Diese Seite bietet eine Einführung in die Etablierung guter Sicherheitspraktiken für Google Distributed Cloud Die Informationen auf dieser Seite sind keine umfassende Liste von Best Practices.
Die Anwendung von Best Practices für die Sicherheit in Google Distributed Cloud umfasst die Anwendung von Konzepten aus Kubernetes und Google Kubernetes Engine (GKE) sowie Konzepte, die es nur bei Google Distributed Cloud gibt.
Kubernetes-Sicherheit
Wir empfehlen Ihnen, die allgemeinen Sicherheitsrichtlinien von Kubernetes zu befolgen, wenn Sie Google Distributed Cloud verwenden.
Eine Einführung in die Kubernetes-Sicherheitsrichtlinien finden Sie unter Sicherheitschecklisteund Übersicht über cloudnative Sicherheit in der Kubernetes-Dokumentation.
GKE-Sicherheit
Google Distributed Cloud erweitert die GKE insofern, als Sie GKE-Cluster lokal auf Ihren eigenen Linux-Servern erstellen können. Weitere Informationen zur GKE-Sicherheit finden Sie unter GKE-Sicherheitsübersicht. Denken Sie beim Lesen daran, dass die Vorschläge für die Sicherheit der Steuerungsebeneund die Knotensicherheit nicht zutreffen, da Ihre Steuerungsebene und Knoten vor Ort ausgeführt werden.
Sicherheit von Google Distributed Cloud
In den folgenden Abschnitten finden Sie Informationen dazu, wie Sie bewährte Sicherheitspraktiken für Google Distributed Cloud festlegen.
Hardwaresicherheit
Schützen Sie Ihre Rechenzentren vor Ort mit branchenüblichen physischen Sicherheits- und Schutzfunktionen.
Achten Sie darauf, dass der Zugriff auf Ihre Administrator-Workstation stark eingeschränkt ist. Die Administrator-Workstation speichert sensible Daten wie
kubeconfig
-Dateien, SSH-Schlüssel und Dienstkontoschlüssel.
Knotensicherheit
Halten Sie Ihr Betriebssystem auf dem neuesten Stand, indem Sie Softwarepakete aktualisieren und Sicherheits-Patches installieren.
Für zusätzliche Kontrolle über das Abrufen von Arbeitslast-Images und zugehörige Sicherheitsvorteile können Sie Worker-Knoten so konfigurieren, dass sie sich bei einer privaten Registry authentifizieren. Unterstützung für private Registrys für Knoten ist für die Vorschau für Cluster der Version 1.29 verfügbar.
Google Distributed Cloud fügt Ihren Clusterknoten standardmäßig das Docker-Repository
apt
und den erforderlichen GPG-Schlüssel hinzu. Als Alternative zum Hinzufügen von Paket-Repositories zu jedem Clusterknoten in Ihrer Bereitstellung können Sie Ihren Cluster für die Verwendung eines privaten Paket-Repositorys für Container-Images konfigurieren.
Clustersicherheit
Die Sicherheit Ihrer Google Distributed Cloud-Cluster erhöhen.
Traffic und Daten mithilfe einer Bereitstellung eines Administrator- und Nutzerclusters isolieren. Dieser Bereitstellungstyp unterstützt Sie bei folgenden Arten der Isolation:
- Arbeitslasttraffic ist vom Datenverkehr der Verwaltungs- oder Managementebene isoliert.
- Der Clusterzugriff wird nach Gruppe oder Rolle isoliert.
- Produktionsarbeitslasten sind von Entwicklungsarbeitslasten isoliert.
Aktualisieren Sie Ihre Cluster auf eine unterstützte Version. Eine unterstützte Version bietet die folgenden Sicherheitsvorteile:
- Sicherheitslücken wurden behoben.
- Neue Features und Funktionen, die die neuesten Sicherheitsfunktionen und -technologien nutzen.
- Updates für gebündelte Software und Komponenten.
Für eine geringere externe Sichtbarkeit und andere Sicherheitsvorteile können Sie eine Registry-Spiegelung konfigurieren, um Google Distributed Cloud-Komponenten aus einer lokalen Kopie der öffentlichen Registry zu installieren.
Arbeitslastsicherheit
Container mit sicherheitsverbessertem Linux schützen (SELinux)
Arbeitslasten mit Binärautorisierung schützen. Die Binärautorisierung ist ein Dienst in der Cloud Console, der Softwarelieferkettensicherheit für Anwendungen in der Cloud bietet. Mit der Binärautorisierung werden interne Prozesse, die die Qualität und Integrität Ihrer Software gewährleisten, erfolgreich abgeschlossen, bevor eine Anwendung in Ihrer Produktionsumgebung bereitgestellt wird.
Workload Identity verwenden, um Pods Zugriff auf Google Cloud-Ressourcen zu gewähren. Mit Workload Identity kann ein Kubernetes-Dienstkonto als IAM-Dienstkonto ausgeführt werden. Pods, die als Kubernetes-Dienstkonto ausgeführt werden, haben die Berechtigungen des IAM-Dienstkontos.
Netzwerksicherheit
Wählen Sie eine sichere Verbindung zwischen Ihrer Google Distributed Cloud und Google Cloud Nachdem Sie eine Verbindung hergestellt haben, fügen Sie Funktionen hinzu, die die Sicherheit Ihrer Verbindung optimieren.
Schränken Sie die Gefährdung Ihrer Cluster im öffentlichen Internet ein, indem Sie sie hinter einem Proxy installieren und Firewallregeln erstellen. Verwenden Sie auch die entsprechenden Kontrollen in Ihrer Netzwerkumgebung, um den öffentlichen Zugriff auf den Cluster zu beschränken.
Authentifizierungssicherheit
Identität mit GKE Identity Service verwalten. GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre bestehenden Identitätslösungen zur Authentifizierung in mehrere Umgebungen der Google Kubernetes Engine (GKE) Enterprise Edition einbringen können. Sie können sich bei Ihren Google Distributed Cloud-Clustern über die Befehlszeile (alle Anbieter) oder über die Google Cloud-Konsole (nur OIDC) anmelden und diese nutzen. Dabei verwenden Sie Ihren bestehenden Identitätsanbieter.
Verbindung zu registrierten Clustern mit dem Connect-Gateway. Der Connect-Gateway baut auf der Leistungsfähigkeit von Flotten auf und ermöglicht es GKE Enterprise- Nutzern, sich mit registrierten Clustern zu verbinden und Befehle auf konsistente und sichere Weise auszuführen.
Sicherheit von Anmeldedaten
Zertifizierungsstellen rotieren Google Distributed Cloud verwendet Zertifikate und private Schlüssel zur Authentifizierung und Verschlüsselung von Verbindungen zwischen Systemkomponenten in Clustern. Für eine sichere Clusterkommunikation sollten Sie die Zertifizierungsstelle Ihres Nutzerclusters regelmäßig und bei einem möglichen Sicherheitsverstoß rotieren.
Dienstkontoschlüssel rotieren Um das Sicherheitsrisiko durch gehackte Schlüssel zu verringern, sollten Sie Ihre Dienstschlüssel regelmäßig zu rotieren.
Ihre Sicherheit überwachen
- Kubernetes Audit-Logging verwenden Mit Audit-Logging können Administratoren Ereignisse in Ihren Google Distributed Cloud-Umgebungen speichern, abfragen, verarbeiten und melden.
Weitere Informationen zum Monitoring der Clustersicherheit finden Sie unter Sicherheitsstatus der Flotte überwachen