Panoramica sulla sicurezza

Questa pagina descrive l'architettura di sicurezza di GKE su Azure, incluse la crittografia e la configurazione dei nodi.

I cluster GKE offrono funzionalità che ti aiutano a proteggere i carichi di lavoro, compresi i contenuti dell'immagine container, il runtime del container, la rete del cluster e l'accesso al server API del cluster.

Quando utilizzi i cluster GKE, accetti di assumerti determinate responsabilità per i tuoi cluster. Per maggiori informazioni, consulta Responsabilità condivise dei cluster GKE.

Crittografia dei dati at-rest

La crittografia dei dati at-rest è la crittografia dei dati archiviati, distintamente dai dati in transito. Per impostazione predefinita, GKE su Azure cripta i dati in etcd e i volumi di archiviazione at-rest utilizzando chiavi gestite dalla piattaforma Azure.

GKE su cluster Azure archivia i dati nei volumi Azure Disk. Questi volumi vengono sempre criptati at-rest mediante chiavi di Azure Key Vault. Quando crei cluster e pool di nodi, puoi fornire una chiave dell'insieme delle credenziali delle chiavi gestita dal cliente per criptare i volumi dei dischi sottostanti del cluster. Se non specifichi una chiave, Azure utilizza la chiave predefinita gestita da Azure all'interno della regione Azure in cui viene eseguito il cluster.

Inoltre, tutti i cluster GKE abilitano la crittografia dei secret a livello di applicazione per dati sensibili, come gli oggetti Secret di Kubernetes, archiviati in etcd. Anche se i malintenzionati riescono ad accedere al volume sottostante in cui sono archiviati i dati etcd, questi dati rimangono criptati.

Quando crei un cluster, puoi fornire una chiave Azure Key Vault nel parametro --database-encryption-kms-key-arn. Questa chiave viene utilizzata per la crittografia dei dati dell'applicazione. Se non fornisci una chiave durante la creazione del cluster, GKE su Azure ne crea una per il tuo cluster automaticamente. Questo campo delle risorse è immutabile e non può essere modificato dopo la creazione del cluster.

Puoi anche creare manualmente una chiave dell'Archivio protetto delle chiavi o utilizzare la tua chiave (BYOK) con un modulo di sicurezza hardware (HSM). Per maggiori informazioni, consulta Bring Your Own Key.

Come funziona la crittografia a livello di applicazione

Kubernetes offre la crittografia a livello di applicazione con una tecnica nota come crittografia envelope. Per criptare un secret, viene utilizzata comunemente una chiave locale, comunemente chiamata chiave di crittografia dei dati (DEK). La DEK viene quindi criptata con una seconda chiave denominata chiave di crittografia della chiave (KEK). La KEK non viene archiviata da Kubernetes. Quando crei un nuovo secret di Kubernetes, il cluster effettua le seguenti operazioni:

  1. Il server API Kubernetes genera una DEK univoca per il secret utilizzando un generatore di numeri casuali.

  2. Il server API Kubernetes cripta il secret in locale con la DEK.

  3. Il server API Kubernetes invia la DEK ad Azure Key Vault per la crittografia.

  4. Azure Key Vault utilizza una KEK pregenerata per criptare la DEK e restituisce la DEK criptata al plug-in Azure Key Vault del server API Kubernetes.

  5. Il server API Kubernetes salva il secret criptato e la DEK criptata in etcd. La DEK in testo non crittografato non viene salvata su disco.

  6. Il server API Kubernetes crea una voce della cache in memoria per mappare la DEK criptata alla DEK in testo non crittografato. In questo modo il server API può decriptare i secret a cui è stato eseguito l'accesso di recente senza eseguire query su Azure Key Vault.

Quando un client richiede un secret al server API Kubernetes, ecco cosa succede:

  1. Il server API Kubernetes recupera il secret criptato e la DEK criptata da etcd.

  2. Il server API Kubernetes controlla nella cache la presenza di una voce della mappa esistente e, se trovata, decripta il secret con questa voce.

  3. Se non esiste una voce della cache corrispondente, il server API invia la DEK ad Azure Key Vault per la decrittografia utilizzando la KEK. La DEK decriptata viene quindi utilizzata per decriptare il secret.

  4. Infine, il server API Kubernetes restituisce al client il secret decriptato.

Crittografia della configurazione con firewall dell'insieme delle credenziali delle chiavi

Se passi una chiave pubblica per la crittografia, l'entità di servizio non ha bisogno dell'autorizzazione per eseguire la crittografia, ma ha bisogno dell'autorizzazione per gestire le assegnazioni dei ruoli. Il modo più semplice per farlo è assegnare il ruolo integrato User Access Administrator di Azure all'entità di servizio.

Per proteggere ulteriormente il tuo Azure Key Vault, puoi abilitare il firewall di Azure Key Vault. GKE su Azure può quindi utilizzare una chiave pubblica per la crittografia ed evitare l'accesso di rete all'insieme delle credenziali delle chiavi.

Per configurare il firewall, devi scaricare la chiave dell'insieme di credenziali delle chiavi con l'interfaccia a riga di comando di Azure. Passi la chiave a --config-encryption-public-key quando crei un cluster con Google Cloud CLI.

Devi comunque abilitare gli endpoint di servizio per Key Vault in tutte le subnet utilizzate per il tuo cluster. Per maggiori informazioni, consulta Endpoint dei servizi di rete virtuale per Azure Key Vault.

Rotazione chiavi

A differenza della rotazione dei certificati, la rotazione della chiave è l'atto di modificare il materiale crittografico sottostante contenuto in una chiave di crittografia della chiave (KEK). Può essere attivato automaticamente come parte di una rotazione pianificata o manualmente, di solito dopo un incidente di sicurezza in cui le chiavi potrebbero essere state compromesse. La rotazione della chiave sostituisce solo il singolo campo nella chiave che contiene i dati non elaborati della chiave di crittografia/decrittografia.

Per ulteriori informazioni, consulta Rotazione della chiave.

Attendibilità cluster

Tutte le comunicazioni tra cluster utilizzano TLS (Transport Layer Security). A ogni cluster viene eseguito il provisioning delle seguenti autorità di certificazione principali autofirmate:

  • La CA radice del cluster viene utilizzata per convalidare le richieste inviate al server API.
  • La CA radice etcd viene utilizzata per convalidare le richieste inviate alle repliche etcd.

Ogni cluster ha una CA radice univoca. Se la CA di un cluster è compromessa, la CA di nessun altro cluster è interessata. Tutte le CA principali hanno un periodo di validità di 30 anni.

Sicurezza dei nodi

GKE su Azure esegue il deployment dei tuoi carichi di lavoro su pool di nodi delle istanze VM di Azure. La seguente sezione illustra le funzionalità di sicurezza dei nodi.

Ubuntu

I nodi eseguono una versione ottimizzata del sistema operativo Ubuntu per eseguire i nodi e il piano di controllo Kubernetes. Per ulteriori informazioni, consulta la sezione sulle funzionalità di sicurezza nella documentazione di Ubuntu.

I cluster GKE implementano diverse funzionalità di sicurezza, tra cui:

Sono disponibili guide aggiuntive alla sicurezza per Ubuntu, ad esempio:

Proteggi i tuoi carichi di lavoro

Kubernetes consente agli utenti di eseguire rapidamente il provisioning, la scalabilità e l'aggiornamento dei carichi di lavoro basati su container. Questa sezione descrive le tattiche che puoi utilizzare per limitare gli effetti collaterali dell'esecuzione dei container sui cluster e sui servizi Google Cloud.

Limita i privilegi dei processi dei container dei pod

Limitare i privilegi dei processi containerizzati è importante per la sicurezza del cluster. Puoi impostare le opzioni relative alla sicurezza con un contesto di sicurezza. Queste impostazioni ti consentono di modificare le impostazioni di sicurezza dei processi, ad esempio:

  • Utente e gruppo che esegue il processo
  • Funzionalità Linux disponibili
  • Escalation dei privilegi

Ubuntu, il sistema operativo predefinito di GKE sul nodo di Azure, utilizza i criteri di sicurezza di Docker AppArmor predefiniti per tutti i container. Puoi visualizzare il modello del profilo su GitHub. Tra le altre cose, questo profilo nega ai container le seguenti funzionalità:

  • Scrittura nei file direttamente in una directory di ID di processo (/proc/)
  • Scrittura in file non in /proc/
  • Scrittura in file in /proc/sys diversa da /proc/sys/kernel/shm*
  • Montaggio di file system

Limita la capacità dei carichi di lavoro di auto-modificarsi

Alcuni carichi di lavoro Kubernetes, in particolare quelli di sistema, hanno l'autorizzazione alla modifica automatica. Ad esempio, alcuni carichi di lavoro scalano automaticamente verticalmente. Sebbene sia pratico, questo può consentire a un utente malintenzionato che ha già compromesso un nodo di eseguire un'ulteriore scalabilità nel cluster. Ad esempio, un utente malintenzionato potrebbe gestire automaticamente un carico di lavoro sul nodo in modo che venga eseguito come account di servizio con privilegi più elevati, che esiste nello stesso spazio dei nomi.

Idealmente, ai carichi di lavoro non dovrebbe essere concessa l'autorizzazione per modificare autonomamente. Se è necessaria l'automodifica, puoi limitare le autorizzazioni installando Policy Controller o Gatekeeper nel tuo cluster e applicando vincoli, ad esempio NoUpdateServiceAccount dalla libreria Gatekeeper open source, che fornisce diversi criteri di sicurezza utili.

Quando esegui il deployment dei criteri, in genere è necessario consentire ai controller che gestiscono il ciclo di vita del cluster di bypassare i criteri. Questo è necessario affinché i controller possano apportare modifiche al cluster, ad esempio applicare upgrade del cluster. Ad esempio, se esegui il deployment del criterio NoUpdateServiceAccount su GKE su Azure, devi impostare i seguenti parametri in Constraint:

parameters:
  allowedGroups: []
  allowedUsers:
  - service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com

Sostituisci PROJECT_NUMBER con il numero (non l'ID) del progetto che ospita il cluster.

Isola i carichi di lavoro su pool di nodi dedicati

Puoi utilizzare incompatibilità e tolleranze Kubernetes per designare pool di nodi specifici per l'esecuzione di tipi di carichi di lavoro specifici. Ad esempio, puoi indicare a GKE su Azure di pianificare i carichi di lavoro degli utenti lontano dalla maggior parte dei carichi di lavoro gestiti dal sistema o di inserire carichi di lavoro con livelli di attendibilità diversi su diversi pool di nodi.

L'isolamento dei carichi di lavoro tramite incompatibilità e tolleranze non è una misura di sicurezza garantita. Utilizza questa soluzione insieme alle altre misure di protezione avanzata offerte da GKE su Azure.

Per scoprire di più, consulta Isolare i carichi di lavoro in pool di nodi dedicati.

Passaggi successivi