Anthos clusters on bare metal è ora Google Distributed Cloud (solo software) per bare metal. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica sulla sicurezza

Questa pagina fornisce un'introduzione alla definizione di buone prassi di sicurezza per Google Distributed Cloud. Le indicazioni fornite in questa pagina non sono pensate per fornirti un elenco completo di best practice.

L'utilizzo delle best practice per la sicurezza su Google Distributed Cloud prevede l'applicazione di concetti di Kubernetes e Google Kubernetes Engine (GKE), nonché di concetti specifici di Google Distributed Cloud.

Sicurezza di Kubernetes

Ti consigliamo di seguire le linee guida generali di Kubernetes per la sicurezza quando utilizzi Google Distributed Cloud.

Per un'introduzione alle linee guida per la sicurezza di Kubernetes, consulta la lista di controllo per la sicurezza e la panoramica della sicurezza Cloud Native nella documentazione di Kubernetes.

Sicurezza di GKE

Google Distributed Cloud estende GKE per consentirti di creare cluster GKE sui tuoi server Linux on-premise. A per saperne di più sulla sicurezza di GKE, consulta GKE Panoramica sulla sicurezza. Mentre lo leggi, tieni presente che, poiché il piano di controllo e i nodi vengono eseguiti on-premise, i suggerimenti per la sicurezza del piano di controllo e la sicurezza dei nodi non si applicano.

Sicurezza di Google Distributed Cloud

Le sezioni seguenti forniscono indicazioni per stabilire buone pratiche di sicurezza per Google Distributed Cloud.

Sicurezza hardware

Proteggi i tuoi data center on-premise con funzionalità di sicurezza e protezione fisiche standard di settore.
Assicurati che l'accesso alla tua workstation di amministrazione è altamente limitato. La workstation di amministrazione archivia i dati sensibili, kubeconfig, chiavi SSH e chiavi degli account di servizio.

Sicurezza dei nodi

Mantieni aggiornato il sistema operativo aggiornando i pacchetti software e installando le patch di sicurezza.
Per un maggiore controllo sui pull delle immagini dei carichi di lavoro e sui relativi vantaggi per la sicurezza, puoi configurare i nodi worker per eseguire l'autenticazione in un registro privato. Il supporto del registry privato per i nodi è disponibile per l'anteprima per i cluster della versione 1.29.
Per impostazione predefinita, Google Distributed Cloud aggiunge il repository apt Docker e necessaria per i nodi del cluster. In alternativa all'aggiunta di repositi del pacchetto a ogni nodo del cluster nel tuo deployment, puoi configurare il cluster in modo da utilizzare un repository del pacchetto privato per le immagini dei container.

Sicurezza del cluster

Rafforza la sicurezza del tuo Google Distributed Cloud cluster.
Isola il traffico e i dati utilizzando un cluster di amministrazione e utente deployment. Questo tipo di implementazione ti consente di ottenere i seguenti tipi di isolamento:
- Il traffico del carico di lavoro è isolato dal piano di gestione o amministrativo.
- L'accesso al cluster è isolato per gruppo o ruolo.
- I carichi di lavoro di produzione sono isolati dai carichi di lavoro di sviluppo.
Esegui l'upgrade dei cluster a un'istanza versione supportata. L'utilizzo di un supportata offre i seguenti vantaggi in termini di sicurezza:
- Correzioni per le vulnerabilità di sicurezza.
- Nuove funzionalità che sfruttano la sicurezza più recente postura e tecnologie.
- Aggiornamenti per software e componenti in bundle.
Per ridurre l'esposizione esterna e usufruire di altri vantaggi in termini di sicurezza, puoi configurare un mirror del registry per installare i componenti di Google Distributed Cloud da una copia locale del registry pubblico.

Sicurezza dei carichi di lavoro

Proteggi i tuoi container utilizzando Security-Enhanced Linux (SELinux).
Proteggi i tuoi carichi di lavoro con Autorizzazione binaria. Autorizzazione binaria è un servizio di Google Cloud che fornisce software sicurezza della catena di fornitura per le applicazioni eseguite nel cloud. Con Autorizzazione binaria, puoi assicurarti che i processi interni di salvaguardia la qualità e l'integrità del software siano state completate prima che del deployment dell'applicazione nel tuo ambiente di produzione.
Utilizza la Federazione delle identità dei carichi di lavoro per GKE per concedere ai pod l'accesso alle risorse Google Cloud. La federazione delle identità per i carichi di lavoro per GKE consente a un account di servizio Kubernetes di funzionare come account di servizio IAM. Pod eseguite come account di servizio Kubernetes, dispongono delle autorizzazioni IAM l'account di servizio.
Segui le best practice per GKE RBAC.

Sicurezza della rete

Scegli una connessione sicura tra Google Distributed Cloud e Google Cloud. Dopo aver stabilito la connessione di base, aggiungi funzionalità che ne migliorano la sicurezza.
Limita l'esposizione dei tuoi cluster alla rete internet pubblica installandoli dietro un proxy e creando regole di firewall. Utilizza inoltre i controlli appropriati nell'ambiente di rete per limitare l'accesso pubblico al cluster.

Sicurezza dell'autenticazione

Gestisci l'identità con GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente le soluzioni di identità esistenti per l'autenticazione Ambienti dell'edizione Google Kubernetes Engine (GKE) Enterprise. Puoi accedere e utilizzare i tuoi Google Distributed Cloud dalla riga di comando (tutti i provider) o da la console Google Cloud (solo OIDC), utilizzando il tutto utilizzando la tua identità esistente o il provider di servizi di terze parti.
Connettiti ai cluster registrati con il gateway Connect. Il gateway Connect si basa sulla potenza dei parchi risorse per consentire agli utenti di GKE Enterprise di connettersi ai cluster registrati ed eseguire comandi in modo coerente e sicuro.

Sicurezza delle credenziali

Ruota le autorità di certificazione. Google Distributed Cloud utilizza certificati e chiavi private per l'autenticazione e criptare le connessioni tra i componenti di sistema nei cluster. Per mantenere comunicazione cluster sicura, ruota il certificato del cluster utente alle autorità competenti, periodicamente e ogni volta che si verifica una possibile violazione della sicurezza.
Ruota l'account di servizio chiave. Per ridurre il rischio per la sicurezza causato dalle chiavi trapelate, ti consigliamo di effettuare regolarmente la rotazione delle chiavi di servizio.

Monitoraggio della tua sicurezza

Utilizza il controllo di Kubernetes il logging. Il logging di controllo consente agli amministratori di conservare, interrogare, elaborare e avvisi sugli eventi che si verificano nei tuoi ambienti Google Distributed Cloud.

Per ulteriori informazioni sul monitoraggio della sicurezza del cluster, consulta Monitora la strategia di sicurezza del parco risorse.