (например - въз основа на IP адрес, дата / час и т.н.)
  • фин контрол (достъп до конкретни ресурси или дори набори от ресурси)
  • механизъм за препоръки по премахване на нежелан достъп до ресурси на GCP
  • вградена одитна пътека, за да се улеснят процесите на съответствие

Членовете на Google Cloud IAM включват акаунти в Google и акаунти за услуги (за приложения и виртуални машини), групи в Google и потребители на G Suite / Cloud Identity. Всеки член на екипа трябва да има роля. Ролите са набори от разрешения за ресурси в GCP. 

Комбинацията от роля и членове се нарича “политика”. Това е илюстрирано на диаграмата по-долу:

Оркестрация на GCP IAM с помощта на Terraform

Много компании търсят възможност да контролират достъпа чрез цялостен мениджмънт на GCP от едно място. Таблото за управление позволява на малките организации лесно да контролират и настройват достъпа. Но когато има много проекти, нуждата от автоматизация става все по-голяма.

В DataArt намерихме добро решение, което работи ефективно за много клиенти и е базирано на използването на Terraform. Значителното предимство на такъв подход е, че имате достъп, описан в код, което означава, че той може да бъде версиран и тестван. Тъй като достъпът е дефиниран в код, това означава, че никой не използва "my-test-gce-service-account" за инсталиран продукт или някъде другаде. Кодексът предоставя стандартите и конвенциите, които всеки проект следва.

Когато някой се нуждае от достъп до ресурси, няма нужда всеки път да изпраща заявка чрез ticket или да прави ръчна промяна без преглед. Вместо това би могъл да променя кода или да изпрати искане за цялостно преразглеждане. Например, QA мениджърът може да изиска достъп за четене до обекти в конкретна Google Cloud Storage Bucket.

Оркестрация на GCP IAM с помощта на Terraform

Друго предимство за много компании е, че контролът върху достъпа чрез този подход не е в ръцете на един отдел, а е по-децентрализиран. Google Cloud е всичко за сигурността, така че ако екипите редовно разглеждат достъпа си и носят отговорност за това, инцидентите ще се редуцират, както и броят на нарушенията на сигурността. 

Ето и един пример: можете да разрешите на разработчиците да влязат в по-ниска среда, за да отстраняват проблеми с приложение. Но производствената среда трябва да бъде достъпна само за администратори.

Използвайки функцията Terraform Workspaces, можете лесно да контролирате достъпа, като използвате същата кодова основа. 

Оркестрация на GCP IAM с помощта на Terraform

Такъв подход ще предложи още повече предимства, когато имате изградена автоматизация около него. Например, GCP Cloud Build се задейства след поставяне на таг към фиксиране в master branch, така че не е нужно да прилагате Terraform ръчно.

Може би звучи сложно и объркващо, ако сте в началото на въвеждането на GCP, защото това не е нещо, с което сте свикнали. Но използването на Terraform за управление на идентичността и достъпа значително намалява проблемите и опростява цялостния процес при работата в Google Cloud Platform. По този начин се децентрализира сигурността и това дава възможност на екипите да бъдат отговорни за своя достъп.

ПОЛУЧЕТЕ АНАЛИЗ НА ВИСОКО НИВО ЗА МИГРИРАНЕ НА ВАШАТА ПЛАТФОРМА ЗА ДАННИ КЪМ СLOUD 

Като партньор на Google Cloud, със сертифицирани архитекти, разработчици, инженери на данни и мениджъри на акаунти, DataArt използва най-добрите GCP практики, за да предложи широка експертиза в облачното управление, икономиката в облака, миграцията на натоварването, управлението на инфраструктурата и други услуги. Свържете се с нашите експерти по GCP днес, ако се нуждаете от помощ или съдействие.