Esta página apresenta uma introdução ao estabelecimento de boas práticas de segurança para o Google Distributed Cloud. As orientações nesta página não se destinam a fornecer-lhe uma lista exaustiva de práticas recomendadas.
A utilização de boas práticas de segurança no Google Distributed Cloud envolve a aplicação de conceitos do Kubernetes e do Google Kubernetes Engine (GKE), bem como conceitos exclusivos do Google Distributed Cloud.
Segurança do Kubernetes
Recomendamos que siga as diretrizes gerais de segurança do Kubernetes quando usar o Google Distributed Cloud.
Para uma introdução às diretrizes de segurança do Kubernetes, consulte a lista de verificação de segurança e a vista geral da segurança nativa da nuvem na documentação do Kubernetes.
Segurança do GKE
O Google Distributed Cloud expande o GKE para lhe permitir criar clusters do GKE nos seus próprios servidores Linux nas suas próprias instalações. Para saber mais sobre a segurança do GKE, consulte a vista geral da segurança do GKE. À medida que lê, tenha em atenção que, uma vez que o plano de controlo e os nós são executados no local, as sugestões para a segurança do plano de controlo e a segurança dos nós não se aplicam.
Segurança do Google Distributed Cloud
As secções seguintes fornecem orientações para estabelecer boas práticas de segurança para o Google Distributed Cloud.
Segurança de hardware
Proteja os seus centros de dados no local com funcionalidades de segurança física e de segurança padrão da indústria.
Certifique-se de que o acesso à sua estação de trabalho de administrador está altamente restrito. A estação de trabalho do administrador armazena dados confidenciais, como
kubeconfigficheiros, chaves SSH e chaves de contas de serviço.
Segurança do nó
Mantenha o sistema operativo atualizado através da atualização de pacotes de software e da instalação de patches de segurança.
Para ter maior controlo sobre as obtenções de imagens de cargas de trabalho e as vantagens de segurança relacionadas, pode configurar nós de trabalho para autenticação num registo privado. O suporte de registo privado para nós está disponível para pré-visualização para clusters da versão 1.29.
Por predefinição, o Google Distributed Cloud adiciona o repositório do Docker
apte a chave GPG necessária aos nós do cluster. Em alternativa à adição de repositórios de pacotes a cada nó do cluster na sua implementação, pode configurar o cluster para usar um repositório de pacotes privado para imagens de contentores.
Segurança do cluster
Reforce a segurança dos seus clusters do Google Distributed Cloud.
Isolar o tráfego e os dados através de uma implementação de cluster de administrador e utilizador. Este tipo de implementação ajuda a alcançar os seguintes tipos de isolamento:
- O tráfego da carga de trabalho está isolado do tráfego administrativo ou do plano de gestão.
- O acesso ao cluster é isolado por grupo ou função.
- As cargas de trabalho de produção estão isoladas das cargas de trabalho de desenvolvimento.
Atualize os seus clusters para uma versão suportada. A utilização de uma versão suportada oferece-lhe as seguintes vantagens de segurança:
- Correções de vulnerabilidades de segurança.
- Novas funcionalidades e funções que tiram partido da postura e das tecnologias de segurança mais recentes.
- Atualizações de software e componentes incluídos.
Para reduzir a exposição externa e obter outras vantagens de segurança, pode configurar um espelho do registo para instalar componentes do Google Distributed Cloud a partir de uma cópia local do registo público.
Segurança da carga de trabalho
Proteja os seus contentores através do Security-Enhanced Linux (SELinux).
Proteja as suas cargas de trabalho com a autorização binária. A autorização binária é um serviço no Google Cloud que oferece segurança da cadeia de fornecimento de software para aplicações executadas na nuvem. Com a autorização binária, pode garantir que os processos internos que salvaguardam a qualidade e a integridade do seu software foram concluídos com êxito antes de uma aplicação ser implementada no seu ambiente de produção.
Use a federação de identidade da força de trabalho para o GKE para conceder acesso aos pods a Google Cloud recursos. A federação de identidades da carga de trabalho para o GKE permite que uma conta de serviço do Kubernetes seja executada como uma conta de serviço do IAM. Os pods que são executados como a conta de serviço do Kubernetes têm as autorizações da conta de serviço do IAM.
Segurança de redes
Escolha uma ligação segura entre o Google Distributed Cloud e Google Cloud. Depois de estabelecer a ligação fundamental, adicione funcionalidades que melhoram a segurança da ligação.
Limite a exposição dos seus clusters à Internet pública instalando-os atrás de um proxy e criando regras de firewall. Use também os controlos adequados no seu ambiente de rede para limitar o acesso público ao cluster.
Segurança da autenticação
Faça a gestão da identidade com o GKE Identity Service. O GKE Identity Service é um serviço de autenticação que lhe permite usar as suas soluções de identidade existentes para autenticação em váriosGoogle Cloud ambientes. Pode iniciar sessão e usar os seus clusters do Google Distributed Cloud a partir da linha de comandos (todos os fornecedores) ou da consola (apenas OIDC), tudo usando o seu fornecedor de identidade existente. Google Cloud
Estabeleça ligação a clusters registados com o gateway Connect. O gateway Connect baseia-se no poder das frotas para permitir que os utilizadores se liguem e executem comandos em clusters registados de forma consistente e segura.
Segurança das credenciais
Alterne as autoridades de certificação. O Google Distributed Cloud usa certificados e chaves privadas para autenticar e encriptar ligações entre componentes do sistema em clusters. Para manter a comunicação segura do cluster, altere periodicamente as autoridades de certificação do cluster de utilizadores e sempre que houver uma possível violação de segurança.
Alterne as chaves da conta de serviço. Para reduzir o risco de segurança causado por chaves roubadas, recomendamos que rode regularmente as chaves de serviço.
Monitorize a sua segurança
- Use o registo de auditoria do Kubernetes. O registo de auditoria oferece aos administradores uma forma de reter, consultar, processar e alertar sobre eventos que ocorrem nos seus ambientes do Google Distributed Cloud.
Para mais informações sobre a monitorização da segurança do cluster, consulte o artigo Monitorize a postura de segurança da frota.