Questo documento descrive come configurare Knative serving e le sue principali componenti seguendo le best practice per la sicurezza.
Protezione di Knative serving
Knative serving si basa sull'open source Knative ed eredita i suoi strategia di sicurezza.
I carichi di lavoro in esecuzione su Knative serving condividono la stessa rete e gli stessi nodi di computing. Dovresti creare cluster separati per i carichi di lavoro che non hanno attendibilità reciproca. I cluster Knative serving non devono eseguire carichi di lavoro non correlati come CI/CD a livello di infrastruttura o database.
I motivi per creare più cluster per i carichi di lavoro di Knative serving includono:
- Separazione dello sviluppo dagli ambienti di produzione.
- Isolare le applicazioni di proprietà di team diversi.
- Isolamento di carichi di lavoro con privilegi elevati.
Dopo aver progettato i cluster, esegui le seguenti azioni per proteggerli:
- Limita l'accesso al cluster.
- Comprendere il modello di minaccia Knative.
- Leggi il riferimento per la sicurezza di Knative se prevedi di utilizzare strumenti supportati dalla community.
Protezione dei componenti
È tua responsabilità proteggere i componenti che non fanno parte di Knative serving.
Cloud Service Mesh
Knative serving si basa su Cloud Service Mesh per il routing del traffico.
Utilizza le seguenti guide per proteggere meglio Cloud Service Mesh:
- Panoramica e funzionalità della sicurezza di Cloud Service Mesh.
- Best practice per la sicurezza di Cloud Service Mesh.
Google Kubernetes Engine
Knative serving utilizza Google Kubernetes Engine (GKE) per pianificare i carichi di lavoro. Esegui le azioni seguenti per proteggere i tuoi cluster:
- Segui il tutorial sulla sicurezza di GKE Enterprise.
- Comprendere il modello multi-tenancy di Google Kubernetes Engine.
- Segui la guida alla protezione dei cluster Google Kubernetes Engine.
- Comprendere il modello di responsabilità condivisa di Google Kubernetes Engine.
Vulnerabilità note
Devi iscriverti ai bollettini sulla sicurezza per le dipendenze di Knative serving per restare al passo con le vulnerabilità note: