Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta página, se proporciona una introducción para establecer buenas prácticas de seguridad en Google Distributed Cloud. La orientación que se proporciona en esta página no tiene como objetivo brindarte una lista exhaustiva de prácticas recomendadas.
Aplicar prácticas recomendadas para la seguridad en Google Distributed Cloud implica aplicar conceptos de Kubernetes y Google Kubernetes Engine (GKE), así como conceptos exclusivos de Google Distributed Cloud.
Seguridad de Kubernetes
Te recomendamos que sigas los lineamientos generales de seguridad de Kubernetes cuando uses Google Distributed Cloud.
Google Distributed Cloud extiende GKE para permitirte crear clústeres de GKE en tus propios servidores Linux locales. Para obtener más información sobre la seguridad de GKE, consulta la descripción general de la seguridad de GKE. Mientras lees, ten en cuenta que, como tu plano de control y tus nodos se ejecutan de forma local, no se aplican las sugerencias para la seguridad del plano de control ni la seguridad de los nodos.
Seguridad de Google Distributed Cloud
En las siguientes secciones, se proporciona orientación para establecer prácticas de seguridad adecuadas para Google Distributed Cloud.
Seguridad del hardware
Protege tus centros de datos locales con funciones de seguridad y protección física que cumplen con los estándares de la industria.
Asegúrate de que el acceso a tu estación de trabajo de administrador esté muy restringido. La estación de trabajo de administrador almacena datos sensibles, como archivos kubeconfig, claves SSH y claves de cuentas de servicio.
Seguridad de nodos
Mantén tu sistema operativo actualizado instalando parches de seguridad y actualizando paquetes de software.
De forma predeterminada, Google Distributed Cloud agrega el repositorio apt de Docker y la clave GPG necesaria a los nodos del clúster. Como alternativa a agregar repositorios de paquetes a cada nodo del clúster en tu implementación, puedes configurar tu clúster para usar un repositorio de paquetes privado para imágenes de contenedor.
Nuevas funciones que aprovechan la postura y las tecnologías de seguridad más recientes
Actualizaciones de software y componentes incluidos
Para reducir la exposición externa y obtener otros beneficios de seguridad, puedes configurar un duplicado del registro para instalar componentes de Google Distributed Cloud desde una copia local del registro público.
Protege tus cargas de trabajo con la Autorización binaria.
La autorización binaria es un servicio en Google Cloud que proporciona seguridad para la cadena de suministro de software a las aplicaciones que se ejecutan en la nube. Con la autorización binaria, puedes asegurarte de que los procesos internos que protegen la calidad y la integridad del software se completen de forma correcta antes de que se implemente una aplicación en el entorno de producción.
Usa la federación de identidades para cargas de trabajo para GKE para otorgar a los Pods acceso a los recursos de Google Cloud . La federación de identidades para cargas de trabajo para GKE permite que una cuenta de servicio de Kubernetes se ejecute como cuenta de servicio de IAM. Los pods que se ejecutan como la cuenta de servicio de Kubernetes tienen los permisos de la cuenta de servicio de IAM.
Administra la identidad con GKE Identity Service.
GKE Identity Service es un servicio de autenticación que te permite usar tus soluciones de identidad existentes para la autenticación en varios entornos deGoogle Cloud . Puedes acceder a tus clústeres de Google Distributed Cloud y usarlos desde la línea de comandos (todos los proveedores) o desde la Google Cloud consola (solo OIDC), todo con tu proveedor de identidad existente.
Rota las autoridades certificadoras.
Google Distributed Cloud usa certificados y claves privadas para autenticar y encriptar conexiones entre los componentes del sistema en clústeres. Para mantener la comunicación segura del clúster, rota las autoridades certificadoras del clúster de usuario de forma periódica y siempre que haya una posible violación de la seguridad.
Rota las claves de la cuenta de servicio. Para reducir el riesgo de seguridad causado por las claves filtradas, te recomendamos que rotes tus claves de servicio con regularidad.
Supervisa tu seguridad
Usa el registro de auditoría de Kubernetes.
El registro de auditoría proporciona una forma para que los administradores retengan, consulten, procesen y generen alertas sobre los eventos que ocurren en los entornos de Google Distributed Cloud.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["This page provides an introduction to establishing good security practices for\nGoogle Distributed Cloud. The guidance on this page is not intended to provide you with\na comprehensive list of best practices.\n\nUsing good practices for security on Google Distributed Cloud involves applying\nconcepts from Kubernetes and Google Kubernetes Engine (GKE), as well as concepts\nthat are unique to Google Distributed Cloud.\n\nKubernetes security\n\nWe recommend that you follow general Kubernetes guidelines for security when\nyou're using Google Distributed Cloud.\n\nFor an introduction to Kubernetes security guidelines, see the [Security\nChecklist](https://kubernetes.io/docs/concepts/security/security-checklist/)\nand [Overview of Cloud Native\nSecurity](https://kubernetes.io/docs/concepts/security/overview/)\nin the Kubernetes documentation.\n\nGKE security\n\nGoogle Distributed Cloud extends GKE to let you create\nGKE clusters on your own Linux servers on your own premises. To\nlearn more about GKE security, see the [GKE\nsecurity overview](/kubernetes-engine/docs/concepts/security-overview). As\nyou're reading, keep in mind that because your control plane and nodes run\non-premises, the suggestions for\n[control plane security](/kubernetes-engine/docs/concepts/security-overview#control_plane_security)\nand [node security](/kubernetes-engine/docs/concepts/security-overview#node_security)\ndon't apply.\n\nGoogle Distributed Cloud security\n\nThe following sections provide guidance for establishing good security practices\nfor Google Distributed Cloud.\n\nHardware security\n\n- Secure your on-premises data centers with industry standard physical\n security and safety features.\n\n- Ensure that access to your [admin workstation](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/workstation-prerequisites)\n is highly restricted. The admin workstation stores sensitive data such as\n `kubeconfig` files, SSH keys, and service account keys.\n\nNode security\n\n- Keep your operating system up-to-date by updating software packages and\n installing security patches.\n\n- For added control over workload image pulls and related security benefits,\n you can [configure worker nodes to authenticate to a private registry](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/configure-node-private-reg). Private registry support\n for nodes is available for [Preview](/products#product-launch-stages) for\n version 1.29 clusters.\n\n- By default, Google Distributed Cloud adds the Docker `apt` repository and the\n needed GPG key to your cluster nodes. As an alternative to adding adding\n package repositories to each cluster node in your deployment, you can\n configure your cluster to [use a private package\n repository](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/package-server) for container images.\n\nCluster security\n\n- [Harden the security of your Google Distributed Cloud\n clusters](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/hardening-your-cluster).\n\n- Isolate your traffic and data by using an [admin and user cluster\n deployment](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/install-prep#admin_user_model). This\n deployment type helps you to achieve the following types of isolation:\n\n - Workload traffic is isolated from administrative, or management plane traffic.\n - Cluster access is isolated by group or role.\n - Production workloads are isolated from development workloads.\n- [Upgrade your clusters](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/upgrade-best-practices) to a\n [supported version](/kubernetes-engine/distributed-cloud/bare-metal/docs/getting-support#version-support). Using a\n supported version provides you with the following security benefits:\n\n - Fixes for security vulnerabilities.\n - New features and functions that take advantage of latest security posture and technologies.\n - Updates for bundled software and components.\n- For reduced external exposure and other security benefits, you can\n [configure a registry mirror](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/registry-mirror) to\n install Google Distributed Cloud components from a local copy of the public\n registry.\n\nWorkload security\n\n- [Secure your containers using Security-Enhanced Linux\n (SELinux)](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/configure-selinux).\n\n- [Secure your workloads with\n Binary Authorization](/binary-authorization/docs/overview-on-prem).\n Binary Authorization is a service on Google Cloud that provides software\n supply-chain security for applications that run in the cloud. With\n Binary Authorization, you can ensure that internal processes that safeguard the\n quality and integrity of your software have successfully completed before an\n application is deployed to your production environment.\n\n- Use [Workload Identity Federation for GKE](/kubernetes-engine/docs/how-to/workload-identity)\n to give Pods access to Google Cloud resources. Workload Identity Federation for GKE\n allows a Kubernetes service account to run as an IAM service account. Pods\n that run as the Kubernetes service account have the permissions of the IAM\n service account.\n\n- [Follow the best practices for GKE\n RBAC](/kubernetes-engine/docs/best-practices/rbac).\n\nNetwork security\n\n- [Choose a secure connection between your Google Distributed Cloud and\n Google Cloud](/kubernetes-engine/distributed-cloud/bare-metal/docs/concepts/connect-on-prem-gcp#enhancing_your_fundamental_connection).\n After your fundamental connection is in place, add features that enhance the\n security of your connection.\n\n- Limit the exposure of your clusters to the public internet by [installing\n them behind a proxy and creating firewall\n rules](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/proxy). Also use\n the appropriate controls in your network environment to limit public access\n to the cluster.\n\nAuthentication security\n\n- [Manage identity with\n GKE Identity Service](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/identity-manage).\n GKE Identity Service is an authentication service that lets you bring\n your existing identity solutions for authentication to multiple\n Google Cloud environments. You can sign in to and use your\n Google Distributed Cloud clusters from the command line (all providers) or from\n the Google Cloud console (OIDC only), all using your existing identity\n provider.\n\n- [Connect to registered clusters with the\n Connect gateway](/kubernetes-engine/enterprise/multicluster-management/gateway). The\n Connect gateway builds on the power of fleets to let\n users connect to and run commands against registered clusters in a\n consistent and secure way.\n\nCredential security\n\n- [Rotate certificate\n authorities](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/ca-rotation).\n Google Distributed Cloud uses certificates and private keys to authenticate\n and encrypt connections between system components in clusters. To maintain\n secure cluster communication, rotate your user cluster certificate\n authorities periodically and whenever there is a possible security breach.\n\n- [Rotate service account\n keys](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/update-secrets). To\n reduce the security risk caused by leaked keys, we recommend that you\n regularly rotate your service keys.\n\nMonitor your security\n\n- [Use Kubernetes audit\n logging](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/audit-logging). Audit logging provides a way for administrators to retain, query, process, and alert on events that occur in your Google Distributed Cloud environments.\n\nFor more information about monitoring cluster security, see\n[Monitor fleet security posture](/kubernetes-engine/fleet-management/docs/secure#monitor-fleets-scale)."]]
