Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina fornisce un'introduzione alla definizione di buone pratiche di sicurezza per
Google Distributed Cloud. Le indicazioni riportate in questa pagina non hanno lo scopo di fornirti
un elenco esaustivo di best practice.
L'utilizzo di best practice per la sicurezza su Google Distributed Cloud prevede l'applicazione di concetti di Kubernetes e Google Kubernetes Engine (GKE), nonché di concetti unici di Google Distributed Cloud.
Sicurezza di Kubernetes
Ti consigliamo di seguire le linee guida generali di Kubernetes per la sicurezza quando
utilizzi Google Distributed Cloud.
Google Distributed Cloud estende GKE per consentirti di creare cluster GKE sui tuoi server Linux on-premise. Per
scoprire di più sulla sicurezza di GKE, consulta la Panoramica
della sicurezza di GKE. Mentre
leggi, tieni presente che, poiché il control plane e i nodi vengono eseguiti
on-premise, i suggerimenti per la
sicurezza del control plane
e la sicurezza dei nodi
non si applicano.
Sicurezza di Google Distributed Cloud
Le sezioni seguenti forniscono indicazioni per stabilire buone pratiche di sicurezza
per Google Distributed Cloud.
Sicurezza hardware
Proteggi i tuoi data center on-premise con funzionalità di sicurezza fisica
e sicurezza standard del settore.
Assicurati che l'accesso alla tua workstation amministrativa
sia altamente limitato. La workstation di amministrazione archivia dati sensibili come
file kubeconfig, chiavi SSH e chiavi del account di servizio.
Sicurezza dei nodi
Mantieni aggiornato il sistema operativo aggiornando i pacchetti software e
installando le patch di sicurezza.
Per impostazione predefinita, Google Distributed Cloud aggiunge il repository Docker apt e la
chiave GPG necessaria ai nodi del cluster. In alternativa all'aggiunta di repository di pacchetti a ogni nodo del cluster nella tua implementazione, puoi configurare il cluster in modo che utilizzi un repository di pacchetti privato per le immagini container.
Nuove funzionalità che sfruttano le tecnologie e le misure di sicurezza più recenti.
Aggiornamenti per software e componenti inclusi.
Per una minore esposizione esterna e altri vantaggi per la sicurezza, puoi
configurare un mirror del registro per
installare i componenti di Google Distributed Cloud da una copia locale del registro pubblico.
Proteggi i tuoi workload con
l'autorizzazione binaria.
Autorizzazione binaria è un servizio su Google Cloud che fornisce la sicurezza della catena di fornitura del software per le applicazioni eseguite nel cloud. Con
Autorizzazione binaria, puoi assicurarti che i processi interni che salvaguardano la
qualità e l'integrità del software siano stati completati correttamente prima che
venga eseguito il deployment di un'applicazione nell'ambiente di produzione.
Utilizza Workload Identity Federation for GKE
per concedere ai pod l'accesso alle risorse Google Cloud . Workload Identity Federation for GKE
consente a un account di servizio Kubernetes di essere eseguito come account di servizio IAM. I pod
che vengono eseguiti come account di servizio Kubernetes dispongono delle autorizzazioni del account di servizio IAM.
Gestisci l'identità con
GKE Identity Service.
GKE Identity Service è un servizio di autenticazione che ti consente di adottare le tue soluzioni di identità esistenti per l'autenticazione in più ambientiGoogle Cloud . Puoi accedere e utilizzare i tuoi cluster Google Distributed Cloud dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), utilizzando il tuo provider di identità esistente.
Ruota le autorità di certificazione.
Google Distributed Cloud utilizza certificati e chiavi private per autenticare
e criptare le connessioni tra i componenti di sistema nei cluster. Per mantenere
una comunicazione sicura del cluster, ruota periodicamente le autorità di certificazione del cluster utente e ogni volta che si verifica una possibile violazione della sicurezza.
Ruota le chiavi dell'account di servizio. Per
ridurre il rischio per la sicurezza causato da chiavi compromesse, ti consigliamo di
ruotare regolarmente le chiavi di servizio.
Monitoraggio della tua sicurezza
Utilizza la registrazione degli audit di Kubernetes.
Il logging di controllo fornisce agli amministratori un modo per conservare, eseguire query, elaborare e creare avvisi sugli eventi che si verificano nei tuoi ambienti Google Distributed Cloud.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["This page provides an introduction to establishing good security practices for\nGoogle Distributed Cloud. The guidance on this page is not intended to provide you with\na comprehensive list of best practices.\n\nUsing good practices for security on Google Distributed Cloud involves applying\nconcepts from Kubernetes and Google Kubernetes Engine (GKE), as well as concepts\nthat are unique to Google Distributed Cloud.\n\nKubernetes security\n\nWe recommend that you follow general Kubernetes guidelines for security when\nyou're using Google Distributed Cloud.\n\nFor an introduction to Kubernetes security guidelines, see the [Security\nChecklist](https://kubernetes.io/docs/concepts/security/security-checklist/)\nand [Overview of Cloud Native\nSecurity](https://kubernetes.io/docs/concepts/security/overview/)\nin the Kubernetes documentation.\n\nGKE security\n\nGoogle Distributed Cloud extends GKE to let you create\nGKE clusters on your own Linux servers on your own premises. To\nlearn more about GKE security, see the [GKE\nsecurity overview](/kubernetes-engine/docs/concepts/security-overview). As\nyou're reading, keep in mind that because your control plane and nodes run\non-premises, the suggestions for\n[control plane security](/kubernetes-engine/docs/concepts/security-overview#control_plane_security)\nand [node security](/kubernetes-engine/docs/concepts/security-overview#node_security)\ndon't apply.\n\nGoogle Distributed Cloud security\n\nThe following sections provide guidance for establishing good security practices\nfor Google Distributed Cloud.\n\nHardware security\n\n- Secure your on-premises data centers with industry standard physical\n security and safety features.\n\n- Ensure that access to your [admin workstation](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/workstation-prerequisites)\n is highly restricted. The admin workstation stores sensitive data such as\n `kubeconfig` files, SSH keys, and service account keys.\n\nNode security\n\n- Keep your operating system up-to-date by updating software packages and\n installing security patches.\n\n- For added control over workload image pulls and related security benefits,\n you can [configure worker nodes to authenticate to a private registry](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/configure-node-private-reg). Private registry support\n for nodes is available for [Preview](/products#product-launch-stages) for\n version 1.29 clusters.\n\n- By default, Google Distributed Cloud adds the Docker `apt` repository and the\n needed GPG key to your cluster nodes. As an alternative to adding adding\n package repositories to each cluster node in your deployment, you can\n configure your cluster to [use a private package\n repository](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/package-server) for container images.\n\nCluster security\n\n- [Harden the security of your Google Distributed Cloud\n clusters](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/hardening-your-cluster).\n\n- Isolate your traffic and data by using an [admin and user cluster\n deployment](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/install-prep#admin_user_model). This\n deployment type helps you to achieve the following types of isolation:\n\n - Workload traffic is isolated from administrative, or management plane traffic.\n - Cluster access is isolated by group or role.\n - Production workloads are isolated from development workloads.\n- [Upgrade your clusters](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/upgrade-best-practices) to a\n [supported version](/kubernetes-engine/distributed-cloud/bare-metal/docs/getting-support#version-support). Using a\n supported version provides you with the following security benefits:\n\n - Fixes for security vulnerabilities.\n - New features and functions that take advantage of latest security posture and technologies.\n - Updates for bundled software and components.\n- For reduced external exposure and other security benefits, you can\n [configure a registry mirror](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/registry-mirror) to\n install Google Distributed Cloud components from a local copy of the public\n registry.\n\nWorkload security\n\n- [Secure your containers using Security-Enhanced Linux\n (SELinux)](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/configure-selinux).\n\n- [Secure your workloads with\n Binary Authorization](/binary-authorization/docs/overview-on-prem).\n Binary Authorization is a service on Google Cloud that provides software\n supply-chain security for applications that run in the cloud. With\n Binary Authorization, you can ensure that internal processes that safeguard the\n quality and integrity of your software have successfully completed before an\n application is deployed to your production environment.\n\n- Use [Workload Identity Federation for GKE](/kubernetes-engine/docs/how-to/workload-identity)\n to give Pods access to Google Cloud resources. Workload Identity Federation for GKE\n allows a Kubernetes service account to run as an IAM service account. Pods\n that run as the Kubernetes service account have the permissions of the IAM\n service account.\n\n- [Follow the best practices for GKE\n RBAC](/kubernetes-engine/docs/best-practices/rbac).\n\nNetwork security\n\n- [Choose a secure connection between your Google Distributed Cloud and\n Google Cloud](/kubernetes-engine/distributed-cloud/bare-metal/docs/concepts/connect-on-prem-gcp#enhancing_your_fundamental_connection).\n After your fundamental connection is in place, add features that enhance the\n security of your connection.\n\n- Limit the exposure of your clusters to the public internet by [installing\n them behind a proxy and creating firewall\n rules](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/proxy). Also use\n the appropriate controls in your network environment to limit public access\n to the cluster.\n\nAuthentication security\n\n- [Manage identity with\n GKE Identity Service](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/identity-manage).\n GKE Identity Service is an authentication service that lets you bring\n your existing identity solutions for authentication to multiple\n Google Cloud environments. You can sign in to and use your\n Google Distributed Cloud clusters from the command line (all providers) or from\n the Google Cloud console (OIDC only), all using your existing identity\n provider.\n\n- [Connect to registered clusters with the\n Connect gateway](/kubernetes-engine/enterprise/multicluster-management/gateway). The\n Connect gateway builds on the power of fleets to let\n users connect to and run commands against registered clusters in a\n consistent and secure way.\n\nCredential security\n\n- [Rotate certificate\n authorities](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/ca-rotation).\n Google Distributed Cloud uses certificates and private keys to authenticate\n and encrypt connections between system components in clusters. To maintain\n secure cluster communication, rotate your user cluster certificate\n authorities periodically and whenever there is a possible security breach.\n\n- [Rotate service account\n keys](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/update-secrets). To\n reduce the security risk caused by leaked keys, we recommend that you\n regularly rotate your service keys.\n\nMonitor your security\n\n- [Use Kubernetes audit\n logging](/kubernetes-engine/distributed-cloud/bare-metal/docs/how-to/audit-logging). Audit logging provides a way for administrators to retain, query, process, and alert on events that occur in your Google Distributed Cloud environments.\n\nFor more information about monitoring cluster security, see\n[Monitor fleet security posture](/kubernetes-engine/fleet-management/docs/secure#monitor-fleets-scale)."]]
