Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page présente les bonnes pratiques de sécurité à adopter pour Google Distributed Cloud. Les conseils de cette page ne sont pas destinés à vous fournir une liste exhaustive des bonnes pratiques.
L'application de bonnes pratiques de sécurité sur Google Distributed Cloud implique l'application de concepts de Kubernetes et de Google Kubernetes Engine (GKE), ainsi que de concepts propres à Google Distributed Cloud.
Sécurité Kubernetes
Nous vous recommandons de suivre les consignes générales de sécurité de Kubernetes lorsque vous utilisez Google Distributed Cloud.
Google Distributed Cloud étend GKE pour vous permettre de créer des clusters GKE sur vos propres serveurs Linux, dans vos propres locaux. Pour en savoir plus sur la sécurité de GKE, consultez la présentation de la sécurité de GKE. Gardez à l'esprit que, comme votre plan de contrôle et vos nœuds s'exécutent sur site, les suggestions concernant la sécurité du plan de contrôle et la sécurité des nœuds ne s'appliquent pas.
Sécurité de Google Distributed Cloud
Les sections suivantes fournissent des conseils pour établir de bonnes pratiques de sécurité pour Google Distributed Cloud.
Sécurité matérielle
Sécurisez vos centres de données sur site grâce à des fonctionnalités de sécurité physique standards.
Assurez-vous que l'accès à votre poste de travail administrateur est très limité. Le poste de travail administrateur stocke des données sensibles telles que les fichiers kubeconfig, les clés SSH et les clés de compte de service.
Sécurité des nœuds
Gardez votre système d'exploitation à jour en effectuant les mises à jour des packages logiciels et en installant les correctifs de sécurité.
Par défaut, Google Distributed Cloud ajoute le dépôt Docker apt et la clé GPG nécessaire à vos nœuds de cluster. Au lieu d'ajouter des dépôts de packages à chaque nœud de cluster de votre déploiement, vous pouvez configurer votre cluster pour utiliser un dépôt de packages privé pour les images de conteneurs.
Nouvelles fonctionnalités qui exploitent les dernières technologies et stratégies de sécurité.
Mises à jour pour les logiciels et composants groupés.
Pour réduire l'exposition externe et bénéficier d'autres avantages de sécurité, vous pouvez configurer un miroir de registre afin d'installer des composants Google Distributed Cloud à partir d'une copie locale du registre public.
Sécurisez vos charges de travail avec l'autorisation binaire.
L'autorisation binaire est un service sur Google Cloud qui fournit une sécurité sur la chaîne d'approvisionnement logicielle pour les applications exécutées dans le cloud. Avec l'autorisation binaire, vous pouvez vous assurer que les processus internes protégeant la qualité et l'intégrité de vos logiciels se sont bien terminés avant de déployer une application dans votre environnement de production.
Utilisez la fédération d'identité de charge de travail pour GKE afin d'accorder aux pods l'accès aux ressources Google Cloud . Workload Identity Federation for GKE permet à un compte de service Kubernetes de s'exécuter en tant que compte de service IAM. Les pods qui s'exécutent en tant que compte de service Kubernetes disposent des autorisations du compte de service IAM.
Gérez l'identité avec GKE Identity Service.
GKE Identity Service est un service d'authentification qui vous permet d'exploiter vos solutions existantes pour l'authentification dans plusieurs environnementsGoogle Cloud . Vous pouvez vous connecter à vos clusters Google Distributed Cloud et les utiliser depuis la ligne de commande (tous les fournisseurs) ou depuis la console Google Cloud (OIDC uniquement), tout en utilisant votre fournisseur d'identité existant.
Se connecter à des clusters enregistrés avec la passerelle Connect La passerelle Connect exploite les performances des parcs pour permettre aux utilisateurs de se connecter aux clusters enregistrés et d'exécuter des commandes sur ces clusters de manière cohérente et sécurisée.
Sécurité des identifiants
Alternez les autorités de certification.
Google Distributed Cloud utilise des certificats et des clés privées pour authentifier et chiffrer les connexions entre les composants système des clusters. Pour maintenir une communication sécurisée entre les clusters, alternez l'autorité de certification de votre cluster d'utilisateur périodiquement et chaque fois qu'il existe une brèche de sécurité possible.
Alternez les clés de compte de service. Pour réduire le risque de sécurité causé par les clés piratées, nous vous recommandons d'alterner régulièrement vos clés de service.
Contrôlez votre sécurité
Utilisez la journalisation d'audit Kubernetes.
La journalisation d'audit offre aux administrateurs un moyen de conserver, d'interroger, de traiter et de notifier les événements qui se produisent dans vos environnements Google Distributed Cloud.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["This page provides an introduction to establishing good security practices for\nGoogle Distributed Cloud. The guidance on this page is not intended to provide you with\na comprehensive list of best practices.\n\nUsing good practices for security on Google Distributed Cloud involves applying\nconcepts from Kubernetes and Google Kubernetes Engine (GKE), as well as concepts\nthat are unique to Google Distributed Cloud.\n\nKubernetes security\n\nWe recommend that you follow general Kubernetes guidelines for security when\nyou're using Google Distributed Cloud.\n\nFor an introduction to Kubernetes security guidelines, see the [Security\nChecklist](https://kubernetes.io/docs/concepts/security/security-checklist/)\nand [Overview of Cloud Native\nSecurity](https://kubernetes.io/docs/concepts/security/overview/)\nin the Kubernetes documentation.\n\nGKE security\n\nGoogle Distributed Cloud extends GKE to let you create\nGKE clusters on your own Linux servers on your own premises. To\nlearn more about GKE security, see the [GKE\nsecurity overview](/kubernetes-engine/docs/concepts/security-overview). As\nyou're reading, keep in mind that because your control plane and nodes run\non-premises, the suggestions for\n[control plane security](/kubernetes-engine/docs/concepts/security-overview#control_plane_security)\nand [node security](/kubernetes-engine/docs/concepts/security-overview#node_security)\ndon't apply.\n\nGoogle Distributed Cloud security\n\nThe following sections provide guidance for establishing good security practices\nfor Google Distributed Cloud.\n\nHardware security\n\n- Secure your on-premises data centers with industry standard physical\n security and safety features.\n\n- Ensure that access to your [admin workstation](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/workstation-prerequisites)\n is highly restricted. The admin workstation stores sensitive data such as\n `kubeconfig` files, SSH keys, and service account keys.\n\nNode security\n\n- Keep your operating system up-to-date by updating software packages and\n installing security patches.\n\n- For added control over workload image pulls and related security benefits,\n you can [configure worker nodes to authenticate to a private registry](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/configure-node-private-reg). Private registry support\n for nodes is available for [Preview](/products#product-launch-stages) for\n version 1.29 clusters.\n\n- By default, Google Distributed Cloud adds the Docker `apt` repository and the\n needed GPG key to your cluster nodes. As an alternative to adding adding\n package repositories to each cluster node in your deployment, you can\n configure your cluster to [use a private package\n repository](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/package-server) for container images.\n\nCluster security\n\n- [Harden the security of your Google Distributed Cloud\n clusters](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/hardening-your-cluster).\n\n- Isolate your traffic and data by using an [admin and user cluster\n deployment](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/install-prep#admin_user_model). This\n deployment type helps you to achieve the following types of isolation:\n\n - Workload traffic is isolated from administrative, or management plane traffic.\n - Cluster access is isolated by group or role.\n - Production workloads are isolated from development workloads.\n- [Upgrade your clusters](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/upgrade-best-practices) to a\n [supported version](/kubernetes-engine/distributed-cloud/bare-metal/docs/getting-support#version-support). Using a\n supported version provides you with the following security benefits:\n\n - Fixes for security vulnerabilities.\n - New features and functions that take advantage of latest security posture and technologies.\n - Updates for bundled software and components.\n- For reduced external exposure and other security benefits, you can\n [configure a registry mirror](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/registry-mirror) to\n install Google Distributed Cloud components from a local copy of the public\n registry.\n\nWorkload security\n\n- [Secure your containers using Security-Enhanced Linux\n (SELinux)](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/configure-selinux).\n\n- [Secure your workloads with\n Binary Authorization](/binary-authorization/docs/overview-on-prem).\n Binary Authorization is a service on Google Cloud that provides software\n supply-chain security for applications that run in the cloud. With\n Binary Authorization, you can ensure that internal processes that safeguard the\n quality and integrity of your software have successfully completed before an\n application is deployed to your production environment.\n\n- Use [Workload Identity Federation for GKE](/kubernetes-engine/docs/how-to/workload-identity)\n to give Pods access to Google Cloud resources. Workload Identity Federation for GKE\n allows a Kubernetes service account to run as an IAM service account. Pods\n that run as the Kubernetes service account have the permissions of the IAM\n service account.\n\n- [Follow the best practices for GKE\n RBAC](/kubernetes-engine/docs/best-practices/rbac).\n\nNetwork security\n\n- [Choose a secure connection between your Google Distributed Cloud and\n Google Cloud](/kubernetes-engine/distributed-cloud/bare-metal/docs/concepts/connect-on-prem-gcp#enhancing_your_fundamental_connection).\n After your fundamental connection is in place, add features that enhance the\n security of your connection.\n\n- Limit the exposure of your clusters to the public internet by [installing\n them behind a proxy and creating firewall\n rules](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/proxy). Also use\n the appropriate controls in your network environment to limit public access\n to the cluster.\n\nAuthentication security\n\n- [Manage identity with\n GKE Identity Service](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/identity-manage).\n GKE Identity Service is an authentication service that lets you bring\n your existing identity solutions for authentication to multiple\n Google Cloud environments. You can sign in to and use your\n Google Distributed Cloud clusters from the command line (all providers) or from\n the Google Cloud console (OIDC only), all using your existing identity\n provider.\n\n- [Connect to registered clusters with the\n Connect gateway](/kubernetes-engine/enterprise/multicluster-management/gateway). The\n Connect gateway builds on the power of fleets to let\n users connect to and run commands against registered clusters in a\n consistent and secure way.\n\nCredential security\n\n- [Rotate certificate\n authorities](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/ca-rotation).\n Google Distributed Cloud uses certificates and private keys to authenticate\n and encrypt connections between system components in clusters. To maintain\n secure cluster communication, rotate your user cluster certificate\n authorities periodically and whenever there is a possible security breach.\n\n- [Rotate service account\n keys](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/update-secrets). To\n reduce the security risk caused by leaked keys, we recommend that you\n regularly rotate your service keys.\n\nMonitor your security\n\n- [Use Kubernetes audit\n logging](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/audit-logging). Audit logging provides a way for administrators to retain, query, process, and alert on events that occur in your Google Distributed Cloud environments.\n\nFor more information about monitoring cluster security, see\n[Monitor fleet security posture](/kubernetes-engine/fleet-management/docs/secure#monitor-fleets-scale)."]]
