Questa pagina fornisce un'introduzione all'implementazione di buone pratiche di sicurezza per Google Distributed Cloud. Le indicazioni riportate in questa pagina non hanno lo scopo di fornire un elenco esaustivo di best practice.
L'utilizzo delle best practice per la sicurezza su Google Distributed Cloud prevede l'applicazione di concetti di Kubernetes e Google Kubernetes Engine (GKE), nonché di concetti specifici di Google Distributed Cloud.
Sicurezza di Kubernetes
Ti consigliamo di seguire le linee guida generali di Kubernetes per la sicurezza quando utilizzi Google Distributed Cloud.
Per un'introduzione alle linee guida per la sicurezza di Kubernetes, consulta la lista di controllo per la sicurezza e la panoramica della sicurezza Cloud Native nella documentazione di Kubernetes.
Sicurezza di GKE
Google Distributed Cloud estende GKE per consentirti di creare cluster GKE sui tuoi server Linux on-premise. Per scoprire di più sulla sicurezza di GKE, consulta la Panoramica della sicurezza di GKE. Mentre lo leggi, tieni presente che, poiché il piano di controllo e i nodi vengono eseguiti on-premise, i suggerimenti per la sicurezza del piano di controllo e la sicurezza dei nodi non si applicano.
Sicurezza di Google Distributed Cloud
Le sezioni seguenti forniscono indicazioni per stabilire buone pratiche di sicurezza per Google Distributed Cloud.
Sicurezza hardware
Proteggi i tuoi data center on-premise con funzionalità di sicurezza e protezione fisiche standard di settore.
Assicurati che l'accesso alla tua workstation di amministrazione sia molto limitato. La workstation di amministrazione memorizza dati sensibili come file
kubeconfig
, chiavi SSH e chiavi dell'account di servizio.
Sicurezza dei nodi
Mantieni aggiornato il sistema operativo aggiornando i pacchetti software e installando le patch di sicurezza.
Per un maggiore controllo sui tiri delle immagini del carico di lavoro e sui relativi vantaggi in termini di sicurezza, puoi configurare i nodi di lavoro in modo che si autentichino in un registry privato. Il supporto del registry privato per i nodi è disponibile per l'anteprima per i cluster della versione 1.29.
Per impostazione predefinita, Google Distributed Cloud aggiunge il repository Docker
apt
e la chiave GPG necessaria ai nodi del cluster. In alternativa all'aggiunta di repository dei pacchetti a ogni nodo del cluster nel tuo deployment, puoi configurare il cluster in modo da utilizzare un repository dei pacchetti privato per le immagini dei container.
Sicurezza del cluster
Aumenta la sicurezza dei tuoi cluster Google Distributed Cloud.
Isola il traffico e i dati utilizzando un'implementazione di cluster di amministratori e utenti. Questo tipo di implementazione ti consente di ottenere i seguenti tipi di isolamento:
- Il traffico del carico di lavoro è isolato dal traffico amministrativo o del piano di gestione.
- L'accesso al cluster è isolato per gruppo o ruolo.
- I carichi di lavoro di produzione sono isolati dai carichi di lavoro di sviluppo.
Esegui l'upgrade dei cluster a una versione supportata. L'utilizzo di una versione supportata offre i seguenti vantaggi in termini di sicurezza:
- Correzioni per le vulnerabilità di sicurezza.
- Nuove funzionalità che sfruttano le ultime tecnologie e strategie di sicurezza.
- Aggiornamenti per software e componenti in bundle.
Per ridurre l'esposizione esterna e usufruire di altri vantaggi in termini di sicurezza, puoi configurare un mirror del registry per installare i componenti di Google Distributed Cloud da una copia locale del registry pubblico.
Sicurezza dei carichi di lavoro
Proteggi i tuoi container utilizzando Security-Enhanced Linux (SELinux).
Proteggi i tuoi carichi di lavoro con l'Autorizzazione binaria. Autorizzazione binaria è un servizio su Google Cloud che fornisce la sicurezza della catena di fornitura del software per le applicazioni in esecuzione nel cloud. Con l'autorizzazione binaria, puoi assicurarti che i processi interni che salvaguardano la qualità e l'integrità del software siano stati completati correttamente prima che sia eseguito il deployment di un' applicazione nell'ambiente di produzione.
Utilizza Workload Identity Federation for GKE per concedere ai pod l'accesso alle risorse Google Cloud . Workload Identity Federation for GKE consente a un account di servizio Kubernetes di funzionare come account di servizio IAM. I pod che vengono eseguiti come account di servizio Kubernetes dispongono delle autorizzazioni dell'account di servizio IAM.
Sicurezza della rete
Scegli una connessione sicura tra Google Distributed Cloud e Google Cloud. Dopo aver stabilito la connessione di base, aggiungi funzionalità che ne migliorano la sicurezza.
Limita l'esposizione dei tuoi cluster alla rete internet pubblica installandoli dietro un proxy e creando regole di firewall. Utilizza inoltre i controlli appropriati nell'ambiente di rete per limitare l'accesso pubblico al cluster.
Sicurezza dell'autenticazione
Gestisci l'identità con GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente di adottare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti della versione Enterprise di Google Kubernetes Engine (GKE). Puoi accedere ai tuoi cluster Google Distributed Cloud e utilizzarli dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), il tutto utilizzando il tuo provider di identità esistente.
Connettiti ai cluster registrati con il gateway Connect. Il gateway Connect si basa sulla potenza dei parchi risorse per consentire agli utenti di GKE Enterprise di connettersi ai cluster registrati ed eseguire comandi in modo coerente e sicuro.
Sicurezza delle credenziali
Ruota le autorità di certificazione. Google Distributed Cloud utilizza certificati e chiavi private per autenticare e criptare le connessioni tra i componenti di sistema nei cluster. Per mantenere la comunicazione del cluster sicura, ruota le autorità di certificazione del cluster utente periodicamente e ogni volta che si verifica una possibile violazione della sicurezza.
Ruota le chiavi dell'account di servizio. Per ridurre il rischio per la sicurezza causato dalle chiavi trapelate, ti consigliamo di effettuare regolarmente la rotazione delle chiavi di servizio.
Monitoraggio della tua sicurezza
- Utilizza il logging di controllo di Kubernetes. I log di controllo consentono agli amministratori di conservare, eseguire query, elaborare e creare avvisi sugli eventi che si verificano nei tuoi ambienti Google Distributed Cloud.
Per ulteriori informazioni sul monitoraggio della sicurezza del cluster, consulta Monitorare la postura di sicurezza del parco veicoli.