Google Cloud include controlli per proteggere le tue risorse di computing Risorse container di Google Kubernetes Engine (GKE). Questo documento nel Framework dell'architettura Google Cloud descrive i controlli chiave e le best practice per utilizzarli.
Utilizzare immagini VM protette e curate
Google Cloud include Shielded VM, che ti consente di rafforzare la protezione delle istanze VM. La Shielded VM è progettata per impedire il caricamento di codice dannoso durante il ciclo di avvio. Offre sicurezza in fase di avvio, monitora l'integrità e utilizza il Virtual Trusted Platform Module (vTPM). Utilizza Shielded VM per carichi di lavoro sensibili.
Oltre a utilizzare la Shielded VM, puoi utilizzare Soluzioni dei partner Google Cloud per proteggere ulteriormente le tue VM. Molti partner soluzioni offerte su Google Cloud si integrano Security Command Center che fornisce il rilevamento delle minacce per gli eventi e il monitoraggio dello stato di integrità. Puoi utilizzare la modalità per l'analisi avanzata delle minacce o per una maggiore sicurezza in fase di runtime.
Utilizzare Confidential Computing per l'elaborazione dei dati sensibili.
Per impostazione predefinita, Google Cloud cripta i dati at-rest e in transito in ma i dati non vengono criptati mentre sono in uso in memoria. Se le tue un'organizzazione gestisce i dati riservati, è necessario mitigare l'impatto delle minacce che compromettano la riservatezza e l'integrità dell'applicazione o i dati nella memoria di sistema. I dati riservati includono l'identificazione personale informazioni (PII), dati finanziari e informazioni sanitarie.
Confidential Computing si basa su Shielded VM. Protegge i dati in uso eseguendo il computing in un ambiente di esecuzione affidabile e basato su hardware. Questo tipo di un ambiente sicuro e isolato contribuisce a impedire l'accesso non autorizzato la modifica di applicazioni e dati mentre questi sono in uso. Un fornitore fidato aumenta anche la garanzia di sicurezza per le organizzazioni che gestiscono dati sensibili e regolamentati.
In Google Cloud, puoi abilitare Confidential Computing eseguendo Confidential VM o Nodi Confidential GKE Node. Attiva Confidential Computing durante l'elaborazione delle informazioni riservate carichi di lavoro o se hai dati riservati (ad esempio, secret) che devono durante l'elaborazione. Per ulteriori informazioni, consulta Confidential Computing Consortium.
Proteggi VM e container
OS Login consente ai dipendenti di connettersi alle VM Gestione di identità e accessi (IAM) come fonte attendibile invece di ricorrere alle chiavi SSH. Pertanto, non dovrai gestire chiavi SSH in tutta l'organizzazione. OS Login collega al ciclo di vita dei dipendenti, il che significa che se quando passano a un altro ruolo o lasciano l'organizzazione, il loro accesso revocati con il proprio account. OS Login supporta anche l'autenticazione a due fattori, che aggiunge un ulteriore livello di sicurezza dagli attacchi di violazione degli account.
In GKE, App Engine delle applicazioni all'interno dei container Docker. ad abilitare un rischio definito e impedire ai dipendenti di apportare modifiche ai container, i container sono stateless e immutabili. Il principio di immutabilità significa che i tuoi dipendenti non modificano il container o vi accedono in modo interattivo. Se deve essere modificata, crea una nuova immagine ed esegui di nuovo il deployment. Attiva Accesso SSH ai container sottostanti solo in scenari di debug specifici.
Disattiva gli indirizzi IP esterni a meno che non siano necessari
A disabilitare l'allocazione di indirizzi IP esterni (video) per le VM di produzione e per impedire l'uso di bilanciatori del carico esterni, possono usare i criteri dell'organizzazione. Se hai bisogno che le tue VM raggiungano internet tuo data center on-premise, puoi abilitare Gateway Cloud NAT.
Puoi eseguire il deployment cluster privati in GKE. In un cluster privato, i nodi hanno solo IP interno di indirizzi IP, il che significa che nodi e pod sono isolati da internet predefinito. Puoi anche definire un criterio di rete per gestire la comunicazione tra pod nel cluster. Per ulteriori informazioni, vedi Opzioni di accesso privato per i servizi.
Monitora l'istanza Compute e l'utilizzo di GKE
Audit log di Cloud sono abilitate automaticamente Compute Engine e GKE. Gli audit log consentono di acquisire automaticamente tutte le attività relative al cluster per rilevare eventuali attività sospette.
Puoi integrare GKE con prodotti partner per il runtime sicurezza. Puoi integrare queste soluzioni con Security Command Center per offrirti un'unica interfaccia per il monitoraggio delle applicazioni.
Mantieni aggiornati le immagini e i cluster
Google Cloud fornisce immagini del sistema operativo selezionate con patch regolari. Tu puoi portare immagini personalizzate ed eseguirle su Compute Engine, devi ripararli personalmente. Google Cloud aggiorna regolarmente le immagini del sistema operativo per mitigare le nuove vulnerabilità, come descritto bollettini sulla sicurezza e fornisce correzioni per correggere le vulnerabilità per i deployment esistenti.
Se utilizzi GKE, ti consigliamo di abilita l'upgrade automatico dei nodi in modo che Google aggiorni i nodi del cluster con le patch più recenti. Google gestisce ai piani di controllo GKE, che vengono aggiornati e con patch automaticamente. Inoltre, per il deployment, utilizza immagini ottimizzate per i container curate da Google. Google applica patch e aggiornamenti regolari a queste immagini.
Controlla l'accesso alle immagini e ai cluster
È importante sapere chi può creare e avviare le istanze. Puoi controllare questo accesso tramite o IAM. Per informazioni su come determinare quali carichi di lavoro di accesso consulta Pianifica le identità dei carichi di lavoro.
Inoltre, puoi utilizzare Controlli di servizio VPC per definire quote personalizzate sui progetti, in modo da limitare gli utenti che possono lanciare le immagini. Per ulteriori informazioni, consulta Proteggere la rete .
Per garantire la sicurezza dell'infrastruttura per il tuo cluster, GKE ti consente usi IAM con controllo dell'accesso basato sui ruoli (RBAC) per gestire l'accesso al cluster e agli spazi dei nomi.
Isolare i container in una sandbox
Utilizza le funzionalità di GKE Sandbox per il deployment di applicazioni multi-tenant che richiedono un ulteriore livello di sicurezza per l'isolamento dal kernel host. Ad esempio, usa GKE Sandbox eseguendo codice sconosciuto o non attendibile. GKE Sandbox è un servizio di isolamento soluzione che fornisce un secondo livello di difesa fra i carichi di lavoro containerizzati su GKE.
GKE Sandbox è stato realizzato per applicazioni che hanno requisiti di I/O bassi, ma su vasta scala. Questi carichi di lavoro containerizzati devono mantenere velocità e prestazioni, ma potrebbe anche coinvolgere codice non attendibile che richiede sicurezza. Utilizza le funzionalità di gVisor una sandbox per il runtime dei container, per fornire un ulteriore isolamento di sicurezza le applicazioni e il kernel dell'host. gVisor fornisce controlli di integrità aggiuntivi e limita l'ambito di accesso per un servizio. Non si tratta di un hardening dei container per proteggerti da minacce esterne. Per ulteriori informazioni su gVisor, consulta gVisor: protezione di GKE e utenti serverless nel mondo reale.
Passaggi successivi
Scopri di più sulla sicurezza di computing e container con le seguenti risorse:
- Proteggere la rete (documento successivo di questa serie)
- Perché la sicurezza dei container è importante (PDF)
- Elenco di controllo per il lancio di Google Cloud
- Verifica dell'identità delle istanze
- Identità carico di lavoro
- VM schermata
- Best practice per disco permanente permanenti
- Best practice per la gestione delle immagini