In diesem Dokument wird beschrieben, wie Sie Knative serving und seine Hauptkomponenten gemäß den Best Practices für die Sicherheit konfigurieren.
Knative serving schützen
Knative serving basiert auf dem Open-Source-Projekt Knative und übernimmt dessen Sicherheitsstatus.
Auf Knative serving ausgeführte Arbeitslasten verwenden dasselbe Netzwerk und dieselben Rechenknoten. Sie sollten separate Cluster für Arbeitslasten erstellen, die kein gegenseitiges Vertrauen haben. Knative serving-Cluster sollten keine irrelevanten Arbeitslasten wie die CI/CD-Infrastruktur oder Datenbanken ausführen.
Gründe für das Erstellen mehrerer Cluster für Knative serving-Arbeitslasten:
- Trennung von Entwicklungs- von Produktionsumgebungen
- Anwendungen isolieren, die verschiedenen Teams gehören
- Hochprivilegierte Arbeitslasten isolieren
Nachdem Sie Ihre Cluster entworfen haben, können Sie sie mit den folgenden Maßnahmen sichern:
- Zugriff auf Ihren Cluster einschränken
- Informationen zum Knative-Bedrohungsmodell
- Lesen Sie die Sicherheitsreferenz zu Knative, wenn Sie von der Community unterstützte Tools verwenden möchten.
Komponenten sichern
Sie sind dafür verantwortlich, Komponenten zu sichern, die nicht zu Knative serving gehören.
Cloud Service Mesh
Knative serving basiert auf Cloud Service Mesh für das Routing von Traffic.
Verwenden Sie die folgenden Leitfäden, um das Cloud Service Mesh abzusichern:
- Sicherheitsübersicht und -funktionen von Cloud Service Mesh
- Best Practices für die Cloud Service Mesh-Sicherheit
Google Kubernetes Engine
Knative serving verwendet die Google Kubernetes Engine (GKE) zur Planung von Arbeitslasten. Führen Sie die folgenden Aktionen aus, um Ihre Cluster zu sichern:
- GKE Enterprise-Sicherheitsanleitung
- Informationen zum Google Kubernetes Engine-Modell für Mehrmandantenfähigkeit.
- Leitfaden zur Härtung von Clustern in Google Kubernetes Engine
- Modell der geteilten Verantwortung von Google Kubernetes Engine
Bekannte Sicherheitslücken
Sie sollten die Sicherheitsbulletins für Knative serving-Abhängigkeiten abonnieren, um über bekannte Sicherheitslücken auf dem Laufenden zu bleiben: