Les clusters Anthos sur Bare Metal sont désormais Google Distributed Cloud (logiciel uniquement) pour Bare Metal. Pour en savoir plus, consultez la présentation du produit.

Présentation de la sécurité

Cette page présente les bonnes pratiques de sécurité à adopter pour Google Distributed Cloud. Les conseils de cette page ne sont pas destinés à vous fournir une liste exhaustive des bonnes pratiques.

L'application de bonnes pratiques de sécurité sur Google Distributed Cloud implique l'application de concepts de Kubernetes et de Google Kubernetes Engine (GKE), ainsi que de concepts propres à Google Distributed Cloud.

Sécurité Kubernetes

Nous vous recommandons de suivre les consignes générales de sécurité de Kubernetes lorsque vous utilisez Google Distributed Cloud.

Pour découvrir les consignes de sécurité Kubernetes, consultez la Checklist de sécurité et la Présentation de la sécurité native du cloud dans la documentation Kubernetes.

Sécurité de GKE

Google Distributed Cloud étend GKE pour vous permettre de créer des clusters GKE sur vos propres serveurs Linux, dans vos propres locaux. Pour en savoir plus sur la sécurité de GKE, consultez la présentation de la sécurité de GKE. Gardez à l'esprit que, comme votre plan de contrôle et vos nœuds s'exécutent sur site, les suggestions concernant la sécurité du plan de contrôle et la sécurité des nœuds ne s'appliquent pas.

Sécurité de Google Distributed Cloud

Les sections suivantes fournissent des conseils pour établir de bonnes pratiques de sécurité pour Google Distributed Cloud.

Sécurité matérielle

Sécurisez vos centres de données sur site grâce à des fonctionnalités de sécurité physique standards.
Assurez-vous que l'accès à votre poste de travail administrateur est très limité. Le poste de travail administrateur stocke des données sensibles telles que les fichiers kubeconfig, les clés SSH et les clés de compte de service.

Sécurité des nœuds

Gardez votre système d'exploitation à jour en effectuant les mises à jour des packages logiciels et en installant les correctifs de sécurité.
Pour un contrôle supplémentaire sur les extractions d'images de charge de travail et les avantages de sécurité associés, vous pouvez configurer des nœuds de calcul pour qu'ils s'authentifient auprès d'un registre privé. La compatibilité avec les registres privés pour les nœuds est disponible en version preview pour les clusters de la version 1.29.
Par défaut, Google Distributed Cloud ajoute le dépôt Docker apt et la clé GPG nécessaire à vos nœuds de cluster. Au lieu d'ajouter des dépôts de packages à chaque nœud de cluster de votre déploiement, vous pouvez configurer votre cluster pour utiliser un dépôt de packages privé pour les images de conteneurs.

Sécurité du cluster

Renforcez la sécurité de vos clusters Google Distributed Cloud.
Isolez votre trafic et vos données à l'aide d'un déploiement de clusters d'administrateur et d'utilisateur. Ce type de déploiement vous aide à obtenir les types d'isolation suivants :
- Le trafic de la charge de travail est isolé du trafic du plan administratif ou de gestion.
- L'accès au cluster est isolé par groupe ou par rôle.
- Les charges de travail de production sont isolées des charges de travail de développement.
Mettez à niveau vos clusters vers une version compatible. L'utilisation d'une version compatible vous offre les avantages de sécurité suivants :
- Corrections de failles de sécurité.
- Nouvelles fonctionnalités qui exploitent les dernières technologies et stratégies de sécurité.
- Mises à jour pour les logiciels et composants groupés.
Pour réduire l'exposition externe et bénéficier d'autres avantages de sécurité, vous pouvez configurer un miroir de registre afin d'installer des composants Google Distributed Cloud à partir d'une copie locale du registre public.

Sécurité des charges de travail

Sécurisez vos conteneurs à l'aide de Security-Enhanced Linux (SELinux).
Sécurisez vos charges de travail avec l'autorisation binaire. L'autorisation binaire est un service Google Cloud qui fournit une sécurité sur la chaîne d'approvisionnement logicielle pour les applications exécutées dans le cloud. Avec l'autorisation binaire, vous pouvez vous assurer que les processus internes protégeant la qualité et l'intégrité de vos logiciels se sont bien terminés avant de déployer une application dans votre environnement de production.
Utilisez Workload Identity Federation for GKE afin d'accorder aux pods l'accès aux ressources Google Cloud. Workload Identity Federation for GKE permet à un compte de service Kubernetes de s'exécuter en tant que compte de service IAM. Les pods qui s'exécutent en tant que compte de service Kubernetes disposent des autorisations du compte de service IAM.
Suivez les bonnes pratiques pour GKE RBAC.

Sécurité du réseau

Choisissez une connexion sécurisée entre Google Distributed Cloud et Google Cloud. Une fois votre connexion fondamentale établie, ajoutez des fonctionnalités qui améliorent la sécurité de votre connexion.
Limitez l'exposition de vos clusters à l'Internet public en les installant derrière un proxy et en créant des règles de pare-feu. Utilisez également les commandes appropriées dans votre environnement réseau pour limiter l'accès public au cluster.

Sécurité de l'authentification

Gérez l'identité avec GKE Identity Service. GKE Identity Service est un service d'authentification qui vous permet d'exploiter vos solutions existantes pour l'authentification dans plusieurs environnements Google Kubernetes Engine (GKE) édition Enterprise. Vous pouvez vous connecter à vos clusters Google Distributed Cloud et les utiliser depuis la ligne de commande (tous les fournisseurs) ou depuis la console Google Cloud (OIDC uniquement), tout en utilisant votre fournisseur d'identité existant.
Se connecter à des clusters enregistrés avec la passerelle Connect La passerelle Connect exploite les performances des parcs pour permettre aux utilisateurs de GKE Enterprise de se connecter aux clusters enregistrés et d'exécuter des commandes sur ces clusters de manière cohérente et sécurisée.

Sécurité des identifiants

Alternez les autorités de certification. Google Distributed Cloud utilise des certificats et des clés privées pour authentifier et chiffrer les connexions entre les composants système des clusters. Pour maintenir une communication sécurisée entre les clusters, alternez l'autorité de certification de votre cluster d'utilisateur périodiquement et chaque fois qu'il existe une brèche de sécurité possible.
Alternez les clés de compte de service. Pour réduire le risque de sécurité causé par les clés piratées, nous vous recommandons d'alterner régulièrement vos clés de service.

Contrôlez votre sécurité

Utilisez la journalisation d'audit Kubernetes. La journalisation d'audit offre aux administrateurs un moyen de conserver, d'interroger, de traiter et de notifier les événements qui se produisent dans vos environnements Google Distributed Cloud.

Pour en savoir plus sur la surveillance de la sécurité des clusters, consultez la page Surveiller la stratégie de sécurité du parc.