Questa pagina fornisce un'introduzione alla definizione di buone pratiche di sicurezza per Google Distributed Cloud. Le indicazioni fornite in questa pagina non intendono fornire un elenco completo delle best practice.
L'utilizzo delle best practice per la sicurezza su Google Distributed Cloud implica l'applicazione dei concetti di Kubernetes e Google Kubernetes Engine (GKE), nonché di concetti specifici di Google Distributed Cloud.
Sicurezza di Kubernetes
Ti consigliamo di seguire le linee guida generali di Kubernetes per la sicurezza quando utilizzi Google Distributed Cloud.
Per un'introduzione alle linee guida per la sicurezza di Kubernetes, consulta l'elenco di controllo per la sicurezza e la panoramica della sicurezza cloud-native nella documentazione di Kubernetes.
Sicurezza di GKE
Google Distributed Cloud estende GKE per consentirti di creare cluster GKE sui tuoi server Linux on-premise. Per scoprire di più sulla sicurezza di GKE, consulta la panoramica sulla sicurezza di GKE. Durante la lettura, tieni presente che, poiché il piano di controllo e i nodi vengono eseguiti on-premise, i suggerimenti per la sicurezza del piano di controllo e la sicurezza dei nodi non si applicano.
Sicurezza di Google Distributed Cloud
Le sezioni seguenti forniscono indicazioni per stabilire buone pratiche di sicurezza per Google Distributed Cloud.
Sicurezza hardware
Proteggi i tuoi data center on-premise con le funzionalità di sicurezza fisica e di sicurezza standard del settore.
Assicurati che l'accesso alla workstation di amministrazione sia altamente limitato. La workstation di amministrazione archivia i dati sensibili, come file
kubeconfig, chiavi SSH e chiavi degli account di servizio.
Sicurezza dei nodi
- Mantieni aggiornato il tuo sistema operativo aggiornando i pacchetti software e installando patch di sicurezza.
Sicurezza del cluster
Rafforza la sicurezza dei tuoi cluster Google Distributed Cloud.
Isola il traffico e i dati utilizzando un deployment di cluster di amministrazione e utente. Questo tipo di deployment consente di raggiungere i seguenti tipi di isolamento:
- Il traffico dei carichi di lavoro è isolato dal traffico del piano amministrativo o di gestione.
- L'accesso al cluster è isolato per gruppo o ruolo.
- I carichi di lavoro di produzione sono isolati dai carichi di lavoro di sviluppo.
Esegui l'upgrade dei cluster a una versione supportata. L'utilizzo di una versione supportata offre i seguenti vantaggi per la sicurezza:
- Correzioni delle vulnerabilità di sicurezza.
- Nuove caratteristiche e funzioni che sfruttano le più recenti posture e tecnologie di sicurezza.
- Aggiornamenti per software e componenti in bundle.
Sicurezza dei carichi di lavoro
Proteggi i tuoi container con Security-Enhanced Linux (SELinux).
Proteggi i carichi di lavoro con Autorizzazione binaria. Autorizzazione binaria è un servizio di Google Cloud che fornisce la sicurezza della catena di fornitura del software per le applicazioni eseguite nel cloud. Con Autorizzazione binaria, puoi garantire che i processi interni che salvaguardano la qualità e l'integrità del software vengano completati correttamente prima del deployment di un'applicazione nell'ambiente di produzione.
Utilizza Workload Identity per concedere ai pod l'accesso alle risorse Google Cloud. Workload Identity consente di eseguire un account di servizio Kubernetes come account di servizio IAM. I pod che vengono eseguiti come account di servizio Kubernetes hanno le autorizzazioni dell'account di servizio IAM.
Sicurezza della rete
Scegli una connessione sicura tra Google Distributed Cloud e Google Cloud. Dopo aver stabilito la connessione di base, aggiungi funzionalità che ne migliorano la sicurezza.
Limita l'esposizione dei tuoi cluster alla rete internet pubblica installandoli dietro un proxy e creando regole firewall. Utilizza inoltre i controlli appropriati nel tuo ambiente di rete per limitare l'accesso pubblico al cluster.
Sicurezza dell'autenticazione
Gestisci l'identità con il servizio di identità GKE. GKE Identity Service è un servizio di autenticazione che ti consente di portare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti dell'edizione Google Kubernetes Engine (GKE) Enterprise. Puoi accedere ai tuoi cluster Google Distributed Cloud e utilizzarli dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), utilizzando il tuo provider di identità esistente.
Connettiti ai cluster registrati con il gateway Connect. Il gateway Connect si basa sulla potenza dei parchi risorse per consentire agli utenti di GKE Enterprise di connettersi ed eseguire comandi su cluster registrati in modo semplice, coerente e sicuro.
Sicurezza delle credenziali
Ruota le autorità di certificazione. Google Distributed Cloud utilizza certificati e chiavi private per autenticare e criptare le connessioni tra i componenti di sistema nei cluster. Per mantenere la comunicazione sicura del cluster, ruota le autorità di certificazione del cluster utente periodicamente e ogni volta che si verifica una possibile violazione della sicurezza.
Ruota le chiavi degli account di servizio. Per ridurre i rischi per la sicurezza causati dalla compromissione delle chiavi, ti consigliamo di ruotare regolarmente le chiavi di servizio.
Monitoraggio della tua sicurezza
- Utilizzare l'audit logging di Kubernetes. L'audit logging consente agli amministratori di conservare, eseguire query, elaborare e creare avvisi sugli eventi che si verificano negli ambienti Google Distributed Cloud.
Per saperne di più sul monitoraggio della sicurezza del cluster, consulta Monitorare la postura di sicurezza del parco risorse.