Безопасность АктивногоШлюза

Материал из Документация Ключ-АСТРОМ

Начиная с Ключ-Астром версии 1.225, каждый АктивныйШлюз использует свой собственный уникальный токен АктивногоШлюза для разрешения в кластере Ключ-Астром.

В зависимости от состояния вашего развертывания, начиная с версии Ключ-Астром 1.246, вам, возможно, потребуется выполнить некоторые действия для миграции в безопасность на основе токенов АктивногоШлюза.

Миграция в токены АктивногоШлюза

Чтобы перейти на безопасность на основе токенов АктивногоШлюза, начните с определения состояния использования токена АктивногоШлюза.

1. В меню Ключ-Астром перейдите в настройки и выберите «Предпочтения»> «Безопасность сети».

2. Просмотрите сообщения, отображаемые на странице безопасности сети и решайте любые проблемы, как описано ниже.

Никаких действий не требуется

Если Ключ-Астром отображает подобное сообщение:

Токены АктивныхШлюзов применяются автоматически в вашей среде. Только АктивныеШлюзы с действительными токенами АктивныхШлюзов могут подключаться к Ключ-АСТРОМ.
  • Дополнительных действий не требуется. Безопасность АктивногоШлюза включена и все готово.
  • Только АктивныеШлюзы с действительными токенами АктивногоШлюза могут подключаться к Ключ-Астром.

Исправить проблемы токена АктивногоШлюза

Если Ключ-Астром отображает подобное сообщение:

У вас имеется 1 АктивныйШлюз с недействительным токеном, который потеряет соединение с Ключ-АСТРОМ, если вы сейчас примените токены АктивныхШлюзов. Перейдите к  статусу развёртывания, чтобы увидеть список АктивныхШлюзов и соответствующие проблемы.
  • Токены АктивногоШлюза еще не применяются, а некоторые из ваших активных агентов используют недействительные токены.
  • Вам нужно решить проблемы на основе статуса. В противном случае такие активные агенты потеряют связь после применения токенов АктивногоШлюза.

Необходимо немедленно применить токены АктивногоШлюза

Если Ключ-Астром отображает подобное сообщение:

Вы можете вручную применить токены АктивныхШлюзов прямо сейчас, чтобы мгновенно повысить безопасность сети.
Вы можете отменить применение в течение 30 дней.
  • У вас есть возможность немедленно обеспечить соблюдение токенов АктивногоШлюза. Вы можете сделать это в любое время, независимо от того, сообщают ли ваши АктивныеШлюзы проблемы токена, но обязательно прочитайте ручное исполнение токенов АктивногоШлюза ниже. Все АктивныеШлюзы со статусом, отличным от действительного, потеряют связь с Ключ-Астром.

Типы токенов АктивногоШлюза

Токен АктивногоШлюза представлены в двух вариациях:

  • Seed Токен - токен АктивногоШлюза Seed автоматически настроен на установщик АктивногоШлюза при загрузке установщика с помощью пользовательского интерфейса Ключ-Астром Web или Ключ-Астром API.
  • Индивидуальный токен - в рамках первого соединения АктивногоШлюза с кластером Ключ-Астром начальный токен АктивногоШлюза Seed -токен заменяется автоматически генерируемым индивидуальным токеном АктивногоШлюза. Один и тот же установщик может использоваться несколько раз; Первоначальный токен АктивногоШлюза Seed Lever разрешается создавать несколько отдельных токенов АктивногоШлюза.

Структура токна АктивногоШлюза

Токена АктивногоШлюза состоит из трех частей, разделенных точками (.).

Пример:

dt0g02.4KWZO5EF.XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E

Часть Имя Описание
1 prefix Первая часть (dt0g02 в примере выше) является префиксом токена. Он идентифицирует тип токена.
2 public Вторая часть (4KWZO5EF в примере выше)-это 8-символьная общественная часть токена.

Вместе префикс и публичная часть составляют идентификатор токена.

Вы можете безопасно отобразить идентификатор токена в веб-пользовательском интерфейсе и использовать его в целях ведения журнала.

3 secret Третья часть (XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E в примере выше)-это 64-символьная секретная часть токена.

Обратитесь к секретной части как пароль. Он не должен отображаться в интерфейсе Ключ-Астром Web (после начального создания) или храниться в файлах журнала.

Применение токенов АктивногоШлюза

Все ваши АктивныеШлюзы уже постепенно мигрировали для использования токенов АктивногоШлюза во время обновлений АктивногоШлюза, начиная с версии АктивногоШлюза 1.225.

Чтобы проверить, в каких из ваших АктивныхШлюзов уже включены токены АктивногоШлюза

  1. В меню Ключ-Астром перейдите в статус развертывания и выберите АктивныеШлюзы.
  2. Вы можете отфильтровать свои АктивныеШлюзы по следующим статусам токена АктивногоШлюза:
    • Отсутствующий
    • Истекает
    • Невалидный
    • Неизвестный
    • Действительный
    • Не поддерживается.

Автоматическое применение токенов АктивногоШлюза

Если все ваши АктивныеШлюзы готовы к безопасности сети на основе токенов в течение 30 дней, ваша среда автоматически переключается на сетевую безопасность на основе токенов АктивногоШлюза.

Ручное обеспечение токенов АктивногоШлюза

Если вы хотите ускорить процесс, и вы уверены, что в вашей среде есть только АктивныеШлюзы версии 1.225+, вы можете заставить переключать токены АктивногоШлюза, когда вы готовы.

1. В меню Ключ-Астром перейдите в настройки и выберите «Предпочтения»> «Безопасность сети».

2. Включите вручную применять аутентификацию токена АктивногоШлюза.

  • Когда вы включаете вручную применять аутентификацию токена АктивногоШлюза и сохраняете свои изменения, все активные агенты со статусом, отличным от действительного, потеряют свою связь с Ключ-Астром.
  • У вас есть максимум 30 дней после того, как был обнаружен последний невалидный токен для ухода из ручного обеспечения (чтобы отключить вручную применять аутентификацию токена АктивногоШлюза). Например, если последний невалидный токен был обнаружен 20 дней назад, у вас все еще есть 10 дней, чтобы уйти из ручного режима. После того, как переходный период закончился, переключатель будет отключен (так что вы не можете его выключить).

Переходный период

Переходный период в 30 дней предназначен для предотвращения потери данных от АкктивныхШлюзов, где новые токены еще не активированы в вашей среде.

В течение этого периода, если какая-либо попытка подключиться без токена АктивногоШлюза будет обнаружена:

  • Применение токенов АктивногоШлюза не будет включено, и всем АктивнымШлюзам будет разрешено подключаться к кластеру Ключ-Астром (потребуются только токены арендатора).
  • Переходный период сбрасывается на 30 дней - Применение токена АктивныйШлюза будет автоматически включаться не раньше, чем через 30 дней с этого момента.

Состояние токена АктивногоШлюза

Если ваши АктивныеШлюзы не используют допустимые токены АктивногоШлюза, вы можете проверить, почему токены недействительны.

1. В меню Ключ-Астром перейдите к статусу развертывания и выберите АктивныеШлюзы.

2. Выберите Проверить статусы токенов АктивногоШлюза.

Примечание: Эта опция доступна только при наличии проблем с токенами АктивногоШлюза.

В зависимости от статуса вам может потребоваться выполнить некоторые действия для перехода к сетевой безопасности на основе токенов АктивногоШлюза.

Отсутствует

Версия АктивногоШлюза поддерживает токены АктивногоШлюза, но по-прежнему использует токен арендатора для связи. Создайте и настройте новый токен АктивногоШлюза.

Истекает

Срок действия токена АктивногоШлюза истекает через 30 или менее дней. Если в вашей среде принудительно используются токены АктивногоШлюза, ваш АктивныйШлюз потеряет соединение после истечения срока действия токена.

Невалидный

АктивныйШлюз настроен на использование токена АктивногоШлюза, но его формат недействителен. Создайте и настройте новый токен АктивногоШлюза.

Неизвестный

АктивныйШлюз настроен на использование токена АктивногоШлюза, и формат токена действителен, но токен не распознается кластером Ключ-Астром. Создайте и настройте новый токен АктивногоШлюза.

Действительный

АктивныйШлюз использует действительный токен АктивногоШлюза для аутентификации.

Неподдерживаемый

АктивныйШлюз версии 1.223 или более ранней; Сетевая безопасность на основе токенов АктивногоШлюза поддерживается для АктивногоШлюза версии 1.225+.

Сгенерируйте и настройте токен АктивногоШлюза

  • Если ваш АктивныйШлюз развернут как StatefulSet, вам необходимо сгенерировать токен АктивногоШлюза и добавить его в свою конфигурацию.

Заметки:

  • Исходный токен АктивногоШлюза нельзя использовать для контейнерных АктивногоШлюза.
  • Токен АктивногоШлюза может совместно использоваться несколькими АктивнымиШлюзами в одной среде.
  • Если ваш АктивныйШлюз развернут с помощью оператора Ключ-Астром, оператор Ключ-Астром обрабатывает токен авторизации. Начиная с Ключ-Астром Operator версии 0.9.0+, вы должны включить область создания токенов АктивногоШлюза (activeGateTokenManagement.create). Дополнительные сведения см. в разделе Начало работы с мониторингом Kubernetes/OpenShift.

Если у вас возникли проблемы с токеном АктивногоШлюза, см. раздел Устранение неполадок.

  • Все АктивныеШлюзы на базе хоста, установленные через веб-интерфейс Ключ-Астром или API Ключ-Астром, уже имеют автоматически сгенерированный токен АктивногоШлюза. Однако иногда вам может понадобиться сгенерировать токен АктивногоШлюза и настроить его в файле authorization.properties.

Сгенерировать токен АктивногоШлюза

1. Создайте токен API. Выберите одну из следующих областей маркеров, чтобы ограничить доступ из соображений безопасности:

  • Записать токены АктивногоШлюза
  • Написать токены АктивногоШлюза

2. Сохраните токен.

Примечание: отображается только один раз.

3. Используйте API токенов АктивногоШлюза — POST конечную точку токена для создания токена. Авторизуйте вызов с помощью только что созданного токена API. Например, следующая команда сгенерирует токен АктивногоШлюза со следующими параметрами:

  • Тип АктивногоШлюза: ENVIRONMENT
  • Срок действия токена АктивногоШлюза истекает через: 6 месяцев
  • Тип токена АктивногоШлюза: индивидуальный токен АктивногоШлюза (seedToken имеет значение false).

Команда:

curl -X POST "https://{your-environment-id}.live.AstromKey.com/api/v2/activeGateTokens" \
-H "Authorization: Api-Token {api-token}" \
-H "Accept: application/json; charset=utf-8" \
-H "Content-Type: application/json; charset=utf-8" \
-d "{
     "name": "myToken",
     "expirationDate": "now+6M",
     "seedToken": false,
     "activeGateType": "ENVIRONMENT"
    }"

Замените:

  • {your-environment-id} с идентификатором вашего окружения
  • {api-token} с токеном API, установленным в одну из следующих областей действия: Создать токены АктивногоШлюза или Записать токены АктивногоШлюза.

Пример тела ответа:

{
  "token": "dt0g01.4KWZO5EF.
  XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E",
  "expirationTimeEpoch": 1607096737302
}

Настроить токен в АктивномШлюзе на хосте

1. В каталоге конфигурации АктивногоШлюза найдите файл авторизации.properties.

2. Отредактируйте файл, добавив сгенерированный вами токен АктивногоШлюза в качестве значения свойства authToken. Например:

authToken = dt0g01.4KWZO5EF.XT47R5DRADJIZUFOX4UDNOKTSUSABGLN7XSMJG7UXHRXKNY4WLORH4OF4T75MG7E     # present, if required

3. Перезапустите основную службу АктивногоШлюза.

Уведомления об истечении срока действия токена АктивногоШлюза

Помимо настройки внутреннего механизма ротации токенов АктивногоШлюза до истечения срока их действия, вы можете настроить уведомления об истечении срока действия токенов АктивногоШлюза. Для этого создайте интеграцию уведомлений о проблемах (например, по электронной почте), используя встроенный профиль оповещения Значение по умолчанию для истечения срока действия токена АктивногоШлюза.

Для Ключ-Астром Managed контакты для экстренных случаев также получают уведомления об истечении срока действия токена.

Чтобы отключить уведомления

1. В меню Ключ-Астром выберите Статус развертывания > АктивныеШлюзы.

2. Выберите Дополнительно (…), затем выберите Настройки применения токена АктивногоШлюза.

3. Отключите Включить уведомления об истечении срока действия токенов АктивногоШлюза.

4. Выберите Сохранить изменения.