En esta página, se proporciona una introducción para establecer buenas prácticas de seguridad para GKE en Bare Metal. La orientación en esta página no pretende proporcionar una lista completa de las prácticas recomendadas.
El uso de prácticas recomendadas para la seguridad en GKE en Bare Metal implica aplicar conceptos de Kubernetes y Google Kubernetes Engine (GKE), así como conceptos que son exclusivos de GKE en Bare Metal.
Seguridad de Kubernetes
Te recomendamos que sigas los lineamientos generales de Kubernetes para la seguridad cuando uses GKE en Bare Metal.
Para obtener una introducción a los lineamientos de seguridad de Kubernetes, consulta la Lista de tareas de seguridad y la Descripción general de la seguridad nativa de la nube en la documentación de Kubernetes.
Seguridad de GKE
GKE en Bare Metal extiende GKE para crear clústeres de GKE en servidores Linux propios alojados en tus instalaciones. Para obtener más información sobre la seguridad de GKE, consulta la descripción general de seguridad de GKE. Mientras lees, ten en cuenta que, debido a que el plano de control y los nodos se ejecutan de manera local, no se aplican las sugerencias para la seguridad del plano de control y la seguridad de nodos.
Seguridad de GKE en Bare Metal
En las siguientes secciones, se proporciona orientación a fin de establecer buenas prácticas de seguridad para GKE en Bare Metal.
Seguridad del hardware
Protege tus centros de datos locales con las funciones de seguridad física y protección estándar de la industria.
Asegúrate de que el acceso a la estación de trabajo de administrador esté altamente restringido. La estación de trabajo de administrador almacena datos sensibles, como archivos
kubeconfig
, claves SSH y claves de cuenta de servicio.
Seguridad de nodos
- Mantén tu sistema operativo actualizado mediante la actualización de los paquetes de software y la instalación de parches de seguridad.
Seguridad del clúster
Endurece la seguridad de tus clústeres de GKE en Bare Metal.
Aísla el tráfico y los datos mediante una implementación de clúster de usuario y de administrador. Este tipo de implementación te ayuda a lograr los siguientes tipos de aislamiento:
- El tráfico de la carga de trabajo está aislado del tráfico administrativo o del plano de administración.
- El acceso al clúster está aislado por grupo o rol.
- Las cargas de trabajo de producción están aisladas de las de desarrollo.
Actualiza los clústeres a una versión compatible. Usar una versión compatible te proporciona los siguientes beneficios de seguridad:
- Corrección de vulnerabilidades de seguridad
- Funciones y características nuevas que aprovechan el nivel de seguridad y las tecnologías más recientes
- Actualizaciones para software y componentes agrupados.
Seguridad de las cargas de trabajo
Protege tus contenedores con Security-Enhanced Linux (SELinux).
Protege tus cargas de trabajo con la autorización binaria. La autorización binaria es un servicio de Google Cloud que proporciona seguridad de la cadena de suministro de software para aplicaciones que se ejecutan en la nube. Con la autorización binaria, puedes asegurarte de que los procesos internos que protegen la integridad y calidad del software se hayan completado de forma correcta antes de que se implemente una aplicación en el entorno de producción.
Usa Workload Identity para otorgar a los Pods acceso a los recursos de Google Cloud. Workload Identity permite que una cuenta de servicio de Kubernetes se ejecute como una cuenta de servicio de IAM. Los Pods que se ejecutan como la cuenta de servicio de Kubernetes tienen los permisos de la cuenta de servicio de IAM.
Seguridad de red
Elige una conexión segura entre tu GKE en Bare Metal y Google Cloud. Una vez establecida la conexión fundamental, agrega funciones que mejoren su seguridad.
Limita la exposición de los clústeres a la Internet pública. Para ello, instálalos detrás de un proxy y crea reglas de firewall. También usa los controles adecuados en tu entorno de red para limitar el acceso público al clúster.
Seguridad de la autenticación
Administra la identidad con GKE Identity Service. GKE Identity Service es un servicio de autenticación que te permite usar tus soluciones de identidad existentes para la autenticación en varios entornos de la edición de Google Kubernetes Engine (GKE) Enterprise. Puedes acceder a tus clústeres de GKE en Bare Metal y usarlos desde la línea de comandos (todos los proveedores) o desde la consola de Google Cloud (solo OIDC), todo con tu proveedor de identidad existente.
Conéctate a clústeres registrados con la puerta de enlace de conexión. La puerta de enlace de Connect se basa en la potencia de las flotas para permitir que los usuarios de GKE Enterprise se conecten a clústeres registrados y ejecuten comandos en ellos de forma simple, coherente y segura.
Seguridad de credenciales
Rota las autoridades certificadoras. GKE en Bare Metal usa certificados y claves privadas para autenticar y encriptar conexiones entre componentes del sistema en clústeres. Para mantener una comunicación segura del clúster, rota las autoridades certificadoras del clúster de usuario de forma periódica y siempre que haya una posible violación de seguridad.
Rota claves de cuentas de servicio. Para reducir el riesgo de seguridad causado por claves filtradas, te recomendamos que rotes las claves de servicio con regularidad.
Supervisa tu seguridad
- Usa el registro de auditoría de Kubernetes. El registro de auditoría proporciona una forma para que los administradores retengan, consulten, procesen y emitan alertas sobre los eventos que ocurren en tus entornos de GKE en Bare Metal.
Para obtener más información sobre la supervisión de la seguridad del clúster, consulta Supervisa la postura de seguridad de la flota.