Esta página se ha traducido con Cloud Translation API.

Información general sobre seguridad

En esta página se ofrece una introducción a las prácticas de seguridad recomendadas para Google Distributed Cloud. La información de esta página no tiene como objetivo proporcionarte una lista exhaustiva de prácticas recomendadas.

Para aplicar buenas prácticas de seguridad en Google Distributed Cloud, se deben aplicar conceptos de Kubernetes y Google Kubernetes Engine (GKE), así como conceptos exclusivos de Google Distributed Cloud.

Seguridad de Kubernetes

Te recomendamos que sigas las directrices generales de seguridad de Kubernetes cuando uses Google Distributed Cloud.

Para obtener una introducción a las directrices de seguridad de Kubernetes, consulta la lista de comprobación de seguridad y la descripción general de la seguridad nativa de la nube en la documentación de Kubernetes.

Seguridad de GKE

Google Distributed Cloud amplía GKE para que puedas crear clústeres de GKE en tus propios servidores Linux en tus instalaciones. Para obtener más información sobre la seguridad de GKE, consulta la descripción general de la seguridad de GKE. Mientras lees, ten en cuenta que, como tu plano de control y tus nodos se ejecutan de forma local, las sugerencias sobre la seguridad del plano de control y la seguridad de los nodos no se aplican.

Seguridad de Google Distributed Cloud

En las secciones siguientes se ofrecen directrices para establecer buenas prácticas de seguridad en Google Distributed Cloud.

Seguridad del hardware

Protege tus centros de datos locales con funciones de seguridad física y de protección que cumplen los estándares del sector.
Asegúrate de que el acceso a tu estación de trabajo de administrador esté muy restringido. La estación de trabajo del administrador almacena datos sensibles, como archivos kubeconfig, claves SSH y claves de cuentas de servicio.

Seguridad de los nodos

Mantén tu sistema operativo actualizado instalando paquetes de software y parches de seguridad.
Para tener más control sobre las extracciones de imágenes de cargas de trabajo y disfrutar de las ventajas de seguridad relacionadas, puedes configurar nodos de trabajador para que se autentiquen en un registro privado. La compatibilidad con registros privados para nodos está disponible en vista previa para clústeres de la versión 1.29.
De forma predeterminada, Google Distributed Cloud añade el repositorio de Docker apt y la clave GPG necesaria a los nodos de tu clúster. Como alternativa a añadir repositorios de paquetes a cada nodo de clúster de tu implementación, puedes configurar el clúster para que use un repositorio de paquetes privado para las imágenes de contenedor.

Seguridad del clúster

Refuerza la seguridad de tus clústeres de Google Distributed Cloud.
Aísle su tráfico y sus datos mediante una implementación de clúster de administradores y usuarios. Este tipo de implementación te ayuda a conseguir los siguientes tipos de aislamiento:
- El tráfico de las cargas de trabajo está aislado del tráfico del plano de administración o de gestión.
- El acceso al clúster se aísla por grupo o rol.
- Las cargas de trabajo de producción están aisladas de las de desarrollo.
Actualiza tus clústeres a una versión compatible. Si usas una versión compatible, disfrutarás de las siguientes ventajas de seguridad:
- Se han corregido vulnerabilidades de seguridad.
- Nuevas funciones que aprovechan las últimas tecnologías y medidas de seguridad.
- Actualizaciones de software y componentes incluidos.
Para reducir la exposición externa y disfrutar de otras ventajas de seguridad, puedes configurar un mirror del registro para instalar componentes de Google Distributed Cloud desde una copia local del registro público.

Seguridad de las cargas de trabajo

Protege tus contenedores con Security-Enhanced Linux (SELinux).
Protege tus cargas de trabajo con la autorización binaria. La autorización binaria es un servicio de Google Cloud que proporciona seguridad en la cadena de suministro de software para las aplicaciones que se ejecutan en la nube. Con Autorización de compilación, puedes asegurarte de que los procesos internos que protegen la calidad y la integridad de tu software se han completado correctamente antes de que se despliegue una aplicación en tu entorno de producción.
Usa Workload Identity Federation para GKE para dar acceso a los pods a los recursos de Google Cloud . Workload Identity Federation for GKE permite que una cuenta de servicio de Kubernetes se ejecute como una cuenta de servicio de IAM. Los pods que se ejecutan como la cuenta de servicio de Kubernetes tienen los permisos de la cuenta de servicio de IAM.
Sigue las prácticas recomendadas para el control de acceso basado en roles (RBAC) de GKE.

Seguridad de la red

Elige una conexión segura entre tu Google Distributed Cloud y Google Cloud. Una vez que hayas establecido la conexión básica, añade funciones que mejoren la seguridad de la conexión.
Limita la exposición de tus clústeres a Internet público instalándolos detrás de un proxy y creando reglas de cortafuegos. También debes usar los controles adecuados en tu entorno de red para limitar el acceso público al clúster.

Seguridad de la autenticación

Gestionar la identidad con Servicio de identidad de GKE GKE Identity Service es un servicio de autenticación que te permite usar tus soluciones de identidad para autenticarte en varios entornos deGoogle Cloud . Puedes iniciar sesión en tus clústeres de Google Distributed Cloud y usarlos desde la línea de comandos (todos los proveedores) o desde la consola (solo OIDC), todo ello con tu proveedor de identidades. Google Cloud
Conéctate a clústeres registrados con la pasarela Connect. La pasarela Connect aprovecha la potencia de las flotas para permitir que los usuarios se conecten a clústeres registrados y ejecuten comandos en ellos de forma coherente y segura.

Seguridad de las credenciales

Cambia las autoridades de certificación. Google Distributed Cloud usa certificados y claves privadas para autenticar y cifrar las conexiones entre los componentes del sistema en los clústeres. Para mantener la comunicación segura del clúster, rota las autoridades de certificación del clúster de usuarios periódicamente y siempre que haya una posible brecha de seguridad.
Rotar las claves de la cuenta de servicio. Para reducir el riesgo de seguridad que provocan las claves filtradas, te recomendamos que cambies las claves de servicio con regularidad.

Supervisa tu seguridad

Usa el registro de auditoría de Kubernetes. El registro de auditoría ofrece a los administradores una forma de conservar, consultar, procesar y alertar sobre los eventos que se producen en sus entornos de Google Distributed Cloud.

Para obtener más información sobre cómo monitorizar la seguridad de los clústeres, consulta Monitorizar el estado de seguridad de la flota.

Información general sobre seguridad Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.