Cluster Anthos on bare metal kini menjadi Google Distributed Cloud (khusus software) untuk bare metal. Untuk mengetahui informasi selengkapnya, lihat ringkasan produk.

Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Keamanan

Halaman ini memberikan pengantar untuk menetapkan praktik keamanan yang baik untuk Google Distributed Cloud. Panduan di halaman ini tidak dimaksudkan untuk memberi Anda daftar praktik terbaik yang lengkap.

Menggunakan praktik yang baik untuk keamanan di Google Distributed Cloud melibatkan penerapan dari Kubernetes dan Google Kubernetes Engine (GKE), serta konsep yang unik untuk Google Distributed Cloud.

Keamanan Kubernetes

Sebaiknya ikuti panduan umum Kubernetes terkait keamanan saat Anda menggunakan Google Distributed Cloud.

Untuk pengantar panduan keamanan Kubernetes, lihat Keamanan Checklist dan Ringkasan Berbasis Cloud Keamanan dalam dokumentasi Kubernetes.

Keamanan GKE

Google Distributed Cloud memperluas GKE agar Anda dapat membuat GKE melakukan cluster di server Linux Anda sendiri di lokasi Anda sendiri. Kepada pelajari lebih lanjut tentang keamanan GKE, lihat GKE ringkasan keamanan. Sebagai yang Anda baca, perlu diingat bahwa karena bidang kontrol dan {i>node<i} Anda berjalan secara lokal, saran untuk keamanan bidang kontrol dan keamanan node tidak berlaku.

Keamanan Google Distributed Cloud

Bagian berikut memberikan panduan untuk membangun praktik keamanan yang baik untuk Google Distributed Cloud.

Keamanan hardware

Amankan pusat data lokal Anda dengan solusi fisik standar industri fitur keamanan dan keselamatan.
Pastikan akses ke workstation admin Anda sangatlah dibatasi. Workstation admin menyimpan data sensitif seperti File kubeconfig, kunci SSH, dan kunci akun layanan.

Keamanan node

Jaga sistem operasi Anda tetap mutakhir dengan memperbarui paket perangkat lunak dan menginstal {i>patch<i} keamanan.
Untuk kontrol tambahan atas pengambilan image workload dan manfaat keamanan terkait, Anda dapat mengonfigurasi worker node untuk melakukan autentikasi ke registry pribadi. Dukungan registry pribadi untuk node tersedia dalam Pratinjau untuk versi 1.29.
Secara default, Google Distributed Cloud menambahkan repositori apt Docker kunci GPG yang diperlukan ke node cluster Anda. Sebagai alternatif untuk menambahkan memaketkan repositori ke setiap node cluster dalam deployment, Anda dapat mengonfigurasi cluster Anda untuk menggunakan paket pribadi untuk image container.

Keamanan cluster

Memperkuat keamanan Google Distributed Cloud Anda cluster.
Pisahkan traffic dan data Anda menggunakan cluster admin dan pengguna deployment. Ini jenis deployment membantu Anda mencapai jenis isolasi berikut:
- Traffic beban kerja diisolasi dari bidang administratif atau manajemen kemacetan.
- Akses cluster diisolasi berdasarkan grup atau peran.
- Workload produksi diisolasi dari workload pengembangan.
Upgrade cluster Anda ke versi yang didukung. Menggunakan yang didukung memberikan manfaat keamanan berikut:
- Perbaikan untuk kerentanan keamanan.
- Fitur dan fungsi baru yang memanfaatkan keamanan terbaru postur dan teknologi baru.
- Update untuk paket software dan komponen.
Untuk mengurangi paparan eksternal dan manfaat keamanan lainnya, Anda dapat mengonfigurasi duplikat registry untuk menginstal komponen Google Distributed Cloud dari salinan lokal publik {i>registry<i}.

Keamanan workload

Mengamankan container Anda menggunakan Security-Enhanced Linux (SELinux).
Amankan workload Anda dengan Otorisasi Biner. Otorisasi Biner adalah layanan di Google Cloud yang menyediakan software keamanan supply-chain untuk aplikasi yang berjalan di cloud. Dengan Otorisasi Biner, Anda dapat memastikan bahwa proses internal yang mengamankan kualitas dan integritas perangkat lunak Anda telah berhasil diselesaikan sebelum aplikasi di-deploy ke lingkungan produksi.
Gunakan Workload Identity untuk memberi Pod akses ke resource Google Cloud. Workload Identity memungkinkan akun layanan Kubernetes dijalankan sebagai akun layanan IAM. Pod yang berjalan sebagai akun layanan Kubernetes memiliki izin akses IAM akun layanan.
Mengikuti praktik terbaik untuk GKE RBAC.

Keamanan jaringan

Pilih koneksi aman antara Google Distributed Cloud dan Google Cloud. Setelah koneksi fundamental Anda siap, tambahkan fitur yang akan meningkatkan keamanan koneksi Anda.
Batasi paparan cluster Anda ke internet publik dengan menginstal mereka di balik {i>proxy<i} dan membuat {i>firewall<i} aturan. Gunakan juga kontrol yang sesuai di lingkungan jaringan Anda untuk membatasi akses publik ke cluster.

Keamanan autentikasi

Kelola identitas dengan GKE Identity Service. GKE Identity Service adalah layanan otentikasi yang memungkinkan Anda solusi identitas Anda yang ada untuk otentikasi ke beberapa Lingkungan edisi Google Kubernetes Engine (GKE) Enterprise. Anda dapat masuk ke dan menggunakan Cluster Google Distributed Cloud dari command line (semua penyedia) atau dari konsol Google Cloud (khusus OIDC), semuanya menggunakan identitas Anda penyedia layanan.
Hubungkan ke cluster terdaftar dengan Hubungkan gateway. Tujuan Connect gateway dibangun berdasarkan kekuatan fleet untuk memungkinkan Pengguna GKE Enterprise terhubung dan menjalankan perintah pada cluster terdaftar dengan cara yang konsisten dan aman.

Keamanan kredensial

Rotasi sertifikat pihak ketiga. Google Distributed Cloud menggunakan sertifikat dan kunci pribadi untuk melakukan autentikasi dan mengenkripsi koneksi antarkomponen sistem dalam cluster. Untuk mempertahankan komunikasi cluster aman, rotasikan sertifikat cluster pengguna Anda secara berkala dan kapan pun terjadi kemungkinan pelanggaran keamanan.
Rotasi akun layanan . Kepada mengurangi risiko keamanan yang disebabkan oleh kunci yang bocor, sebaiknya mengganti kunci layanan secara rutin.

Memantau keamanan Anda

Menggunakan audit Kubernetes logging. Pencatatan log audit memberi cara bagi administrator untuk menyimpan, mengkueri, memproses, dan pemberitahuan peristiwa yang terjadi di lingkungan Google Distributed Cloud Anda.

Untuk informasi selengkapnya tentang memantau keamanan cluster, lihat Pantau postur keamanan fleet.