En esta página, se proporciona una introducción para establecer buenas prácticas de seguridad en Google Distributed Cloud. La orientación que se proporciona en esta página no tiene como objetivo brindarte una lista exhaustiva de prácticas recomendadas.
El uso de prácticas recomendadas de seguridad en Google Distributed Cloud implica aplicar los conceptos de Kubernetes y Google Kubernetes Engine (GKE), así como los conceptos que son exclusivos de Google Distributed Cloud.
Seguridad de Kubernetes
Te recomendamos que sigas los lineamientos generales de seguridad de Kubernetes cuando uses Google Distributed Cloud.
Para obtener una introducción a los lineamientos de seguridad de Kubernetes, consulta la Lista de tareas de seguridad y la Descripción general de la seguridad nativa de la nube en la documentación de Kubernetes.
Seguridad de GKE
Google Distributed Cloud extiende GKE para permitirte crear clústeres de GKE en tus propios servidores Linux alojados en tus instalaciones. Para obtener más información sobre la seguridad de GKE, consulta la descripción general de seguridad de GKE. Mientras lees, ten en cuenta que, como el plano de control y los nodos se ejecutan de forma local, no se aplican las sugerencias de seguridad del plano de control ni de seguridad del nodo.
Seguridad de Google Distributed Cloud
En las siguientes secciones, se proporciona orientación para establecer buenas prácticas de seguridad para Google Distributed Cloud.
Seguridad del hardware
Protege tus centros de datos on-premises con funciones de seguridad física estándar de la industria.
Asegúrate de que el acceso a tu estación de trabajo de administrador esté muy restringido. La estación de trabajo del administrador almacena datos sensibles, como archivos
kubeconfig, claves SSH y claves de cuenta de servicio.
Seguridad de nodos
Mantén tu sistema operativo actualizado actualizando los paquetes de software y instalando parches de seguridad.
Para obtener un mayor control sobre las extracciones de imágenes de cargas de trabajo y los beneficios de seguridad relacionados, puedes configurar nodos de trabajo para que se autentiquen en un registro privado. La compatibilidad con el registro privado para los nodos está disponible en la versión preliminar para los clústeres de la versión 1.29.
De forma predeterminada, Google Distributed Cloud agrega el repositorio
aptde Docker y la clave GPG necesaria a los nodos de tu clúster. Como alternativa a agregar repositorios de paquetes a cada nodo del clúster en tu implementación, puedes configurar el clúster para que use un repositorio de paquetes privado para las imágenes de contenedor.
Seguridad del clúster
Endurece la seguridad de tus clústeres de Google Distributed Cloud.
Aísla tu tráfico y tus datos con una implementación de clústeres de administrador y de usuario. Este tipo de implementación te ayuda a lograr los siguientes tipos de aislamiento:
- El tráfico de la carga de trabajo está aislado del tráfico administrativo o del plano de administración.
- El acceso al clúster está aislado por grupo o rol.
- Las cargas de trabajo de producción están aisladas de las cargas de trabajo de desarrollo.
Actualiza tus clústeres a una versión compatible. El uso de una versión compatible te brinda los siguientes beneficios de seguridad:
- Correcciones de vulnerabilidades de seguridad
- Funciones y características nuevas que aprovechan las tecnologías y la postura de seguridad más recientes
- Actualizaciones de software y componentes empaquetados
Para reducir la exposición externa y obtener otros beneficios de seguridad, puedes configurar un espejo de registro para instalar componentes de Google Distributed Cloud desde una copia local del registro público.
Seguridad de las cargas de trabajo
Protege tus contenedores con Security-Enhanced Linux (SELinux).
Protege tus cargas de trabajo con la Autorización binaria. La autorización binaria es un servicio en Google Cloud que proporciona seguridad de la cadena de suministro de software para aplicaciones que se ejecutan en la nube. Con la autorización binaria, puedes asegurarte de que los procesos internos que protegen la calidad y la integridad de tu software se hayan completado de forma correcta antes de implementar una aplicación en el entorno de producción.
Usa Workload Identity Federation for GKE para darle a los Pods acceso a los recursos de Google Cloud . La federación de identidades para cargas de trabajo para GKE permite que una cuenta de servicio de Kubernetes se ejecute como una cuenta de servicio de IAM. Los pods que se ejecutan como la cuenta de servicio de Kubernetes tienen los permisos de la cuenta de servicio de IAM.
Seguridad de red
Elige una conexión segura entre tu Google Distributed Cloud yGoogle Cloud. Después de establecer la conexión base, agrega funciones que mejoren la seguridad de tu conexión.
Instálalos detrás de un proxy y crea reglas de firewall para limitar la exposición de tus clústeres a la Internet pública. También usa los controles adecuados en tu entorno de red para limitar el acceso público al clúster.
Seguridad de la autenticación
Administra la identidad con GKE Identity Service. GKE Identity Service es un servicio de autenticación que te permite usar las soluciones de identidad existentes para la autenticación múltiple en varios entornos de Google Kubernetes Engine (GKE) Enterprise. Puedes acceder a los clústeres de Google Distributed Cloud y usarlos desde la línea de comandos (todos los proveedores) o desde la consola de Google Cloud (solo OIDC), todo con tu proveedor de identidad existente.
Conéctate a clústeres registrados con la puerta de enlace de Connect. La puerta de enlace de Connect se basa en la potencia de las flotas para permitir que los usuarios de GKE Enterprise se conecten a los clústeres registrados y ejecuten comandos en ellos de manera coherente y segura.
Seguridad de las credenciales
Rota las autoridades certificadoras. Google Distributed Cloud usa certificados y claves privadas para autenticar y encriptar las conexiones entre los componentes del sistema en clústeres. Para mantener la comunicación segura del clúster, rota las autoridades certificadoras del clúster de usuario de forma periódica y siempre que haya una posible violación de la seguridad.
Rota las claves de la cuenta de servicio. Para reducir el riesgo de seguridad causado por claves filtradas, te recomendamos que rotes tus claves de servicio de forma periódica.
Supervisa tu seguridad
- Usa el registro de auditoría de Kubernetes. El registro de auditoría proporciona una forma para que los administradores retengan, consulten, procesen y generen alertas sobre los eventos que ocurren en los entornos de Google Distributed Cloud.
Para obtener más información sobre cómo supervisar la seguridad del clúster, consulta Supervisa la postura de seguridad de la flota.