Cette page explique comment établir de bonnes pratiques de sécurité pour GKE sur une solution Bare Metal. Les conseils de cette page ne visent pas à vous fournir une liste complète des bonnes pratiques.
L'application des bonnes pratiques de sécurité sur GKE sur une solution Bare Metal implique d'appliquer des concepts de Kubernetes et de Google Kubernetes Engine (GKE), ainsi que des concepts propres à GKE sur une solution Bare Metal.
Sécurité Kubernetes
Nous vous recommandons de suivre les consignes générales de Kubernetes concernant la sécurité lorsque vous utilisez GKE sur une solution Bare Metal.
Pour en savoir plus sur les consignes de sécurité Kubernetes, consultez la checklist de sécurité et la présentation de la sécurité cloud native dans la documentation de Kubernetes.
Sécurité de GKE
GKE sur Bare Metal étend GKE pour vous permettre de créer des clusters GKE sur vos propres serveurs Linux sur site. Pour en savoir plus sur la sécurité de GKE, consultez la Présentation de la sécurité GKE. Gardez à l'esprit que, comme votre plan de contrôle et vos nœuds s'exécutent sur site, les suggestions concernant la sécurité du plan de contrôle et la sécurité des nœuds ne s'appliquent pas.
Sécurité de GKE sur bare metal
Les sections suivantes fournissent des conseils pour établir de bonnes pratiques de sécurité pour GKE sur une solution Bare Metal.
Sécurité du matériel
Sécurisez vos centres de données sur site à l'aide des fonctionnalités de sécurité physique standards dans l'industrie.
Assurez-vous que l'accès à votre poste de travail administrateur est hautement limité. Le poste de travail administrateur stocke des données sensibles telles que des fichiers
kubeconfig
, des clés SSH et des clés de compte de service.
Sécurité des nœuds
- Maintenez votre système d'exploitation à jour en mettant à jour vos packages logiciels et en installant des correctifs de sécurité.
Sécurité du cluster
Isolez votre trafic et vos données à l'aide d'un déploiement de cluster d'administrateur et d'utilisateur. Ce type de déploiement vous permet d'obtenir les types d'isolation suivants:
- Le trafic des charges de travail est isolé du trafic administratif ou du plan de gestion.
- L'accès au cluster est isolé par groupe ou par rôle.
- Les charges de travail de production sont isolées des charges de travail de développement.
Mettez à niveau vos clusters vers une version compatible. L'utilisation d'une version compatible vous offre les avantages de sécurité suivants:
- Correctifs pour les failles de sécurité.
- Nouvelles fonctionnalités qui exploitent les technologies et les dispositifs de sécurité les plus récents.
- Mises à jour des packages logiciels et composants.
Sécurité des charges de travail
Sécurisez vos conteneurs à l'aide de Security-Enhanced Linux (SELinux).
Sécurisez vos charges de travail avec l'autorisation binaire. L'autorisation binaire est un service Google Cloud qui fournit une sécurité sur la chaîne d'approvisionnement logicielle pour les applications exécutées dans le cloud. Avec l'autorisation binaire, vous pouvez vous assurer que les processus internes protégeant la qualité et l'intégrité de vos logiciels se sont bien terminés avant de déployer une application dans votre environnement de production.
Utilisez Workload Identity pour accorder aux pods l'accès aux ressources Google Cloud. Workload Identity permet à un compte de service Kubernetes de s'exécuter en tant que compte de service IAM. Les pods qui s'exécutent en tant que compte de service Kubernetes disposent des autorisations du compte de service IAM.
Sécurité du réseau
Choisissez une connexion sécurisée entre votre solution GKE sur Bare Metal et Google Cloud. Une fois votre connexion de base en place, ajoutez des fonctionnalités qui améliorent la sécurité de votre connexion.
Limitez l'exposition de vos clusters à l'Internet public en les installant derrière un proxy et en créant des règles de pare-feu. Utilisez également les contrôles appropriés dans votre environnement réseau pour limiter l'accès public au cluster.
Sécurité de l'authentification
Gérez les identités avec GKE Identity Service. GKE Identity Service est un service d'authentification qui vous permet d'utiliser vos solutions d'authentification existantes pour plusieurs environnements Google Kubernetes Engine (GKE) Enterprise. Vous pouvez vous connecter à vos clusters GKE sur Bare Metal et les utiliser à partir de la ligne de commande (tous les fournisseurs) ou de la console Google Cloud (OIDC uniquement), le tout à l'aide de votre fournisseur d'identité existant.
Connectez-vous aux clusters enregistrés avec la passerelle Connect. La passerelle Connect s'appuie sur la puissance des parcs pour permettre aux utilisateurs de GKE Enterprise de se connecter aux clusters enregistrés et d'exécuter des commandes sur ceux-ci de manière simple, cohérente et sécurisée.
Sécurité des identifiants
Effectuez une rotation des autorités de certification. GKE sur Bare Metal utilise des certificats et des clés privées pour authentifier et chiffrer les connexions entre les composants système des clusters. Pour maintenir une communication sécurisée avec vos clusters, alternez régulièrement les autorités de certification de vos clusters d'utilisateur et en cas de brèche de sécurité potentielle.
Effectuez une rotation des clés de compte de service. Pour réduire le risque de sécurité causé par la fuite de clés, nous vous recommandons d'alterner régulièrement vos clés de service.
Surveillez la sécurité
- Utilisez la journalisation d'audit Kubernetes. Les journaux d'audit permettent aux administrateurs de conserver, d'interroger, de traiter et de signaler les événements qui se produisent dans vos environnements GKE sur Bare Metal.
Pour en savoir plus sur la surveillance de la sécurité des clusters, consultez Surveiller la stratégie de sécurité du parc.