Anthos Clusters on Bare Metal sind jetzt Google Distributed Cloud (nur Software) für Bare Metal. Weitere Informationen finden Sie in der Produktübersicht.

Diese Seite wurde von der Cloud Translation API übersetzt.

Sicherheit

Diese Seite bietet eine Einführung in die Festlegung bewährter Sicherheitspraktiken für Google Distributed Cloud. Die Hinweise auf dieser Seite bieten keine umfassende Liste mit Best Practices.

Der Einsatz von Best Practices für die Sicherheit in Google Distributed Cloud umfasst die Anwendung von Konzepten aus Kubernetes und Google Kubernetes Engine (GKE) sowie von Konzepten, die es nur bei Google Distributed Cloud gibt.

Kubernetes-Sicherheit

Wir empfehlen Ihnen, allgemeine Kubernetes-Richtlinien für die Sicherheit zu befolgen, wenn Sie Google Distributed Cloud verwenden.

Eine Einführung in die Kubernetes-Sicherheitsrichtlinien finden Sie in der Kubernetes-Dokumentation unter Sicherheits-Checkliste und Übersicht über die cloudnative Sicherheit.

GKE-Sicherheit

Google Distributed Cloud erweitert die GKE, damit Sie GKE-Cluster lokal auf Ihren eigenen Linux-Servern erstellen können. Weitere Informationen zur GKE-Sicherheit finden Sie in der Übersicht zur GKE-Sicherheit. Beachten Sie beim Lesen, dass die Vorschläge für die Sicherheit der Steuerungsebene und die Knotensicherheit nicht gelten, da die Steuerungsebene und die Knoten lokal ausgeführt werden.

Sicherheit von Google Distributed Cloud

Die folgenden Abschnitte enthalten Anleitungen zum Festlegen bewährter Sicherheitspraktiken für Google Distributed Cloud.

Hardwaresicherheit

Schützen Sie Ihre lokalen Rechenzentren mit physischen Sicherheits- und Sicherheitsfunktionen nach Branchenstandard.
Achten Sie darauf, dass der Zugriff auf Ihre Administratorworkstation stark eingeschränkt ist. Auf der Administratorworkstation werden sensible Daten wie kubeconfig-Dateien, SSH-Schlüssel und Dienstkontoschlüssel gespeichert.

Knotensicherheit

Halten Sie Ihr Betriebssystem durch Aktualisieren von Softwarepaketen und Installieren von Sicherheitspatches auf dem neuesten Stand.

Clustersicherheit

Die Sicherheit Ihrer Google Distributed Cloud-Cluster erhöhen
Isolieren Sie Ihren Traffic und Ihre Daten mithilfe eines Administrator- und Nutzercluster-Deployments. Mit diesem Bereitstellungstyp können Sie die folgenden Arten der Isolation erreichen:
- Der Arbeitslasttraffic ist vom Traffic auf Administrator- oder Verwaltungsebene isoliert.
- Der Clusterzugriff wird nach Gruppe oder Rolle isoliert.
- Produktionsarbeitslasten sind von Entwicklungsarbeitslasten isoliert.
Aktualisieren Sie Ihre Cluster auf eine unterstützte Version. Eine unterstützte Version bietet die folgenden Sicherheitsvorteile:
- Sicherheitslücken wurden behoben.
- Neue Features und Funktionen, die die neuesten Sicherheitsstandards und Technologien nutzen.
- Updates für gebündelte Software und Komponenten.

Arbeitslastsicherheit

Container mit Security-Enhanced Linux (SELinux) schützen.
Arbeitslasten mit Binärautorisierung sichern Die Binärautorisierung ist ein Dienst in Google Cloud, der die Sicherheit der Softwarelieferkette für Anwendungen in der Cloud bietet. Mit der Binärautorisierung können Sie dafür sorgen, dass interne Prozesse zum Schutz der Qualität und Integrität Ihrer Software erfolgreich abgeschlossen wurden, bevor eine Anwendung in Ihrer Produktionsumgebung bereitgestellt wird.
Verwenden Sie Workload Identity, um Pods Zugriff auf Google Cloud-Ressourcen zu gewähren. Mit Workload Identity kann ein Kubernetes-Dienstkonto als IAM-Dienstkonto ausgeführt werden. Pods, die als Kubernetes-Dienstkonto ausgeführt werden, haben die Berechtigungen des IAM-Dienstkontos.
Best Practices für GKE RBAC

Netzwerksicherheit

Sichere Verbindung zwischen Ihrer Google Distributed Cloud und Google Cloud auswählen Nachdem die grundlegende Verbindung hergestellt wurde, fügen Sie Features hinzu, die die Sicherheit Ihrer Verbindung verbessern.
Schränken Sie die Gefährdung Ihrer Cluster für das öffentliche Internet ein, indem Sie sie hinter einem Proxy installieren und Firewallregeln erstellen. Verwenden Sie außerdem die entsprechenden Steuerelemente in Ihrer Netzwerkumgebung, um den öffentlichen Zugriff auf den Cluster einzuschränken.

Authentifizierungssicherheit

Identität mit dem GKE Identity Service verwalten GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehreren Umgebungen der Google Kubernetes Engine (GKE) Enterprise Edition verwenden können. Sie können sich mit Ihrem vorhandenen Identitätsanbieter über die Befehlszeile (alle Anbieter) oder über die Google Cloud Console (nur OIDC) bei Ihren Google Distributed Cloud-Clustern anmelden und diese verwenden.
Über das Connect-Gateway eine Verbindung zu registrierten Clustern herstellen Das Connect-Gateway baut auf der Leistungsfähigkeit von Flotten auf, damit GKE Enterprise-Nutzer sich einfach, konsistent und sicher mit registrierten Clustern verbinden und Befehle für sie ausführen können.

Sicherheit von Anmeldedaten

Zertifizierungsstellen rotieren Google Distributed Cloud verwendet Zertifikate und private Schlüssel, um Verbindungen zwischen Systemkomponenten in Clustern zu authentifizieren und zu verschlüsseln. Rotieren Sie die Zertifizierungsstellen für Nutzercluster regelmäßig und bei potenziellen Sicherheitsverstößen, um eine sichere Clusterkommunikation aufrechtzuerhalten.
Dienstkontoschlüssel rotieren Wir empfehlen Ihnen, Ihre Dienstschlüssel regelmäßig zu rotieren, um das durch gehackte Schlüssel verursachte Sicherheitsrisiken zu verringern.

Sicherheit überwachen

Kubernetes-Audit-Logging verwenden Mit Audit-Logging können Administratoren Ereignisse in Ihren Google Distributed Cloud-Umgebungen aufbewahren, abfragen, verarbeiten und melden.

Weitere Informationen zum Monitoring der Clustersicherheit finden Sie unter Flottensicherheitsstatus überwachen.