Praktik terbaik keamanan dalam penayangan Knative

Dokumen ini menjelaskan cara mengonfigurasi penayangan Knative dan komponen utama nya dengan mengikuti praktik terbaik keamanan.

Mengamankan inferensi Knative

Penyertaan Knative didasarkan pada project Knative open source, dan mewarisi postur keamanannya.

Beban kerja yang berjalan di layanan Knative menggunakan jaringan dan node komputasi yang sama. Anda harus membuat cluster terpisah untuk workload yang tidak memiliki kepercayaan bersama. Cluster penayangan Knative tidak boleh menjalankan beban kerja yang tidak terkait seperti infrastruktur atau database CI/CD.

Alasan untuk membuat beberapa cluster untuk workload penayangan Knative mencakup:

  • Memisahkan pengembangan dari lingkungan produksi.
  • Mengisolasi aplikasi yang dimiliki oleh tim yang berbeda.
  • Mengisolasi workload dengan hak istimewa tinggi.

Setelah mendesain cluster, lakukan tindakan berikut untuk membantu mengamankannya:

Mengamankan komponen

Anda bertanggung jawab untuk mengamankan komponen yang bukan bagian dari penayangan Knative.

Mesh Layanan Cloud

Penyertaan Knative mengandalkan Cloud Service Mesh untuk merutekan traffic.

Gunakan panduan berikut untuk membantu Anda mengamankan Cloud Service Mesh:

Google Kubernetes Engine

Penayangan Knative menggunakan Google Kubernetes Engine (GKE) untuk menjadwalkan beban kerja. Lakukan tindakan berikut untuk membantu Anda mengamankan cluster:

Kerentanan yang diketahui

Anda harus berlangganan buletin keamanan untuk dependensi penayangan Knative agar dapat terus mendapatkan informasi terbaru tentang kerentanan yang diketahui: