Google Cloud include controlli per proteggere le tue risorse di computing Risorse container di Google Kubernetes Engine (GKE). Questo documento del framework dell'architettura Google Cloud descrive i controlli chiave e le best practice per utilizzarli.
Utilizzare immagini VM protette e curate
Google Cloud include le VM schermate, che ti consentono di rafforzare le tue istanze VM. La VM protetta è progettata per impedire il caricamento di codice dannoso durante il ciclo di avvio. Fornisce sicurezza di avvio, monitora l'integrità e utilizza il Virtual Trusted Platform Module (vTPM). Utilizza Shielded VM per carichi di lavoro sensibili.
Oltre a utilizzare le VM schermate, puoi utilizzare le soluzioni dei partner di Google Cloud per proteggere ulteriormente le tue VM. Molti partner soluzioni offerte su Google Cloud si integrano Security Command Center che fornisce il rilevamento delle minacce per gli eventi e il monitoraggio dello stato di integrità. Puoi utilizzare i partner per l'analisi avanzata delle minacce o per una maggiore sicurezza di runtime.
Utilizzare Confidential Computing per l'elaborazione dei dati sensibili.
Per impostazione predefinita, Google Cloud cripta i dati at-rest e in transito in ma i dati non vengono criptati mentre sono in uso in memoria. Se la tua organizzazione gestisce dati riservati, devi mitigare le minacce che minano la riservatezza e l'integrità dell'applicazione o dei dati nella memoria di sistema. I dati riservati includono informazioni che consentono l'identificazione personale (PII), dati finanziari e informazioni sanitarie.
Confidential Computing si basa su Shielded VM. Protegge i dati in uso eseguendo calcoli in un ambiente di esecuzione attendibile basato su hardware. Questo tipo di ambiente sicuro e isolato contribuisce a impedire l'accesso o la modifica non autorizzati di applicazioni e dati durante il loro utilizzo. Un fornitore fidato aumenta anche la garanzia di sicurezza per le organizzazioni che gestiscono dati sensibili e regolamentati.
In Google Cloud, puoi abilitare Confidential Computing eseguendo Confidential VM o Nodi Confidential GKE Node. Attiva Confidential Computing quando elabori carichi di lavoro confidenziali o quando hai dati confidenziali (ad esempio i secret) che devono essere esposti durante l'elaborazione. Per ulteriori informazioni, consulta Confidential Computing Consortium.
Proteggi VM e container
OS Login consente ai dipendenti di connettersi alle VM Gestione di identità e accessi (IAM) come fonte attendibile invece di ricorrere alle chiavi SSH. Pertanto, non devi gestire le chiavi SSH in tutta l'organizzazione. L'accesso al sistema operativo lega l'accesso di un amministratore al ciclo di vita del dipendente, il che significa che se i dipendenti passano a un altro ruolo o lasciano l'organizzazione, il loro accesso viene revocato con il loro account. OS Login supporta anche l'autenticazione a due fattori, che aggiunge un ulteriore livello di sicurezza contro gli attacchi di acquisizione dell'account.
In GKE, App Engine esegue istanze di applicazione all'interno di container Docker. ad abilitare un rischio definito profilo e impedire ai dipendenti di apportare modifiche ai container, i container sono stateless e immutabili. Il principio di immutabilità significa che i tuoi dipendenti non modificano il container né vi accedono in modo interattivo. Se deve essere modificata, crea una nuova immagine e esegui il redeployment. Attiva l'accesso SSH ai contenitori sottostanti solo in scenari di debug specifici.
Disattiva gli indirizzi IP esterni a meno che non siano necessari
A disabilitare l'allocazione di indirizzi IP esterni (video) per le VM di produzione e per impedire l'uso di bilanciatori del carico esterni, possono usare i criteri dell'organizzazione. Se vuoi che le tue VM raggiungano internet o il tuo data center on-premise, puoi attivare un gateway Cloud NAT.
Puoi eseguire il deployment di cluster privati in GKE. In un cluster privato, i nodi hanno solo IP interno di indirizzi IP, il che significa che nodi e pod sono isolati da internet predefinito. Puoi anche definire un criterio di rete per gestire la comunicazione tra pod nel cluster. Per ulteriori informazioni, consulta Opzioni di accesso privato per i servizi.
Monitora l'istanza Compute e l'utilizzo di GKE
Audit log di Cloud sono abilitate automaticamente Compute Engine e GKE. Gli audit log ti consentono di acquisire automaticamente tutte le attività del tuo cluster e di monitorare eventuali attività sospette.
Puoi integrare GKE con prodotti partner per il runtime sicurezza. Puoi integrare queste soluzioni con Security Command Center per fornirti un'unica interfaccia per il monitoraggio delle applicazioni.
Mantieni aggiornate le immagini e i cluster
Google Cloud fornisce immagini del sistema operativo selezionate che vengono sottoposte a patch regolarmente. Puoi portare immagini personalizzate ed eseguirle su Compute Engine, ma in questo caso devi applicare le patch autonomamente. Google Cloud aggiorna regolarmente le immagini del sistema operativo per mitigare le nuove vulnerabilità, come descritto bollettini sulla sicurezza e fornisce correzioni per correggere le vulnerabilità per i deployment esistenti.
Se utilizzi GKE, ti consigliamo di abilitare l'upgrade automatico dei nodi per consentire a Google di aggiornare i nodi del cluster con le patch più recenti. Google gestisce i piani di controllo GKE, che vengono aggiornati e sottoposti a patch automaticamente. Inoltre, utilizza le immagini ottimizzate per i container selezionate da Google per il tuo deployment. Google applica patch e aggiorna regolarmente queste immagini.
Controlla l'accesso alle immagini e ai cluster
È importante sapere chi può creare e avviare istanze. Puoi controllare questo accesso tramite o IAM. Per informazioni su come determinare i requisiti di accesso dei carichi di lavoro, consulta Pianificare le identità del carico di lavoro.
Inoltre, puoi utilizzare Controlli di servizio VPC per definire quote personalizzate per i progetti in modo da limitare chi può lanciare le immagini. Per saperne di più, consulta la sezione Proteggere la rete.
Per garantire la sicurezza dell'infrastruttura per il tuo cluster, GKE ti consente usi IAM con controllo dell'accesso basato sui ruoli (RBAC) per gestire l'accesso al cluster e agli spazi dei nomi.
Isolare i container in una sandbox
Utilizza GKE Sandbox per eseguire il deployment di applicazioni multi-tenant che necessitano di un ulteriore livello di sicurezza e isolamento dal kernel host. Ad esempio, usa GKE Sandbox eseguendo codice sconosciuto o non attendibile. GKE Sandbox è una soluzione per l'isolamento dei container che fornisce un secondo livello di difesa tra i carichi di lavoro containerizzati su GKE.
GKE Sandbox è stato creato per le applicazioni con requisiti I/O ridotti, ma con un'elevata scalabilità. Questi carichi di lavoro containerizzati devono mantenere velocità e prestazioni, ma potrebbe anche coinvolgere codice non attendibile che richiede sicurezza. Utilizza le funzionalità di gVisor una sandbox per il runtime dei container, per fornire un ulteriore isolamento di sicurezza le applicazioni e il kernel dell'host. gVisor fornisce controlli di integrità aggiuntivi e limita l'ambito di accesso per un servizio. Non è un servizio di rafforzamento dei contenitori per proteggersi dalle minacce esterne. Per ulteriori informazioni su gVisor, consulta gVisor: protezione di GKE e utenti serverless nel mondo reale.
Passaggi successivi
Scopri di più sulla sicurezza di computing e container con le seguenti risorse:
- Proteggere la rete (documento successivo di questa serie)
- Perché la sicurezza dei container è importante (PDF)
- Elenco di controllo per il lancio di Google Cloud
- Verifica dell'identità delle istanze
- Federazione delle identità dei carichi di lavoro per GKE
- VM schermata
- Best practice per gli snapshot dei dischi permanenti
- Best practice per la gestione delle immagini