En esta página, se proporciona una introducción para establecer buenas prácticas de seguridad para Google Distributed Cloud. La guía de esta página no pretende proporcionarte una lista completa de prácticas recomendadas.
El uso de prácticas recomendadas para la seguridad en Google Distributed Cloud implica aplicar conceptos de Kubernetes y Google Kubernetes Engine (GKE), además de conceptos exclusivos de Google Distributed Cloud.
Seguridad de Kubernetes
Te recomendamos que sigas los lineamientos generales de seguridad de Kubernetes cuando uses Google Distributed Cloud.
Para obtener una introducción a los lineamientos de seguridad de Kubernetes, consulta la Lista de tareas de seguridad y la Descripción general de la seguridad nativa de la nube en la documentación de Kubernetes.
Seguridad de GKE
Google Distributed Cloud extiende GKE para permitirte crear clústeres de GKE en tus propios servidores Linux dentro de tus propias instalaciones. Para obtener más información sobre la seguridad de GKE, consulta la Descripción general de seguridad de GKE. Mientras leas, ten en cuenta que, debido a que el plano de control y los nodos se ejecutan de forma local, las sugerencias sobre la seguridad del plano de control y la seguridad de nodos no se aplican.
Seguridad de Google Distributed Cloud
En las siguientes secciones, se proporciona orientación para establecer prácticas recomendadas de seguridad para Google Distributed Cloud.
Seguridad de hardware
Asegura tus centros de datos locales con las funciones de seguridad física y de seguridad estándar de la industria.
Asegúrate de que el acceso a la estación de trabajo de administrador esté altamente restringido. La estación de trabajo de administrador almacena datos sensibles, como archivos
kubeconfig
, claves SSH y claves de cuentas de servicio.
Seguridad de nodos
- Mantén tu sistema operativo actualizado mediante la actualización de paquetes de software y la instalación de parches de seguridad.
Seguridad del clúster
Endurece la seguridad de tus clústeres de Google Distributed Cloud.
Aísla el tráfico y los datos mediante una implementación de clúster de administrador y de usuario. Este tipo de implementación te ayuda a lograr los siguientes tipos de aislamiento:
- El tráfico de la carga de trabajo se aísla del tráfico administrativo o del plano de administración.
- El acceso al clúster está aislado por grupo o rol.
- Las cargas de trabajo de producción están aisladas de las cargas de trabajo de desarrollo.
Actualiza los clústeres a una versión compatible. Si usas una versión compatible, obtendrás los siguientes beneficios de seguridad:
- Correcciones de vulnerabilidades de seguridad
- Características y funciones nuevas que aprovechan la postura de seguridad y las tecnologías más recientes.
- Actualizaciones para software y componentes empaquetados.
Seguridad de las cargas de trabajo
Protege tus contenedores con Security-Enhanced Linux (SELinux).
Protege tus cargas de trabajo con la autorización binaria. Autorización binaria es un servicio en Google Cloud que proporciona seguridad de la cadena de suministro de software para aplicaciones que se ejecutan en la nube. Con la autorización binaria, puedes asegurarte de que los procesos internos que protegen la integridad y calidad del software se hayan completado de forma correcta antes de que se implemente una aplicación en tu entorno de producción.
Usa Workload Identity para que los Pods accedan a los recursos de Google Cloud. Workload Identity permite que una cuenta de servicio de Kubernetes se ejecute como una cuenta de servicio de IAM. Los Pods que se ejecutan como la cuenta de servicio de Kubernetes tienen los permisos de la cuenta de servicio de IAM.
Seguridad de red
Elige una conexión segura entre Google Distributed Cloud y Google Cloud. Una vez que se establezca la conexión fundamental, agrega funciones que mejoren su seguridad.
Limita la exposición de los clústeres a la Internet pública. Para ello, instálalos detrás de un proxy y crea reglas de firewall. Además, usa los controles adecuados en el entorno de red para limitar el acceso público al clúster.
Seguridad de autenticación
Administra la identidad con el servicio de identidad de GKE. GKE Identity Service es un servicio de autenticación que te permite usar tus soluciones de identidad existentes para la autenticación en varios entornos de la edición Google Kubernetes Engine (GKE) Enterprise. Puedes acceder a tus clústeres de Google Distributed Cloud y usarlos desde la línea de comandos (todos los proveedores) o desde la consola de Google Cloud (solo OIDC), todo mediante tu proveedor de identidad existente.
Conéctate a clústeres registrados mediante la puerta de enlace de Connect. La puerta de enlace de Connect se basa en la potencia de las flotas para permitir que los usuarios de GKE Enterprise se conecten a clústeres registrados y ejecuten comandos en ellos de forma sencilla, coherente y segura.
Seguridad de credenciales
Rota las autoridades certificadoras. Google Distributed Cloud usa certificados y claves privadas para autenticar y encriptar las conexiones entre los componentes del sistema en clústeres. Para mantener una comunicación segura en los clústeres, rota las autoridades certificadoras del clúster de usuario de forma periódica y siempre que haya una posible violación de la seguridad.
Rota las claves de la cuenta de servicio. Para reducir el riesgo de seguridad causado por claves filtradas, te recomendamos que rotes tus claves de servicio con regularidad.
Supervisa tu seguridad
- Usa el registro de auditoría de Kubernetes. El registro de auditoría proporciona una forma para que los administradores retengan, consulten, procesen y alerten sobre eventos que ocurren en tus entornos de Google Distributed Cloud.
Para obtener más información sobre la supervisión de la seguridad del clúster, consulta Supervisa la postura de seguridad de la flota.