Challenging Multiple SPIRE Server

SPIFFE Meetup Tokyo #2 Tomoya Usami <[email protected]> @hiyosi Challenging Multiple
SPIRE Server

http://bit.ly/2nwnZNf

Tomoya Usami / @hiyosi ▶ ISPにてシステム運⽤基盤の開発、IDaaSサービスの⽴ち上げなどに関わった後、2016年9⽉にゼットラボ株式会社に⼊社。 ▶ 現在はインフラ基盤の研究開発を⾏っている。
▶ Zero Trust Networkや認証技術に興味がある

Tomoya Usami / @hiyosi ▶ Intro SPIFFE + https://speakerdeck.com/hiyosi/intro-spiﬀe ▶
Challenging Secure Introduction With SPIFFE + https://speakerdeck.com/hiyosi/challenging- secure-introduction-with-spiﬀe

ゼットラボ株式会社 ▶ 2015年に設⽴されたヤフー株式会社100%⼦会社 ▶ インフラ基盤技術の調査・研究開発 ▶ https://zlab.co.jp/ ▶ https://qiita.com/organizations/zlab

モチベーション

モチベーション ▶ SPIREを本番導⼊する想定でシステム設計をまじめに検討 + スケーラビリティとアベイラビリティの両⽅が必要 ▶ 複数台で構成できることは知っていたが、システム全体としてどのように構成するのがよいかイマイチまとまっていなかった + ⼿を動かして検証し、ちゃんと理解する必要があった

SPIRE Serverダウン時の挙動

Node Attestation成功後、AgentはServerとの接続を維持して情報を更新する SPIREのコンポーネントと役割 SPIRE Server SPIRE Agent Workload Node SVIDの更新、
Nodeに紐づくWorkload情報の更新  (SVIDs, Selectors) SVID Workload Attestation Node Node Attestation (1) (2) (3) (4) (5) (6)

Agentが起動できないため、Workloadに関する情報が取得できない Node Attestation前に接続断 SPIRE Server SPIRE Agent Workload Node SVIDの更新、
Nodeに紐づくWorkload情報の更新  (SVIDs, Selectors ) Workload Attestation Node TLS

Node Attestationに失敗したAgentは正常に起動できずに停⽌する Node Attest前に断したときのAgent SPIRE Server SPIRE Agent Agentは起動できずにそのまま停⽌ ※systemdなどによりリトライさせることはできる
TLS

Agentは起動しているが既存WorkloadがSVIDをローテーションできない Node Attestation成功後に接続断 SPIRE Server SPIRE Agent Workload SVID Workload
Attestation Node 古いSVIDやSelector情報しか持っていない Node SVIDの更新、 Nodeに紐づくWorkload情報の更新  (SVIDs, Selectors ) mTLS

Agentは起動しているが新規WorkloadをAttestationできない Node Attestation成功後に接続断 SPIRE Server SPIRE Agent Workload Workload Attestation
Node 知らないWorkload Node SVIDの更新、 Nodeに紐づくWorkload情報の更新  (SVIDs, Selectors ) mTLS Workloadの登録

Agentは起動しており、Workload 情報更新のための接続をひたすら繰り返す Node Attest後に断したときのAgent SPIRE Server SPIRE Agent Agentは再接続を繰り返す mTLS

Serverの障害発⽣時もAgentは他のServerへ接続できる構成に Agentが正しく動作するために複数のServerが必要 SPIRE Server SPIRE Server SPIRE Agent SPIRE Server

SPIREの可⽤性向上

ただ接続できればいいだけなく、いくつか考慮する点がある別のServerに接続して継続するには SPIRE Server SPIRE Agent SPIRE Server

Agentが正しく別のServerに接続できるには ▶ Agentの情報(Node Attestationの情報)がServer間で共有されている必要がある + 信頼済み情報がないと再接続時に不明なAgentとして接続がエラーになる ▶ Agent/Serverはお互いのSVID(証明書チェーン)が正しく検証できる必要がある + Agent
- ServerはTLS/mTLSで認証しているのでどのような接続の組み合わせでも正しく証明書が検証できて認証できなければならない

Attestation情報の共有

Node Attest後に新規Serverに接続した際に不正なAgentと⾒なされる。 Attestationエントリが存在しないため信頼されない Attestationエントリを共有していない場合 SPIRE Server SPIRE Agent SPIRE Server
知らないAgent

別のServerでAttestation済みで情報も共有されているため、意識せずに接続できる Attestationエントリを共有している場合 SPIRE Server SPIRE Agent SPIRE Server Datastore 信頼済みのAgent

各証明書を正しく検証する

Agent - Server 間の通信 ▶ Node Attestation時の通信 + Agent -
Server 間は単なるTLS通信 + Agentはサーバ証明書を検証する ▶ Node Attestation後のSVID更新、Workload情報の同期のための通信 + Agent - Server はmTLS通信 + AgentとServerはお互いの証明書を検証する + ServerはAgentを識別(ノードを識別)できるので、ノードに紐づいたワークロード情報を返す

SPIRE ServerによるSVIDの発⾏ Server Upstream CA Disk/Memory Datastore Agent SVID Key
Pair Attestation情報 , Bundles, etc 既存PKIに合流する場合 CA API Server SVID TLS/mTLS CA Cert

Upstream CAが存在する場合の各証明書の検証

Serverの証明書を検証する(Node Attest前) SPIRE Server SPIRE Agent Server SVID agent.conf  
agent {  … trust_bundle_path=server_upstream.pem  … } Sever SVIDはAgentの設定ファイルで指定した証明書で検証する

Serverの証明書を検証する (Node Attest前) agent.conf   agent {  … trust_bundle_path=server_upstream.pem  …
} Server  CA Upstream CA Server Cert Server  CA Upstream CAが存在する場合はUpstream CAの証明書(バンドル) を配布することでAgentはそれを使ってServer SVIDを検証できる issuer=Upstream CA issuer=Server CA Server Cert

Serverの証明書を検証する (Node Attest後) SPIRE Server SPIRE Agent agent_svid.der  - Agent
Cert  - Server CA Cert(ICA) bundle.der - Upstream Bundle Node Attestationの結果として AgentのSVIDを発⾏、他のSVID検証⽤のBundleが⼿に⼊る Upstream CA ServerCA Data Bundles server_svid  - Server Cert  - Server CA Cert ※ ICA=Intermediate Certiﬁcate Authority

Agentの証明書を検証する (Node Attest後) SPIRE Server SPIRE Agent agent_svid.der  - Agent
Cert  - Server CA Cert(ICA) bundle.der - Upstream Bundle Upstream CA ServerCA Data 中間CA証明書と連結されたAgentSVIDの証明書チェーンを Upstream CAの証明書で検証する Bundles server_svid  - Server Cert  - Server CA Cert ※ ICA=Intermediate Certiﬁcate Authority

PKI ツリー Server  CA(ICA) Upstream CA Server Cert Server  CA(ICA)
Server Cert Agent Cert Agent Cert サーバが提⽰する内容クライアントが提⽰する内容

Upstream CAを使わない場合の各証明書の検証

Serverの証明書を検証する (Node Attest前) agent.conf   agent {  … trust_bundle_path=server_upstream.pem  …
} Server  CA Server  Cert Server Cert Server  CA DatastoreにそれぞれのRoot CA証明書が保管されている(master)ので、そのデータをAgentに配布。  ⽴ち上げてからじゃないと配布できない課題がある。 (※後ほど補⾜) Upstream CAが存在しない場合は  Server CAがRoot CAになる Data

Serverの証明書を検証する (Node Attest後) SPIRE Server SPIRE Agent agent_svid.der  - Agent
Cert bundle.der - Server CA Certs Node Attestationの結果として AgentのSVIDを発⾏、および他のSVID検証⽤のBundleが⼿に⼊る ServerCA Data Bundles server_svid  - Server Cert ※ ICA=Intermediate Certiﬁcate Authority

Agentの証明書を検証する (Node Attest後) SPIRE Server SPIRE Agent agent_svid.der  - Agent
Cert bundle.der - Server CA Certs ServerCA Data AgentSVIDをBundleとして保管されている Root CA証明書群で検証する Bundles server_svid  - Server Cert ※ ICA=Intermediate Certiﬁcate Authority

PKI ツリー Server  CA(Root) Server Cert Server  CA(Root) Server Cert
Agent Cert Agent Cert サーバが提⽰する内容クライアントが提⽰する内容

注意点 (No UpstreamCA) ▶ Server CAがRoot CAとなるが、そのための鍵ペアはServerのローカルで管理されている + Key
Manager は Disk plugin を使い、data_dirの永続化が必要 + SPIRE Serverのノードが再⽣成されるとRoot CA証明書が変わってしまい、 Agentが接続できなくなる ▶ Server SVID検証のBootstrap問題を解消しつつ、SPIRE ServerはTrust Domain内でRoot CAとして振るまうような設定(upstream_bundle=false)もできるが、問題が確認されたので将来的には無くなりそうな流れ + spiﬀe/spire/issues/1095

upstream_bundle=falseの設定とは ▶ Upstream CAは使うがあくまでBootstrap時のみ ▶ ⾃⾝は中間CAの⽴ち位置であるが、Upstream Bundleに上位のBundleを含めないことで、Trust Domain内では上位のCAとは切り離して運⽤する ▶
これはAgentのBootstrap問題を回避するためにダミーのUpstream CA証明書を使ったワークアラウンドの際に⽣み出されたものだと思われる(ダミーCAのツリーに組み込まれたくない) ▶ 将来的にBootstrap問題を解消して廃⽌の流れなのでテスト以外では使わない

Server証明書の検証 (upstream_bundle=false) agent.conf   agent {  … trust_bundle_path=server_upstream.pem  … }
Server  CA Upstream CA Server Cert Server  CA Bootstrap時はUpstreamCAのBundleを使ってServer SVIDの検証 issuer=Upstream CA issuer=Server CA Server Cert

Server証明書の検証 (upstream_bundle=false) SPIRE Server SPIRE Agent agent_svid.der  - Agent Cert
bundle.der - Server CA Certs Agentに渡すBundleにはupstreamのbundleを含めない Upstream CA ServerCA Data Bundles server_svid  - Server Cert  - Server CA Cert

PKIツリーの設計が構成を決める上で重要なポイントになる

関連するコンポーネントの整理 ▶ Datastore + NodeのAttestation情報やWorkloadの情報(Selectorなど), Trust Bundleを保存 ▶ Key Manager
+ SPIRE ServerがSVID(証明書orJWT)を発⾏するための鍵ペアを管理 ▶ Upstream CA + SPIREが発⾏する証明書を既存のツリーに組み込むのかどうか

https://spiﬀe.io/spire/overview/

バックエンドの選択 ▶ Datastore + 複数のサーバ間で共有が必要 + MySQL, PostgreSQL + Kubernetes
pluginも(summerwind/spire-plugin-datastore-k8s) ▶ Key Manager + Upstream CA使わない場合はdiskプラグインを使って永続ボリュームに書き出す ▶ Upstream CA + Amazon KMSやStaticな鍵ペア、HashiCorp Vaultなど選択できる

前回の訂正 ▶ Datastore + 複数のサーバ間で共有が必要 + MySQL, PostgreSQL + Kubernetes
pluginも(summerwind/spire-plugin-datastore-k8s) ▶ Key Manager + Upstream CA使わない場合はdiskプラグインを使って永続ボリュームに書き出す ▶ Upstream CA + Amazon KMSやStaticな鍵ペア、HashiCorp Vaultなど選択できる前回のMeetupの質疑応答で冗⻑化のためには  KeyManager部分も共有が必要かもと⾔いましたが、  共有しなくても良さそうでした

SPIRE Serverを振り分ける

L4 LoadBalancerによる冗⻑化・(分散) SPIRE Server SPIRE Server SPIRE Agent SPIRE Server
L4 Load Balancer Agent-ServerはgRPC通信なので L4 LBでは最初の接続しか分散できない

DNSによる冗⻑化・分散 SPIRE Server SPIRE Server SPIRE Agent SPIRE Server DNS
Service spire-server 192.168.0.1 spire-server 192.168.0.2 spire-server 192.168.0.3 障害ノードに振られると再接続を繰り返してしまう点に注意。 ※将来的に解消される⾒込み  (spiﬀe/spire/pull/1061)

L7 LoadBalancerによる冗⻑化・分散？ SPIRE Server SPIRE Server SPIRE Agent SPIRE Server
L7 LoadBalancer 途中にL7LB挟んで正しくmTLSできる？    mTLSできてもServerが認証した相⼿は  LBになってしまわないか AgentとServerはmTLSで通信

ワークロードがJWT-SVIDを使う場合の問題

複数台構成でのJWT-SVIDの課題 ▶ JWT-SVID はServerのKey Managerが管理する鍵によって署名される + JWTの証明書は鍵はServer毎に管理されている秘密鍵で署名される + JWTの署名はTLS証明書のようにチェーンで検証できない ▶
Upstream CAを使っている場合、DatastoreにBundleとして保管されているのは Upstream CAの証明書Bundleのみなので、署名に使った各Server間の鍵とペアの公開鍵の配布が難しい ▶ Upstream CA使っていない場合はBundleとして各Server(RootCA)の証明書が⼿に⼊るので、そこから公開鍵が⼿に⼊れられる。

JWT-SVIDを利⽤する SPIRE Server SPIRE Agent Upstream CA ServerCA Workload Server
CAの鍵で署名されている SPIRE Server SPIRE Agent ServerCA Workload 送信元のJWTの検証鍵  を⼿に⼊れられない Workload, Agentが  持っているのは  UpstreamCAのBundle だけ

JWT-SVIDを利⽤する $ spire-server experimental bundle show { "keys": [{ "use":
“x509-svid", "kty": "EC", "crv": "P-256", "x": "fK-wKTnKL7KFLM27lqq5DC-bxrVaH6rDV-IcCSEOeL4", "y": "wq-g3TQWxYlV51TCPH030yXsRxvujD4hUUaIQrXk4KI", "x5c": [ “MIIBKjCB0aAD……r7OVLUrL+b9ylAdZglS5kKnYigmwDh+/U=" ] }, { "use": “jwt-svid", "kty": "EC", "kid": "KID", "crv": "P-256", "x": "fK-wKTnKL7KFLM27lqq5DC-bxrVaH6rDV-IcCSEOeL4", "y": "wq-g3TQWxYlV51TCPH030yXsRxvujD4hUUaIQrXk4KI" } ] } X509 SVIDΛݕূ͢ΔͨΊͷ৘ใ JWT SVIDΛݕূ͢ΔͨΊͷ৘ใ

JWT-SVIDを利⽤する ▶ 先ほどのコマンドの結果はJWKs形式なので、そのままJWKsエンドポイントで公開し、JWTの検証ロジックから参照することで鍵は⼿に⼊る ▶ ただし、Server毎の結果なので複数台構成でバランシングされている場合、マッチする鍵を持つServerに振り分けられないと検証に失敗する + ワークアラウンドとしては +
Active/Standby のような構成にする？ + 鍵情報をまとめて公開するJWKsエンドポイントを⽤意する？ ͜͜͸·ͩίϛϡχςΟ΋ղܾઌΛ໛ࡧͯ͠·͢ʢͱࢥ͍·͢) Կ͔Α͍ํ๏͕͋Ε͹ڭ͍͑ͯͩ͘͞

まとめ

まとめ ▶ Upstream CAがあるとSPIRE Serverは永続ボリューム持たなくてもいいので構成がシンプルになる ▶ upstream_bundle=false の設定は本番では使わない ▶
Upstream CA無しのパターンは次期バージョンからのほうが良さそう ▶ SPIRE ServerのバランシングはL4 LBかクライアント側でバランシング ▶ 複数台構成でのJWT-SVID利⽤は課題あり + フェデレーションが絡んでくるとさらに難しくなってくる

今後やりたいこと ▶ SPIREのパフォーマンス検証 ▶ MySQL/PostgreSQL以外のデータストア検討 ▶ IstioのIdentityまわりを整理したい + サービス識別⼦がたくさんあって⼤変

今後やりたいこと ▶ もちろん SPIFFE Meetup Tokyo も継続して開催していきたい ▶ 次はZero Trust関連もしくはIstioの発表を集められたらと思っています
+ ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計 + 2019/10/28 に⽇本語訳の書籍が発売予定 ▶ 次回も是⾮ご参加いただけたら嬉しいです

We’re hiring ご興味ある⽅は、ゼットラボ社員に直接ご連絡ください

Challenging Multiple SPIRE Server

Challenging Multiple SPIRE Server

More Decks by Tomoya Usami

Other Decks in Technology

Featured

Transcript