Panoramica sulla sicurezza

Questa pagina fornisce un'introduzione all'implementazione di buone pratiche di sicurezza per Google Distributed Cloud. Le indicazioni riportate in questa pagina non hanno lo scopo di fornire un elenco esaustivo di best practice.

L'utilizzo delle best practice per la sicurezza su Google Distributed Cloud prevede l'applicazione di concetti di Kubernetes e Google Kubernetes Engine (GKE), nonché di concetti specifici di Google Distributed Cloud.

Sicurezza di Kubernetes

Ti consigliamo di seguire le linee guida generali di Kubernetes per la sicurezza quando utilizzi Google Distributed Cloud.

Per un'introduzione alle linee guida per la sicurezza di Kubernetes, consulta la lista di controllo per la sicurezza e la panoramica della sicurezza Cloud Native nella documentazione di Kubernetes.

Sicurezza di GKE

Google Distributed Cloud estende GKE per consentirti di creare cluster GKE sui tuoi server Linux on-premise. Per scoprire di più sulla sicurezza di GKE, consulta la Panoramica della sicurezza di GKE. Mentre lo leggi, tieni presente che, poiché il piano di controllo e i nodi vengono eseguiti on-premise, i suggerimenti per la sicurezza del piano di controllo e la sicurezza dei nodi non si applicano.

Sicurezza di Google Distributed Cloud

Le sezioni seguenti forniscono indicazioni per stabilire buone pratiche di sicurezza per Google Distributed Cloud.

Sicurezza hardware

  • Proteggi i tuoi data center on-premise con funzionalità di sicurezza e protezione fisiche standard di settore.

  • Assicurati che l'accesso alla tua workstation di amministrazione sia molto limitato. La workstation di amministrazione memorizza dati sensibili come file kubeconfig, chiavi SSH e chiavi dell'account di servizio.

Sicurezza dei nodi

  • Mantieni aggiornato il sistema operativo aggiornando i pacchetti software e installando le patch di sicurezza.

  • Per un maggiore controllo sui tiri delle immagini del carico di lavoro e sui relativi vantaggi in termini di sicurezza, puoi configurare i nodi di lavoro in modo che si autentichino in un registry privato. Il supporto del registry privato per i nodi è disponibile per l'anteprima per i cluster della versione 1.29.

  • Per impostazione predefinita, Google Distributed Cloud aggiunge il repository Docker apt e la chiave GPG necessaria ai nodi del cluster. In alternativa all'aggiunta di repository dei pacchetti a ogni nodo del cluster nel tuo deployment, puoi configurare il cluster in modo da utilizzare un repository dei pacchetti privato per le immagini dei container.

Sicurezza del cluster

  • Aumenta la sicurezza dei tuoi cluster Google Distributed Cloud.

  • Isola il traffico e i dati utilizzando un'implementazione di cluster di amministratori e utenti. Questo tipo di implementazione ti consente di ottenere i seguenti tipi di isolamento:

    • Il traffico del carico di lavoro è isolato dal traffico amministrativo o del piano di gestione.
    • L'accesso al cluster è isolato per gruppo o ruolo.
    • I carichi di lavoro di produzione sono isolati dai carichi di lavoro di sviluppo.
  • Esegui l'upgrade dei cluster a una versione supportata. L'utilizzo di una versione supportata offre i seguenti vantaggi in termini di sicurezza:

    • Correzioni per le vulnerabilità di sicurezza.
    • Nuove funzionalità che sfruttano le ultime tecnologie e strategie di sicurezza.
    • Aggiornamenti per software e componenti in bundle.
  • Per ridurre l'esposizione esterna e usufruire di altri vantaggi in termini di sicurezza, puoi configurare un mirror del registry per installare i componenti di Google Distributed Cloud da una copia locale del registry pubblico.

Sicurezza dei carichi di lavoro

Sicurezza della rete

Sicurezza dell'autenticazione

  • Gestisci l'identità con GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente di adottare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti della versione Enterprise di Google Kubernetes Engine (GKE). Puoi accedere ai tuoi cluster Google Distributed Cloud e utilizzarli dalla riga di comando (tutti i provider) o dalla console Google Cloud (solo OIDC), il tutto utilizzando il tuo provider di identità esistente.

  • Connettiti ai cluster registrati con il gateway Connect. Il gateway Connect si basa sulla potenza dei parchi risorse per consentire agli utenti di GKE Enterprise di connettersi ai cluster registrati ed eseguire comandi in modo coerente e sicuro.

Sicurezza delle credenziali

  • Ruota le autorità di certificazione. Google Distributed Cloud utilizza certificati e chiavi private per autenticare e criptare le connessioni tra i componenti di sistema nei cluster. Per mantenere la comunicazione del cluster sicura, ruota le autorità di certificazione del cluster utente periodicamente e ogni volta che si verifica una possibile violazione della sicurezza.

  • Ruota le chiavi dell'account di servizio. Per ridurre il rischio per la sicurezza causato dalle chiavi trapelate, ti consigliamo di effettuare regolarmente la rotazione delle chiavi di servizio.

Monitoraggio della tua sicurezza

  • Utilizza il logging di controllo di Kubernetes. I log di controllo consentono agli amministratori di conservare, eseguire query, elaborare e creare avvisi sugli eventi che si verificano nei tuoi ambienti Google Distributed Cloud.

Per ulteriori informazioni sul monitoraggio della sicurezza del cluster, consulta Monitorare la postura di sicurezza del parco veicoli.