Panoramica sulla sicurezza

Questa pagina fornisce un'introduzione alla definizione di buone prassi di sicurezza per GKE su Bare Metal. Le indicazioni presenti in questa pagina non hanno lo scopo di fornire un elenco completo di best practice.

L'utilizzo di best practice per la sicurezza su GKE su Bare Metal implica l'applicazione dei concetti di Kubernetes e Google Kubernetes Engine (GKE), oltre a concetti esclusivi di GKE su Bare Metal.

Sicurezza di Kubernetes

Ti consigliamo di seguire le linee guida generali di Kubernetes per la sicurezza quando utilizzi GKE su Bare Metal.

Per un'introduzione alle linee guida sulla sicurezza di Kubernetes, consulta l'elenco di controllo per la sicurezza e la panoramica della sicurezza cloud-native nella documentazione di Kubernetes.

Sicurezza di GKE

GKE su Bare Metal estende GKE per consentirti di creare cluster GKE sui tuoi server Linux on-premise. Per scoprire di più sulla sicurezza di GKE, consulta la panoramica sulla sicurezza di GKE. Durante la lettura, tieni presente che, poiché il piano di controllo e i nodi vengono eseguiti on-premise, i suggerimenti per la sicurezza del piano di controllo e la sicurezza dei nodi non si applicano.

Sicurezza di GKE su Bare Metal

Le sezioni seguenti forniscono indicazioni per definire buone prassi di sicurezza per GKE su Bare Metal.

Sicurezza hardware

• Proteggi i tuoi data center on-premise con funzionalità di sicurezza fisica e di sicurezza standard di settore.

• Assicurati che l'accesso alla tua workstation di amministrazione sia altamente limitato. La workstation di amministrazione archivia dati sensibili come file kubeconfig, chiavi SSH e chiavi degli account di servizio.

Sicurezza dei nodi

• Tieni aggiornato il tuo sistema operativo aggiornando i pacchetti software e installando le patch di sicurezza.

Sicurezza del cluster

• Rafforza la sicurezza di GKE sui cluster Bare Metal.

• Isola il traffico e i dati utilizzando il deployment dei cluster di amministrazione e utente. Questo tipo di deployment consente di raggiungere i seguenti tipi di isolamento:

  • Il traffico dei carichi di lavoro è isolato dal traffico amministrativo o del piano di gestione.
  • L'accesso al cluster è isolato per gruppo o ruolo.
  • I carichi di lavoro di produzione sono isolati dai carichi di lavoro di sviluppo.

• Esegui l'upgrade dei cluster a una versione supportata. L'utilizzo di una versione supportata offre i seguenti vantaggi in termini di sicurezza:

  • Correzioni delle vulnerabilità di sicurezza.
  • Nuove caratteristiche e funzioni che sfruttano le tecnologie e la postura di sicurezza più recenti.
  • Aggiornamenti per software e componenti in bundle.

Sicurezza dei carichi di lavoro

• Proteggi i container con Security-Enhanced Linux (SELinux).

• Proteggi i tuoi carichi di lavoro con Autorizzazione binaria. Autorizzazione binaria è un servizio su Google Cloud che fornisce la sicurezza della catena di fornitura del software per le applicazioni eseguite nel cloud. Con Autorizzazione binaria, puoi garantire che i processi interni che salvaguardano la qualità e l'integrità del software siano stati completati correttamente prima del deployment di un'applicazione nell'ambiente di produzione.

• Utilizza Workload Identity per concedere ai pod l'accesso alle risorse Google Cloud. Workload Identity consente l'esecuzione di un account di servizio Kubernetes come account di servizio IAM. I pod che vengono eseguiti come account di servizio Kubernetes hanno le autorizzazioni dell'account di servizio IAM.

• Segui le best practice per GKE RBAC.

Sicurezza della rete

• Scegli una connessione sicura tra GKE su Bare Metal e Google Cloud. Dopo aver stabilito la connessione di base, aggiungi funzionalità che migliorano la sicurezza della connessione.

• Limita l'esposizione dei cluster alla rete internet pubblica installandoli dietro un proxy e creando regole firewall. Utilizza inoltre i controlli appropriati nel tuo ambiente di rete per limitare l'accesso pubblico al cluster.

Sicurezza dell'autenticazione

• Gestisci le identità con GKE Identity Service. GKE Identity Service è un servizio di autenticazione che consente di utilizzare le soluzioni di identità esistenti per l'autenticazione in più ambienti della versione Google Kubernetes Engine (GKE) Enterprise. Puoi accedere e utilizzare i tuoi cluster GKE su Bare Metal dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), il tutto utilizzando il tuo provider di identità esistente.

• Connettiti ai cluster registrati con il gateway di connessione. Il gateway Connect sfrutta la potenza dei parchi risorse per consentire agli utenti GKE Enterprise di connettersi ed eseguire comandi sui cluster registrati in modo semplice, coerente e sicuro.

Sicurezza delle credenziali

• Ruota le autorità di certificazione. GKE su Bare Metal utilizza certificati e chiavi private per autenticare e criptare le connessioni tra i componenti di sistema nei cluster. Per mantenere la comunicazione sicura del cluster, ruota periodicamente le autorità di certificazione dei cluster utente ogni volta che si verifica una possibile violazione della sicurezza.

• Ruota le chiavi degli account di servizio. Per ridurre il rischio alla sicurezza causato dalla perdita di chiavi, ti consigliamo di ruotare regolarmente le chiavi di servizio.

Monitoraggio della tua sicurezza

• Utilizza l'audit logging di Kubernetes. L'audit logging consente agli amministratori di conservare, eseguire query, elaborare e creare avvisi sugli eventi che si verificano nei tuoi ambienti GKE su Bare Metal.

Per maggiori informazioni sul monitoraggio della sicurezza dei cluster, consulta Monitorare la strategia di sicurezza del parco risorse.