Dokumen ini menjelaskan cara mengonfigurasi penayangan Knative dan komponen utama nya dengan mengikuti praktik terbaik keamanan.
Mengamankan inferensi Knative
Penyertaan Knative didasarkan pada project Knative open source, dan mewarisi postur keamanannya.
Beban kerja yang berjalan di layanan Knative menggunakan jaringan dan node komputasi yang sama. Anda harus membuat cluster terpisah untuk workload yang tidak memiliki kepercayaan bersama. Cluster penayangan Knative tidak boleh menjalankan beban kerja yang tidak terkait seperti infrastruktur atau database CI/CD.
Alasan untuk membuat beberapa cluster untuk workload penayangan Knative mencakup:
- Memisahkan pengembangan dari lingkungan produksi.
- Mengisolasi aplikasi yang dimiliki oleh tim yang berbeda.
- Mengisolasi workload dengan hak istimewa tinggi.
Setelah mendesain cluster, lakukan tindakan berikut untuk membantu mengamankannya:
- Membatasi akses ke cluster Anda.
- Memahami model ancaman Knative.
- Baca referensi keamanan Knative jika Anda berencana menggunakan alat yang didukung komunitas.
Mengamankan komponen
Anda bertanggung jawab untuk mengamankan komponen yang bukan bagian dari penayangan Knative.
Mesh Layanan Cloud
Penyertaan Knative mengandalkan Cloud Service Mesh untuk merutekan traffic.
Gunakan panduan berikut untuk membantu Anda mengamankan Cloud Service Mesh:
Google Kubernetes Engine
Penayangan Knative menggunakan Google Kubernetes Engine (GKE) untuk menjadwalkan beban kerja. Lakukan tindakan berikut untuk membantu Anda mengamankan cluster:
- Ikuti tutorial keamanan GKE Enterprise.
- Memahami model multi-tenancy Google Kubernetes Engine.
- Ikuti panduan hardening cluster Google Kubernetes Engine.
- Memahami model tanggung jawab bersama Google Kubernetes Engine.
Kerentanan yang diketahui
Anda harus berlangganan buletin keamanan untuk dependensi penayangan Knative agar dapat terus mendapatkan informasi terbaru tentang kerentanan yang diketahui: