Ringkasan keamanan

Halaman ini menyediakan pengantar untuk menetapkan praktik keamanan yang baik untuk GKE di Bare Metal. Panduan di halaman ini tidak dimaksudkan untuk memberikan daftar lengkap praktik terbaik kepada Anda.

Penggunaan praktik keamanan yang baik pada GKE di Bare Metal melibatkan penerapan konsep dari Kubernetes dan Google Kubernetes Engine (GKE), serta konsep yang unik untuk GKE di Bare Metal.

Keamanan Kubernetes

Sebaiknya ikuti panduan umum Kubernetes untuk keamanan saat menggunakan GKE di Bare Metal.

Untuk pengantar pedoman keamanan Kubernetes, lihat Checklist Keamanan dan Ringkasan Keamanan Berbasis Cloud dalam dokumentasi Kubernetes.

Keamanan GKE

GKE on Bare Metal memperluas GKE sehingga Anda dapat membuat cluster GKE di server Linux di lokasi Anda sendiri. Untuk mempelajari keamanan GKE lebih lanjut, lihat ringkasan keamanan GKE. Saat membaca, perlu diingat bahwa karena bidang kontrol dan node Anda berjalan secara lokal, saran untuk keamanan bidang kontrol dan keamanan node tidak berlaku.

GKE pada keamanan Bare Metal

Bagian berikut memberikan panduan untuk menetapkan praktik keamanan yang baik untuk GKE di Bare Metal.

Keamanan hardware

• Amankan pusat data lokal Anda dengan fitur keamanan dan keselamatan fisik standar industri.

• Pastikan akses ke workstation admin Anda sangat dibatasi. Workstation admin menyimpan data sensitif seperti file kubeconfig, kunci SSH, dan kunci akun layanan.

Keamanan node

• Selalu update sistem operasi Anda dengan mengupdate paket software dan menginstal patch keamanan.

Keamanan cluster

• Tingkatkan keamanan GKE Anda di cluster Bare Metal.

• Isolasi traffic dan data Anda menggunakan deployment cluster admin dan pengguna. Jenis deployment ini membantu Anda mencapai jenis isolasi berikut:

  • Traffic workload diisolasi dari traffic administratif atau bidang pengelolaan.
  • Akses cluster diisolasi berdasarkan grup atau peran.
  • Workload produksi diisolasi dari beban kerja pengembangan.

• Upgrade cluster Anda ke versi yang didukung. Menggunakan versi yang didukung akan memberi Anda manfaat keamanan berikut:

  • Perbaikan untuk kerentanan keamanan.
  • Fitur dan fungsi baru yang memanfaatkan bentuk dan teknologi keamanan terbaru.
  • Update untuk komponen dan software yang dipaketkan.

Keamanan workload

• Amankan container Anda menggunakan Security-Enhanced Linux (SELinux).

• Amankan workload Anda dengan Otorisasi Biner. Otorisasi Biner adalah layanan di Google Cloud yang menyediakan keamanan supply chain software untuk aplikasi yang berjalan di cloud. Dengan Otorisasi Biner, Anda dapat memastikan bahwa proses internal yang menjaga kualitas dan integritas software telah berhasil diselesaikan sebelum aplikasi di-deploy ke lingkungan produksi.

• Gunakan Workload Identity untuk memberi Pod akses ke resource Google Cloud. Dengan Workload Identity, akun layanan Kubernetes dapat dijalankan sebagai akun layanan IAM. Pod yang berjalan sebagai akun layanan Kubernetes memiliki izin akun layanan IAM.

• Ikuti praktik terbaik untuk GKE RBAC.

Keamanan jaringan

• Pilih koneksi yang aman antara GKE Anda di Bare Metal dan Google Cloud. Setelah koneksi dasar terpasang, tambahkan fitur yang akan meningkatkan keamanan koneksi Anda.

• Batasi eksposur cluster Anda ke internet publik dengan menginstalnya di belakang proxy dan membuat aturan firewall. Selain itu, gunakan kontrol yang sesuai di lingkungan jaringan Anda untuk membatasi akses publik ke cluster.

Keamanan autentikasi

• Kelola identitas dengan GKE Identity Service. GKE Identity Service adalah layanan autentikasi yang dapat Anda gunakan untuk menghadirkan solusi identitas yang sudah ada untuk autentikasi ke beberapa lingkungan edisi Google Kubernetes Engine (GKE) Enterprise. Anda dapat login dan menggunakan GKE pada cluster Bare Metal dari command line (semua penyedia) atau dari Konsol Google Cloud (khusus OIDC), semuanya menggunakan penyedia identitas Anda yang sudah ada.

• Hubungkan cluster terdaftar dengan gateway Connect. Gateway Connect di-build berdasarkan kecanggihan fleet untuk memungkinkan pengguna GKE Enterprise terhubung dan menjalankan perintah terhadap cluster terdaftar dengan cara yang sederhana, konsisten, dan aman.

Keamanan kredensial

• Rotasi certificate authority. GKE on Bare Metal menggunakan sertifikat dan kunci pribadi untuk mengautentikasi dan mengenkripsi koneksi antarkomponen sistem dalam cluster. Untuk mempertahankan komunikasi cluster yang aman, rotasikan otoritas sertifikat cluster pengguna Anda secara berkala dan setiap kali ada kemungkinan pelanggaran keamanan.

• Rotasi kunci akun layanan. Untuk mengurangi risiko keamanan yang disebabkan oleh kebocoran kunci, sebaiknya ganti kunci layanan Anda secara rutin.

Memantau keamanan Anda

• Gunakan logging audit Kubernetes. Logging audit memungkinkan administrator menyimpan, mengajukan kueri, memproses, dan memberi tahu peristiwa yang terjadi di GKE Anda pada lingkungan Bare Metal.

Untuk mengetahui informasi selengkapnya tentang pemantauan keamanan cluster, lihat Memantau postur keamanan fleet.