Versión 1.7. Esta versión es compatible como se describe en la política de asistencia de la versión de Anthos, que ofrece los últimos parches y actualizaciones de vulnerabilidades de seguridad, exposiciones y problemas que afectan a los clústeres de Anthos alojados en VMware (GKE On-Prem). Consulta las notas de la versión para obtener más detalles. Esta es la versión más reciente.

Endurecimiento de la seguridad del clúster

Debido a la gran velocidad de desarrollo en Kubernetes, a menudo hay nuevas funciones de seguridad que puedes usar. En este documento, se describe cómo endurecer tus clústeres de los clústeres de Anthos alojados en VMware (GKE On-Prem).

En este documento, se priorizan las mitigaciones de seguridad de alto valor que requieren que intervengas durante la creación del clúster. Las funciones menos importantes, la configuración segura predeterminada y las que pueden habilitarse después de la creación del clúster se mencionan más adelante en el documento. Para obtener una descripción general de los temas de seguridad, consulta Seguridad.

Lista de tareas

En la siguiente lista de tareas de implementación, se destacan las prácticas recomendadas para endurecer la implementación de la plataforma de clústeres de Anthos. Para obtener más información sobre cada práctica, consulta las secciones de este documento.

Lista de tareas de implementación Descripción
Identidad y control de acceso

Usa privilegios de cuenta de vSphere:
Usa una cuenta de administrador de vSphere con privilegios mínimos.

Protege las cuentas de servicio de Google Cloud:
Minimiza los privilegios de la cuenta de servicio de Google Cloud.

Configura OpenID Connect (OIDC):
Configura OpenID Connect para la autenticación de usuarios.

Usa espacios de nombres de Kubernetes y RBAC para restringir el acceso:
Usa espacios de nombres con RBAC para el aislamiento administrativo, y el mínimo de funciones y autorizaciones de privilegio.

Protección de datos

Encripta máquinas virtuales de vSphere:
Configura vSphere para encriptar los volúmenes que usan los clústeres de Anthos alojados en VMware.

Administra secretos:
Encripta los secretos en reposo.

Protección de la red

Restringe el acceso de red al plano de control y los nodos:
Configura controles para aislar y proteger los nodos y las redes del plano de control.

Usa políticas de red para restringir el tráfico:
Implementa políticas de red a fin de restringir el tráfico dentro del clúster.

Seguridad declarativa

Usa Policy Controller de Anthos Config Management:
Instala Policy Controller de Anthos Config Management para obtener una política de seguridad declarativa dentro de tus clústeres.

Mantenimiento

Actualiza Anthos:
Asegúrate de ejecutar la versión más reciente de Anthos para tu plataforma.

Supervisa boletines de seguridad:
Revisa los boletines de seguridad de Anthos para obtener asesoramiento y orientación sobre el control de versiones más reciente.

Supervisa y registra

Configura las opciones para el registro de clústeres de Anthos:
Asegúrate de que el registro esté habilitado e integrado en una solución SIEM.

Identidad y control de acceso

Usa privilegios de cuenta de vSphere

La cuenta de usuario de vCenter que se usa para instalar clústeres de Anthos alojados en VMware debe tener suficientes privilegios. Por ejemplo, una cuenta de usuario a la que se le asigna la función de administrador de vCenter tiene privilegios para acceder por completo a todos los objetos de vCenter y proporciona un administrador de clúster de clústeres de Anthos alojados en VMware con acceso completo.

Se recomienda el principio de privilegio mínimo y otorgar solo los privilegios necesarios para instalar Anthos de forma correcta. Hemos predefinido el conjunto mínimo de privilegios necesarios para realizar la instalación, así como los comandos necesarios a fin de otorgarlos.

Protege las cuentas de servicio de Google Cloud

Los clústeres de Anthos alojados en VMware requieren cuatro cuentas de servicio de Google Cloud:

  • Una cuenta de servicio predefinida para acceder al software de clústeres de Anthos alojados en VMware. La creas cuando compras Anthos.
  • Una cuenta de servicio de registro que usará Connect para registrar clústeres de clústeres de los clústeres de Anthos alojados en VMware Google Cloud
  • Una cuenta de servicio de conexión que utilizará Connect para establecer una conexión entre los clústeres de Anthos alojados en VMware y Google Cloud.
  • Una cuenta de servicio de Cloud Logging que usará Cloud Logging para recopilar registros de clústeres

Durante la instalación, debes vincular las funciones de administración de identidades y accesos a estas cuentas de servicio. Esas funciones otorgan privilegios específicos a las cuentas de servicio dentro de tu proyecto y se pueden generar durante la instalación.

Configura OpenID Connect

Nota: Solo puedes configurar la autenticación cuando creas el clúster. Si deseas configurar la autenticación de usuario en los clústeres, usa OpenID Connect (OIDC).

Los clústeres de Anthos alojados en VMware admiten OIDC como uno de los mecanismos de autenticación para interactuar con el servidor de la API de Kubernetes de un clúster de usuario. Con OIDC, puedes administrar el acceso a los clústeres de Kubernetes mediante los procedimientos estándar de la organización para la creación, la habilitación y la inhabilitación de cuentas de usuario.

Para obtener asistencia específica de OIDC, consulta la siguiente documentación:

Usa espacios de nombres de Kubernetes y RBAC para restringir el acceso

Para otorgar a los equipos el acceso de privilegio mínimo a Kubernetes, crea clústeres específicos del entorno o espacios de nombres de Kubernetes. Asigna centros de costos y etiquetas adecuadas a cada espacio de nombres para la rendición de cuentas y devolución del cargo. Solo brinda a los desarrolladores el nivel de acceso a su espacio de nombres que necesitan para implementar y administrar su aplicación, sobre todo en producción.

Asigna las tareas que los usuarios deben seguir en el clúster y define los permisos necesarios para completar cada tarea. Para otorgar permisos a nivel de clúster y de espacio de nombres, usa el RBAC de Kubernetes.

Más allá de los permisos para las cuentas de servicio de Google Cloud que se usan a fin de instalar clústeres de Anthos en VMware, IAM no se aplica a los clústeres de Anthos alojados en VMware.

Para obtener más información, consulta la siguiente documentación:

Protección de datos

Encripta máquinas virtuales de vSphere

Los nodos de clústeres de clústeres de Anthos alojados en VMware se ejecutan en máquinas virtuales (VM) en tu clúster vSphere. Google te recomienda que encriptes todos los datos en reposo. Si deseas hacerlo en vSphere, sigue el archivo PDF de seguridad de VMware vSphere y las guías de prácticas recomendadas para encriptar VM.

Esto debe hacerse antes de la instalación de Anthos.

Administra secretos

Si deseas proporcionar una capa adicional de protección de los datos sensibles, como los secretos de Kubernetes almacenados en etcd, configura un administrador de secretos que esté integrado en los clústeres de clústeres de Anthos alojados en VMware.

Si ejecutas cargas de trabajo en varios entornos, es posible que prefieras una solución que funcione para Google Kubernetes Engine y para clústeres de Anthos alojados en VMware. Si eliges usar un administrador de secretos externo, como HashiCorp Vault, configúralo antes de integrar tus clústeres de Anthos alojados en VMware.

Tienes varias opciones para la administración secreta:

  • Puedes usar los Secrets de Kubernetes de forma nativa en los clústeres de Anthos alojados en VMware. Se espera que los clústeres usen la encriptación de vSphere para las VM como se describió antes, lo que proporciona a los secretos una protección básica de encriptación en reposo. Los secretos no tienen una encriptación mayor de forma predeterminada.
  • Puedes usar un administrador de secretos externo, como HashiCorp Vault. Puedes autenticarte en HashiCorp mediante una cuenta de servicio de Kubernetes o de Google Cloud.

Para obtener más información, consulta la siguiente documentación:

Protección de la red

Restringe a la red el acceso del plano de control y los nodos

Limita la exposición en Internet del plano de control y los nodos de tu clúster. Estas opciones no se pueden cambiar después de la creación del clúster. De forma predeterminada, los clústeres de Anthos en los nodos del clúster de VMware se crean con las direcciones RFC 1918, y se recomienda no cambiar esto. Implementa reglas de firewall en la red local para restringir el acceso al plano de control.

Usa políticas de red para restringir el tráfico

De forma predeterminada, todos los Services de un clúster de clústeres de Anthos alojados en VMware pueden comunicarse entre sí. Si deseas obtener información a fin de controlar la comunicación de servicio a servicio según sea necesario para tus cargas de trabajo, consulta las secciones siguientes.

Restringir el acceso de la red a los servicios hace que sea mucho más difícil para los atacantes moverse de forma lateral dentro de tu clúster, y ofrece a los servicios cierta protección contra la denegación accidental o deliberada del servicio. Existen dos maneras recomendadas para controlar el tráfico:

  • Para controlar el tráfico de la capa 7 en los extremos de tus aplicaciones, usa Istio. Elige esta opción si te interesa el balanceo de cargas, la autorización de servicios, la limitación, la cuota y las métricas.
  • Para controlar el tráfico de la capa 4 entre Pods, usa políticas de red de Kubernetes. Elige este método si buscas la funcionalidad básica de control de acceso que administra Kubernetes.

Puedes habilitar la política de red de Istio y Kubernetes después de crear tus clústeres de Anthos alojados en VMware. Puedes usarlas en conjunto si es necesario.

Para obtener más información, consulta la siguiente documentación:

Seguridad declarativa

Usa el controlador de políticas de Anthos Config Management

Los controladores de admisión de Kubernetes son complementos que rigen y aplican la forma en que se usa un clúster de Kubernetes. Los controladores de admisión son una parte importante del enfoque de defensa en profundidad para endurecer el clúster.

Se recomienda el uso del controlador de políticas de Anthos Config Management. El controlador de políticas usa el framework de restricción de OPA para describir y aplicar la política como CRD. Las restricciones que aplicas en el clúster se deben definir en plantillas de restricciones, que se implementan en los clústeres.

Si deseas obtener información a fin de usar las restricciones del controlador de políticas a fin de lograr muchas de las mismas protecciones que PodSecurityPolicies, con la capacidad adicional de probar tus políticas antes de implementarlas, consulta Usa restricciones para aplicar la seguridad del Pod.

Para obtener más información, consulta la siguiente documentación:

Mantenimiento

Actualiza Anthos

Kubernetes suele agregar nuevas funciones de seguridad y proporcionar parches de seguridad con frecuencia.

Eres responsable de mantener actualizados los clústeres de clústeres de Anthos alojados en VMware. Revisa las notas de la versión de todas las versiones. Además, planifica la actualización a las versiones de parches nuevas todos los meses y a las versiones secundarias cada tres meses. Obtén más información para actualizar los clústeres.

También eres responsable de actualizar y proteger la infraestructura de vSphere:

Supervisa boletines de seguridad

El equipo de seguridad de Anthos publica boletines de seguridad para vulnerabilidades graves y críticas.

Estos boletines siguen un esquema común de numeración de vulnerabilidades de Google Cloud y están vinculados desde la página principal de boletines de Google Cloud y los clústeres de Anthos en las notas de la versión de VMware. Cada página de boletín de seguridad tiene un feed RSS en el que los usuarios pueden suscribirse para recibir actualizaciones.

Cuando se requiere una acción del cliente para abordar estas vulnerabilidades altas y críticas, Google se comunica con los clientes por correo electrónico. Además, Google también puede comunicarse con los clientes con contratos de asistencia a través de canales de asistencia.

Para obtener más información, consulta la siguiente documentación:

Supervisa y registra

Configura opciones para el registro de clústeres de Anthos

Los clústeres de Anthos alojados en VMware incluye varias opciones de registro y supervisión de clústeres, incluidos los servicios administrados basados en la nube, herramientas de código abierto y compatibilidad validada con soluciones comerciales de terceros:

  • Cloud Logging y Cloud Monitoring, implementados mediante clústeres de Anthos alojados en VMware y habilitados por agentes internos del clúster
  • Prometheus y Grafana, que están inhabilitados de forma predeterminada
  • Opciones de configuración validadas con soluciones de terceros

Sin importar la solución de registro que elijas en función de los requisitos empresariales, recomendamos encarecidamente que registres y se generen alertas y eventos relevantes de reenvío de registros en un servicio de administración eventos y de la información y seguridad centralizado (SIEM) para la administración de los incidentes de seguridad.

Para obtener más información, consulta la siguiente documentación: