Neste documento, descrevemos como configurar a exibição do Knative e os principais componentes dela seguindo as práticas recomendadas de segurança.
Como proteger a veiculação do Knative
A exibição do Knative é baseada no projeto de código aberto Knative e herda a postura de segurança dele.
As cargas de trabalho em execução no Knative compartilham os mesmos nós de rede e computação. Crie clusters separados para cargas de trabalho que não têm confiança mútua. Os clusters de exibição Knative não podem executar cargas de trabalho não relacionadas, como infraestruturas de CI/CD ou bancos de dados.
Os motivos para criar vários clusters para cargas de trabalho de exibição do Knative incluem:
- separar o desenvolvimento de ambientes de produção;
- isolar aplicativos que pertencem a diferentes equipes;
- isolar cargas de trabalho altamente privilegiadas.
Depois de projetar seus clusters, realize as seguintes ações para protegê-los:
- Restrinja o acesso ao cluster.
- Entenda o modelo de ameaça do Knative.
- Leia a referência de segurança do Knative se quiser usar ferramentas de suporte da comunidade.
Como proteger componentes
Você é responsável por proteger componentes que não fazem parte da exibição do Knative.
Anthos Service Mesh
A exibição do Knative depende do Anthos Service Mesh para rotear o tráfego.
Use os guias a seguir para ajudar a proteger o Anthos Service Mesh:
- Visão geral e recursos de segurança do Anthos Service Mesh.
- Práticas recomendadas de segurança do Anthos Service Mesh.
Google Kubernetes Engine
A exibição do Knative usa o Google Kubernetes Engine (GKE) para programar cargas de trabalho. Realize as ações a seguir para ajudar a proteger seus clusters:
- Siga o tutorial de segurança do GKE Enterprise.
- Entenda o modelo de multilocação do Google Kubernetes Engine.
- Siga o guia de aumento da proteção do cluster do Google Kubernetes Engine.
- Entenda o modelo de responsabilidade compartilhada do Google Kubernetes Engine.
Vulnerabilidades conhecidas
Inscreva-se nos boletins de segurança para dependências de exibição do Knative para se manter atualizado sobre vulnerabilidades conhecidas: