Ringkasan keamanan

Halaman ini memberikan pengantar untuk menerapkan praktik keamanan yang baik untuk Google Distributed Cloud. Panduan di halaman ini tidak dimaksudkan untuk memberi Anda daftar lengkap praktik terbaik.

Menggunakan praktik terbaik untuk keamanan di Google Distributed Cloud melibatkan penerapan konsep dari Kubernetes dan Google Kubernetes Engine (GKE), serta konsep yang unik untuk Google Distributed Cloud.

Keamanan Kubernetes

Sebaiknya ikuti panduan umum Kubernetes untuk keamanan saat Anda menggunakan Google Distributed Cloud.

Untuk pengantar panduan keamanan Kubernetes, lihat Checklist Keamanan dan Ringkasan Keamanan Cloud Native dalam dokumentasi Kubernetes.

Keamanan GKE

Google Distributed Cloud memperluas GKE untuk memungkinkan Anda membuat cluster GKE di server Linux Anda sendiri di lokasi Anda sendiri. Untuk mempelajari lebih lanjut keamanan GKE, lihat ringkasan keamanan GKE. Saat membaca, perlu diingat bahwa karena bidang kontrol dan node Anda berjalan di tempat, saran untuk keamanan bidang kontrol dan keamanan node tidak berlaku.

Keamanan Google Distributed Cloud

Bagian berikut memberikan panduan untuk menerapkan praktik keamanan yang baik untuk Google Distributed Cloud.

Keamanan hardware

• Amankan pusat data lokal Anda dengan fitur keamanan dan keselamatan fisik standar industri.

• Pastikan akses ke workstation admin Anda sangat dibatasi. Workstation admin menyimpan data sensitif seperti file kubeconfig, kunci SSH, dan kunci akun layanan.

Keamanan node

• Selalu update sistem operasi Anda dengan mengupdate paket software dan menginstal patch keamanan.

• Untuk kontrol tambahan atas penarikan image workload dan manfaat keamanan terkait, Anda dapat mengonfigurasi node pekerja untuk melakukan autentikasi ke registry pribadi. Dukungan registry pribadi untuk node tersedia dalam Pratinjau untuk cluster versi 1.29.

• Secara default, Google Distributed Cloud menambahkan repositori Docker apt dan kunci GPG yang diperlukan ke node cluster Anda. Sebagai alternatif untuk menambahkan repositori paket ke setiap node cluster dalam deployment, Anda dapat mengonfigurasi cluster untuk menggunakan repositori paket pribadi untuk image container.

Keamanan cluster

• Perketat keamanan cluster Google Distributed Cloud Anda.

• Pisahkan traffic dan data Anda dengan menggunakan deployment cluster admin dan pengguna. Jenis deployment ini membantu Anda mencapai jenis isolasi berikut:

  • Traffic workload diisolasi dari traffic administratif atau bidang pengelolaan.
  • Akses cluster diisolasi menurut grup atau peran.
  • Workload produksi diisolasi dari workload pengembangan.

• Upgrade cluster Anda ke versi yang didukung. Menggunakan versi yang didukung akan memberikan manfaat keamanan berikut:

  • Perbaikan untuk kerentanan keamanan.
  • Fitur dan fungsi baru yang memanfaatkan teknologi dan postur keamanan terbaru.
  • Update untuk software dan komponen yang disertakan.

• Untuk mengurangi eksposur eksternal dan manfaat keamanan lainnya, Anda dapat mengonfigurasi mirror registri untuk menginstal komponen Google Distributed Cloud dari salinan lokal registri publik.

Keamanan workload

• Amankan penampung Anda menggunakan Security-Enhanced Linux (SELinux).

• Amankan beban kerja Anda dengan Otorisasi Biner. Otorisasi Biner adalah layanan di Google Cloud yang menyediakan keamanan supply chain software untuk aplikasi yang berjalan di cloud. Dengan Otorisasi Biner, Anda dapat memastikan bahwa proses internal yang menjaga kualitas dan integritas software telah berhasil diselesaikan sebelum aplikasi di-deploy ke lingkungan produksi.

• Gunakan Workload Identity Federation for GKE untuk memberi Pod akses ke Google Cloud resource. Workload Identity Federation untuk GKE memungkinkan akun layanan Kubernetes berjalan sebagai akun layanan IAM. Pod yang dijalankan sebagai akun layanan Kubernetes memiliki izin akun layanan IAM.

• Ikuti praktik terbaik untuk RBAC GKE.

Keamanan jaringan

• Pilih koneksi yang aman antara Google Distributed Cloud dan Google Cloud. Setelah koneksi dasar Anda tersedia, tambahkan fitur yang meningkatkan keamanan koneksi Anda.

• Batasi eksposur cluster Anda ke internet publik dengan menginstalnya di balik proxy dan membuat aturan firewall. Gunakan juga kontrol yang sesuai di lingkungan jaringan Anda untuk membatasi akses publik ke cluster.

Keamanan autentikasi

• Mengelola identitas dengan GKE Identity Service. GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda membawa solusi identitas yang sudah ada untuk autentikasi ke beberapaGoogle Cloud lingkungan. Anda dapat login ke dan menggunakan cluster Google Distributed Cloud dari command line (semua penyedia) atau dari konsol Google Cloud (khusus OIDC), semuanya menggunakan penyedia identitas yang sudah ada.

• Hubungkan ke cluster terdaftar dengan gateway Connect. Gateway Connect dibangun berdasarkan kemampuan fleet untuk memungkinkan pengguna terhubung dan menjalankan perintah terhadap cluster terdaftar dengan cara yang konsisten dan aman.

Keamanan kredensial

• Rotasi otoritas sertifikat. Google Distributed Cloud menggunakan sertifikat dan kunci pribadi untuk mengautentikasi dan mengenkripsi koneksi antara komponen sistem dalam cluster. Untuk mempertahankan komunikasi cluster yang aman, rotasi otoritas sertifikat cluster pengguna Anda secara berkala dan setiap kali ada kemungkinan pelanggaran keamanan.

• Merotasi kunci akun layanan. Untuk mengurangi risiko keamanan yang disebabkan oleh kebocoran kunci, sebaiknya Anda merotasi kunci layanan secara rutin.

Memantau keamanan Anda

• Menggunakan logging audit Kubernetes. Logging audit memungkinkan administrator menyimpan, membuat kueri, memproses, dan memberi tahu peristiwa yang terjadi di lingkungan Google Distributed Cloud Anda.

Untuk mengetahui informasi selengkapnya tentang pemantauan keamanan cluster, lihat Memantau postur keamanan fleet.