Prácticas recomendadas de seguridad en Knative serving

En este documento, se describe cómo configurar Knative serving de la infraestructura según las prácticas recomendadas de seguridad.

Protege Knative serving

Knative serving se basa en el código abierto Knative y hereda su de seguridad de la nube.

Las cargas de trabajo que se ejecutan en Knative serving comparten la misma red y los mismos nodos de procesamiento. Debes crear clústeres separados para las cargas de trabajo que no tienen confianza mutua. Los clústeres de Knative serving no deben ejecutar cargas de trabajo no relacionadas, como CI/CD infraestructura o bases de datos.

Entre los motivos para crear varios clústeres para las cargas de trabajo de Knative serving, se incluyen los siguientes:

  • Separar el desarrollo de los entornos de producción.
  • Aislar las aplicaciones que son propiedad de diferentes equipos
  • Aislar cargas de trabajo con un gran nivel de privilegios

Una vez que hayas diseñado tus clústeres, realiza las siguientes acciones para protegerlos:

Proteger componentes

Eres responsable de proteger los componentes que no partes de Knative serving.

Cloud Service Mesh

Knative serving se basa en Malla de servicios de Cloud para enrutar el tráfico.

Usa las siguientes guías para proteger Cloud Service Mesh:

Google Kubernetes Engine

Knative serving usa Google Kubernetes Engine (GKE) para programar cargas de trabajo. Realiza las siguientes acciones para proteger tus clústeres:

Vulnerabilidades conocidas

Debes suscribirte a los boletines de seguridad de las dependencias de Knative serving para mantenerse al tanto de las vulnerabilidades conocidas: