Sicherheit

Diese Seite bietet eine Einführung in das Etablieren guter Sicherheitspraktiken für GKE on Bare Metal. Die Informationen auf dieser Seite stellen keine umfassende Liste von Best Practices dar.

Die Anwendung von Best Practices für die Sicherheit in GKE on Bare Metal beinhaltet die Anwendung von Konzepten von Kubernetes und Google Kubernetes Engine (GKE) sowie Konzepten, die es nur in GKE on Bare Metal gibt.

Kubernetes-Sicherheit

Wir empfehlen, die allgemeinen Kubernetes-Richtlinien für die Sicherheit zu befolgen, wenn Sie GKE on Bare Metal verwenden.

Eine Einführung in die Sicherheitsrichtlinien von Kubernetes finden Sie unter Sicherheits-Checkliste und Übersicht über die cloudnative Sicherheit in der Kubernetes-Dokumentation.

GKE-Sicherheit

GKE on Bare Metal erweitert die GKE so, dass Sie GKE-Cluster lokal auf Ihren eigenen Linux-Servern erstellen können. Weitere Informationen zur GKE-Sicherheit finden Sie unter GKE-Sicherheit. Beachten Sie beim Lesen, dass die Vorschläge für die Sicherheit der Steuerungsebene und die Knotensicherheit nicht gelten, da die Steuerungsebene und die Knoten lokal ausgeführt werden.

GKE on Bare Metal-Sicherheit

Die folgenden Abschnitte enthalten Anleitungen zum Festlegen guter Sicherheitspraktiken für GKE on Bare Metal.

Hardwaresicherheit

• Schützen Sie Ihre lokalen Rechenzentren mit branchenüblichen physischen Sicherheits- und Sicherheitsfunktionen.

• Achten Sie darauf, dass der Zugriff auf Ihre Administratorworkstation stark eingeschränkt ist. Die Administratorworkstation speichert sensible Daten wie kubeconfig-Dateien, SSH-Schlüssel und Dienstkontoschlüssel.

Knotensicherheit

• Halten Sie Ihr Betriebssystem auf dem neuesten Stand, indem Sie Softwarepakete aktualisieren und Sicherheitspatches installieren.

Clustersicherheit

• Sicherheit von GKE on Bare-Metal-Clustern härten

• Isolieren Sie Traffic und Daten mithilfe einer Bereitstellung eines Administrator- und Nutzerclusters. Mit diesem Bereitstellungstyp erreichen Sie die folgenden Isolationstypen:

  • Der Arbeitslasttraffic ist vom Traffic auf der Verwaltungs- oder Verwaltungsebene isoliert.
  • Der Clusterzugriff ist nach Gruppe oder Rolle isoliert.
  • Produktionsarbeitslasten sind von Entwicklungsarbeitslasten isoliert.

• Führen Sie ein Upgrade Ihrer Cluster auf eine unterstützte Version durch. Die Verwendung einer unterstützten Version bietet Ihnen folgende Sicherheitsvorteile:

  • Fehlerkorrekturen für Sicherheitslücken.
  • Neue Features und Funktionen, die die neuesten Sicherheitsfunktionen und Technologien nutzen.
  • Updates für Software-Bundles und Komponenten

Arbeitslastsicherheit

• Container mit Security-Enhanced Linux (SELinux) sichern

• Arbeitslasten mit Binärautorisierung schützen Die Binärautorisierung ist ein Dienst in Google Cloud, der Software-Lieferkettensicherheit für in der Cloud ausgeführte Anwendungen bietet. Mit der Binärautorisierung werden interne Prozesse, die die Qualität und Integrität Ihrer Software gewährleisten, erfolgreich abgeschlossen, bevor eine Anwendung in Ihrer Produktionsumgebung bereitgestellt wird.

• Verwenden Sie Workload Identity, um Pods Zugriff auf Google Cloud-Ressourcen zu gewähren. Mit Workload Identity kann ein Kubernetes-Dienstkonto als IAM-Dienstkonto ausgeführt werden. Pods, die als Kubernetes-Dienstkonto ausgeführt werden, haben die Berechtigungen des IAM-Dienstkontos.

• Best Practices für GKE RBAC befolgen

Netzwerksicherheit

• Sichere Verbindung zwischen GKE on Bare Metal und Google Cloud auswählen. Nachdem die grundlegende Verbindung hergestellt wurde, können Sie Funktionen hinzufügen, die die Sicherheit der Verbindung erhöhen.

• Begrenzen Sie die Gefährdung Ihrer Cluster für das öffentliche Internet. Installieren Sie sie dazu hinter einem Proxy und erstellen Sie Firewallregeln. Beschränken Sie außerdem den öffentlichen Zugriff auf den Cluster mithilfe der entsprechenden Steuerelemente in Ihrer Netzwerkumgebung.

Authentifizierungssicherheit

• Identität mit dem GKE Identity Service verwalten GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehreren Umgebungen der Google Kubernetes Engine (GKE) Enterprise nutzen können. Sie können sich über die Befehlszeile (alle Anbieter) oder die Google Cloud Console (nur OIDC) bei Ihren GKE on Bare-Metal-Clustern anmelden und diese verwenden. Verwenden Sie dazu Ihren vorhandenen Identitätsanbieter.

• Mit dem Connect-Gateway eine Verbindung zu registrierten Clustern herstellen Das Connect-Gateway baut auf der Leistung von Flotten auf, damit GKE Enterprise-Nutzer auf einfache, konsistente und sichere Weise eine Verbindung zu registrierten Clustern herstellen und Befehle für diese ausführen können.

Sicherheit der Anmeldedaten

• Zertifizierungsstellen rotieren: GKE on Bare Metal verwendet Zertifikate und private Schlüssel, um Verbindungen zwischen Systemkomponenten in Clustern zu authentifizieren und zu verschlüsseln. Wechseln Sie die Zertifizierungsstellen Ihres Nutzerclusters regelmäßig und bei möglichen Sicherheitsverstößen, um eine sichere Clusterkommunikation aufrechtzuerhalten.

• Dienstkontoschlüssel rotieren. Um das Sicherheitsrisiko von gehackten Schlüsseln zu reduzieren, empfehlen wir Ihnen, Ihre Dienstschlüssel regelmäßig zu rotieren.

Sicherheit überwachen

• Verwenden Sie das Audit-Logging von Kubernetes. Audit-Logging bietet Administratoren die Möglichkeit, Ereignisse in GKE on Bare Metal-Umgebungen aufzubewahren, abzufragen, zu verarbeiten und zu melden.

Weitere Informationen zum Überwachen der Clustersicherheit finden Sie unter Sicherheitsstatus der Flotte überwachen.