En este documento, se describe cómo configurar Knative serving de la infraestructura según las prácticas recomendadas de seguridad.
Protege Knative serving
Knative serving se basa en el código abierto Knative y hereda su de seguridad de la nube.
Las cargas de trabajo que se ejecutan en Knative serving comparten la misma red y los mismos nodos de procesamiento. Debes crear clústeres separados para las cargas de trabajo que no tienen confianza mutua. Los clústeres de Knative serving no deben ejecutar cargas de trabajo no relacionadas, como CI/CD infraestructura o bases de datos.
Entre los motivos para crear varios clústeres para las cargas de trabajo de Knative serving, se incluyen los siguientes:
- Separar el desarrollo de los entornos de producción.
- Aislar las aplicaciones que son propiedad de diferentes equipos
- Aislar cargas de trabajo con un gran nivel de privilegios
Una vez que hayas diseñado tus clústeres, realiza las siguientes acciones para protegerlos:
- Restringe el acceso a tu clúster.
- Comprende el modelo de amenazas de Knative.
- Lee la referencia de seguridad de Knative si planeas usar herramientas que cuentan con asistencia de la comunidad.
Proteger componentes
Eres responsable de proteger los componentes que no partes de Knative serving.
Cloud Service Mesh
Knative serving se basa en Malla de servicios de Cloud para enrutar el tráfico.
Usa las siguientes guías para proteger Cloud Service Mesh:
- Descripción general y funciones de la seguridad de Cloud Service Mesh.
- Prácticas recomendadas para la seguridad de Cloud Service Mesh.
Google Kubernetes Engine
Knative serving usa Google Kubernetes Engine (GKE) para programar cargas de trabajo. Realiza las siguientes acciones para proteger tus clústeres:
- Sigue el instructivo de seguridad de GKE Enterprise.
- Comprende el modelo de multiusuario de Google Kubernetes Engine.
- Sigue la guía de endurecimiento de clústeres de Google Kubernetes Engine.
- Comprende el modelo de responsabilidad compartida de Google Kubernetes Engine.
Vulnerabilidades conocidas
Debes suscribirte a los boletines de seguridad de las dependencias de Knative serving para mantenerse al tanto de las vulnerabilidades conocidas: