Sicherheit

Diese Seite bietet eine Einführung in das Etablieren guter Sicherheitspraktiken für GKE on Bare Metal. Die Informationen auf dieser Seite stellen keine umfassende Liste von Best Practices dar.

Die Anwendung von Best Practices für die Sicherheit in GKE on Bare Metal beinhaltet die Anwendung von Konzepten von Kubernetes und Google Kubernetes Engine (GKE) sowie Konzepten, die es nur in GKE on Bare Metal gibt.

Kubernetes-Sicherheit

Wir empfehlen, die allgemeinen Kubernetes-Richtlinien für die Sicherheit zu befolgen, wenn Sie GKE on Bare Metal verwenden.

Eine Einführung in die Sicherheitsrichtlinien von Kubernetes finden Sie unter Sicherheits-Checkliste und Übersicht über die cloudnative Sicherheit in der Kubernetes-Dokumentation.

GKE-Sicherheit

GKE on Bare Metal erweitert die GKE so, dass Sie GKE-Cluster lokal auf Ihren eigenen Linux-Servern erstellen können. Weitere Informationen zur GKE-Sicherheit finden Sie unter GKE-Sicherheit. Beachten Sie beim Lesen, dass die Vorschläge für die Sicherheit der Steuerungsebene und die Knotensicherheit nicht gelten, da die Steuerungsebene und die Knoten lokal ausgeführt werden.

GKE on Bare Metal-Sicherheit

Die folgenden Abschnitte enthalten Anleitungen zum Festlegen guter Sicherheitspraktiken für GKE on Bare Metal.

Hardwaresicherheit

  • Schützen Sie Ihre lokalen Rechenzentren mit branchenüblichen physischen Sicherheits- und Sicherheitsfunktionen.

  • Achten Sie darauf, dass der Zugriff auf Ihre Administratorworkstation stark eingeschränkt ist. Die Administratorworkstation speichert sensible Daten wie kubeconfig-Dateien, SSH-Schlüssel und Dienstkontoschlüssel.

Knotensicherheit

  • Halten Sie Ihr Betriebssystem auf dem neuesten Stand, indem Sie Softwarepakete aktualisieren und Sicherheitspatches installieren.

Clustersicherheit

Arbeitslastsicherheit

  • Container mit Security-Enhanced Linux (SELinux) sichern

  • Arbeitslasten mit Binärautorisierung schützen Die Binärautorisierung ist ein Dienst in Google Cloud, der Software-Lieferkettensicherheit für in der Cloud ausgeführte Anwendungen bietet. Mit der Binärautorisierung werden interne Prozesse, die die Qualität und Integrität Ihrer Software gewährleisten, erfolgreich abgeschlossen, bevor eine Anwendung in Ihrer Produktionsumgebung bereitgestellt wird.

  • Verwenden Sie Workload Identity, um Pods Zugriff auf Google Cloud-Ressourcen zu gewähren. Mit Workload Identity kann ein Kubernetes-Dienstkonto als IAM-Dienstkonto ausgeführt werden. Pods, die als Kubernetes-Dienstkonto ausgeführt werden, haben die Berechtigungen des IAM-Dienstkontos.

  • Best Practices für GKE RBAC befolgen

Netzwerksicherheit

Authentifizierungssicherheit

  • Identität mit dem GKE Identity Service verwalten GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehreren Umgebungen der Google Kubernetes Engine (GKE) Enterprise nutzen können. Sie können sich über die Befehlszeile (alle Anbieter) oder die Google Cloud Console (nur OIDC) bei Ihren GKE on Bare-Metal-Clustern anmelden und diese verwenden. Verwenden Sie dazu Ihren vorhandenen Identitätsanbieter.

  • Mit dem Connect-Gateway eine Verbindung zu registrierten Clustern herstellen Das Connect-Gateway baut auf der Leistung von Flotten auf, damit GKE Enterprise-Nutzer auf einfache, konsistente und sichere Weise eine Verbindung zu registrierten Clustern herstellen und Befehle für diese ausführen können.

Sicherheit der Anmeldedaten

  • Zertifizierungsstellen rotieren: GKE on Bare Metal verwendet Zertifikate und private Schlüssel, um Verbindungen zwischen Systemkomponenten in Clustern zu authentifizieren und zu verschlüsseln. Wechseln Sie die Zertifizierungsstellen Ihres Nutzerclusters regelmäßig und bei möglichen Sicherheitsverstößen, um eine sichere Clusterkommunikation aufrechtzuerhalten.

  • Dienstkontoschlüssel rotieren. Um das Sicherheitsrisiko von gehackten Schlüsseln zu reduzieren, empfehlen wir Ihnen, Ihre Dienstschlüssel regelmäßig zu rotieren.

Sicherheit überwachen

Weitere Informationen zum Überwachen der Clustersicherheit finden Sie unter Sicherheitsstatus der Flotte überwachen.