Dokumen ini menjelaskan cara mengonfigurasi penayangan Knative dan komponen utamanya dengan mengikuti praktik terbaik keamanan.
Mengamankan penayangan Knative
Penayangan Knative didasarkan pada project Knative open source, dan mewarisi postur keamanannya.
Beban kerja yang berjalan di layanan Knative berbagi node komputasi dan jaringan yang sama. Anda harus membuat cluster terpisah untuk beban kerja yang tidak memiliki kepercayaan bersama. Cluster penyaluran Knative tidak boleh menjalankan beban kerja yang tidak terkait seperti infrastruktur atau database CI/CD.
Alasan membuat beberapa cluster untuk workload penyaluran Knative meliputi:
- Memisahkan pengembangan dari lingkungan produksi.
- Mengisolasi aplikasi yang dimiliki oleh tim yang berbeda.
- Mengisolasi workload dengan hak istimewa tinggi.
Setelah Anda mendesain cluster, lakukan tindakan berikut untuk membantu mengamankannya:
- Batasi akses ke cluster Anda.
- Memahami model ancaman Knative.
- Baca referensi keamanan Knative jika Anda berencana menggunakan alat yang didukung komunitas.
Mengamankan komponen
Anda bertanggung jawab untuk mengamankan komponen yang bukan bagian dari penayangan Knative.
Anthos Service Mesh
Penyaluran Knative bergantung pada Anthos Service Mesh untuk merutekan traffic.
Gunakan panduan berikut untuk membantu Anda mengamankan Anthos Service Mesh:
Google Kubernetes Engine
Penyajian Knative menggunakan Google Kubernetes Engine (GKE) untuk menjadwalkan beban kerja. Lakukan tindakan berikut untuk membantu Anda mengamankan cluster Anda:
- Ikuti tutorial keamanan GKE Enterprise.
- Memahami model multi-tenancy Google Kubernetes Engine.
- Ikuti panduan hardening cluster Google Kubernetes Engine.
- Memahami model tanggung jawab bersama Google Kubernetes Engine.
Kerentanan yang diketahui
Anda harus berlangganan buletin keamanan untuk dependensi penayangan Knative sehingga Anda dapat terus mengetahui info terbaru tentang kerentanan yang diketahui: