Questa pagina fornisce un'introduzione alla definizione di buone pratiche di sicurezza per Google Distributed Cloud. Le indicazioni riportate in questa pagina non hanno lo scopo di fornirti un elenco esaustivo di best practice.
L'utilizzo di best practice per la sicurezza su Google Distributed Cloud prevede l'applicazione di concetti di Kubernetes e Google Kubernetes Engine (GKE), nonché di concetti unici di Google Distributed Cloud.
Sicurezza di Kubernetes
Ti consigliamo di seguire le linee guida generali di Kubernetes per la sicurezza quando utilizzi Google Distributed Cloud.
Per un'introduzione alle linee guida per la sicurezza di Kubernetes, consulta l'elenco di controllo della sicurezza e la panoramica della sicurezza cloud native nella documentazione di Kubernetes.
Sicurezza di GKE
Google Distributed Cloud estende GKE per consentirti di creare cluster GKE sui tuoi server Linux on-premise. Per scoprire di più sulla sicurezza di GKE, consulta la Panoramica della sicurezza di GKE. Mentre leggi, tieni presente che, poiché il control plane e i nodi vengono eseguiti on-premise, i suggerimenti per la sicurezza del control plane e la sicurezza dei nodi non si applicano.
Sicurezza di Google Distributed Cloud
Le sezioni seguenti forniscono indicazioni per stabilire buone pratiche di sicurezza per Google Distributed Cloud.
Sicurezza hardware
Proteggi i tuoi data center on-premise con funzionalità di sicurezza fisica e sicurezza standard del settore.
Assicurati che l'accesso alla tua workstation amministrativa sia altamente limitato. La workstation di amministrazione archivia dati sensibili come file
kubeconfig, chiavi SSH e chiavi del account di servizio.
Sicurezza dei nodi
Mantieni aggiornato il sistema operativo aggiornando i pacchetti software e installando le patch di sicurezza.
Per un maggiore controllo sui pull delle immagini dei workload e sui vantaggi di sicurezza correlati, puoi configurare i nodi di lavoro per l'autenticazione a un registro privato. Il supporto del registro privato per i nodi è disponibile per l'anteprima per i cluster della versione 1.29.
Per impostazione predefinita, Google Distributed Cloud aggiunge il repository Docker
apte la chiave GPG necessaria ai nodi del cluster. In alternativa all'aggiunta di repository di pacchetti a ogni nodo del cluster nella tua implementazione, puoi configurare il cluster in modo che utilizzi un repository di pacchetti privato per le immagini container.
Sicurezza del cluster
Rafforza la sicurezza dei tuoi cluster Google Distributed Cloud.
Isola il traffico e i dati utilizzando un cluster di amministratori e utenti deployment. Questo tipo di deployment ti aiuta a ottenere i seguenti tipi di isolamento:
- Il traffico dei carichi di lavoro è isolato dal traffico del piano amministrativo o di gestione.
- L'accesso al cluster è isolato per gruppo o ruolo.
- I workload di produzione sono isolati dai workload di sviluppo.
Esegui l'upgrade dei cluster a una versione supportata. L'utilizzo di una versione supportata offre i seguenti vantaggi in termini di sicurezza:
- Correzioni per le vulnerabilità di sicurezza.
- Nuove funzionalità che sfruttano le tecnologie e le misure di sicurezza più recenti.
- Aggiornamenti per software e componenti inclusi.
Per una minore esposizione esterna e altri vantaggi per la sicurezza, puoi configurare un mirror del registro per installare i componenti di Google Distributed Cloud da una copia locale del registro pubblico.
Sicurezza dei carichi di lavoro
Proteggi i tuoi container utilizzando Security-Enhanced Linux (SELinux).
Proteggi i tuoi workload con l'autorizzazione binaria. Autorizzazione binaria è un servizio su Google Cloud che fornisce la sicurezza della catena di fornitura del software per le applicazioni eseguite nel cloud. Con Autorizzazione binaria, puoi assicurarti che i processi interni che salvaguardano la qualità e l'integrità del software siano stati completati correttamente prima che venga eseguito il deployment di un'applicazione nell'ambiente di produzione.
Utilizza Workload Identity Federation for GKE per concedere ai pod l'accesso alle risorse Google Cloud . Workload Identity Federation for GKE consente a un account di servizio Kubernetes di essere eseguito come account di servizio IAM. I pod che vengono eseguiti come account di servizio Kubernetes dispongono delle autorizzazioni del account di servizio IAM.
Sicurezza della rete
Scegli una connessione sicura tra Google Distributed Cloud e Google Cloud. Una volta stabilita la connessione di base, aggiungi funzionalità che migliorano la sicurezza della connessione.
Limita l'esposizione dei cluster a internet pubblico installandoli dietro un proxy e creando regole firewall. Utilizza anche i controlli appropriati nel tuo ambiente di rete per limitare l'accesso pubblico al cluster.
Sicurezza dell'autenticazione
Gestisci l'identità con GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente di adottare le tue soluzioni di identità esistenti per l'autenticazione in più ambientiGoogle Cloud . Puoi accedere e utilizzare i tuoi cluster Google Distributed Cloud dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), utilizzando il tuo provider di identità esistente.
Connettiti ai cluster registrati con il gateway Connect�. Il gateway Connect si basa sulla potenza dei parchi risorse per consentire agli utenti di connettersi ed eseguire comandi sui cluster registrati in modo coerente e sicuro.
Sicurezza delle credenziali
Ruota le autorità di certificazione. Google Distributed Cloud utilizza certificati e chiavi private per autenticare e criptare le connessioni tra i componenti di sistema nei cluster. Per mantenere una comunicazione sicura del cluster, ruota periodicamente le autorità di certificazione del cluster utente e ogni volta che si verifica una possibile violazione della sicurezza.
Ruota le chiavi dell'account di servizio. Per ridurre il rischio per la sicurezza causato da chiavi compromesse, ti consigliamo di ruotare regolarmente le chiavi di servizio.
Monitoraggio della tua sicurezza
- Utilizza la registrazione degli audit di Kubernetes. Il logging di controllo fornisce agli amministratori un modo per conservare, eseguire query, elaborare e creare avvisi sugli eventi che si verificano nei tuoi ambienti Google Distributed Cloud.
Per maggiori informazioni sul monitoraggio della sicurezza del cluster, vedi Monitorare la postura di sicurezza del parco progetti.