Nesta página, você verá uma introdução para estabelecer boas práticas de segurança para o GKE em Bare Metal. As orientações nesta página não têm o objetivo de fornecer uma lista abrangente de práticas recomendadas.
O uso de práticas recomendadas de segurança no GKE em Bare Metal envolve a aplicação de conceitos do Kubernetes e do Google Kubernetes Engine (GKE), bem como conceitos exclusivos do GKE em Bare Metal.
Segurança do Kubernetes
Recomendamos que você siga as diretrizes gerais de segurança do Kubernetes ao usar clusters do GKE em bare metal.
Para uma introdução às diretrizes de segurança do Kubernetes, consulte a Lista de verificação de segurança e a Visão geral da segurança nativa do Cloud na documentação do Kubernetes.
Segurança do GKE
Os clusters do GKE em bare metal estendem o GKE para permitir que você crie clusters do GKE nos próprios servidores Linux no local. Para saber mais sobre a segurança do GKE, consulte a visão geral de segurança do GKE. Como você está lendo, tenha em mente que, como seu plano de controle e os nós são executados no local, as sugestões para segurança do plano de controle e segurança do nó não se aplicam.
GKE em segurança bare metal
As seções a seguir fornecem orientações para estabelecer boas práticas de segurança para o GKE em Bare Metal.
Segurança de hardware
Proteja seus data centers locais com recursos de segurança física e proteção padrão do setor.
Certifique-se de que o acesso à estação de trabalho do administrador seja altamente restrito. A estação de trabalho do administrador armazena dados confidenciais, como arquivos
kubeconfig, chaves SSH e chaves da conta de serviço.
Segurança de nós
- Atualize seu pacote de software e instale patches de segurança para manter seu sistema operacional atualizado.
Segurança do cluster
Isole seu tráfego e dados usando uma implantação de cluster de administrador e usuário. Esse tipo de implantação ajuda a alcançar os seguintes tipos de isolamento:
- O tráfego da carga de trabalho é isolado do tráfego administrativo ou do plano de gerenciamento.
- O acesso ao cluster é isolado por grupo ou papel.
- As cargas de trabalho de produção são isoladas das cargas de trabalho de desenvolvimento.
Faça upgrade dos clusters para uma versão com suporte. O uso de uma versão compatível oferece os seguintes benefícios de segurança:
- Correções de vulnerabilidades de segurança.
- Novos recursos e funções que aproveitam as mais recentes tecnologias e postura de segurança.
- Atualizações para pacotes de software e componentes.
Segurança de cargas de trabalho
Proteja seus contêineres usando o Security-Enhanced Linux (SELinux).
Proteja suas cargas de trabalho com autorização binária. A autorização binária é um serviço do Google Cloud que fornece segurança de cadeia de fornecimento de software para aplicativos executados na nuvem. Com a autorização binária, é possível garantir que os processos internos que protegem a qualidade e a integridade do software sejam concluídos com êxito antes que um aplicativo seja implantado em seu ambiente de produção.
Use a Identidade da carga de trabalho para conceder aos pods acesso aos recursos do Google Cloud. A identidade da carga de trabalho permite que uma conta de serviço do Kubernetes seja executada como uma conta de serviço do IAM. Os pods executados como conta de serviço do Kubernetes têm as permissões da conta de serviço do IAM.
Segurança de rede
Escolha uma conexão segura entre o GKE em Bare Metal e o Google Cloud. Depois que a conexão básica estiver em vigor, adicione recursos para aumentar a segurança.
Limite a exposição dos clusters à Internet pública instalando-os por trás de um proxy e criando regras de firewall. Use também os controles apropriados no ambiente de rede para limitar o acesso público ao cluster.
Segurança da autenticação
Gerencie a identidade com o serviço de identidade do GKE. O serviço de identidade do GKE é um serviço de autenticação que permite usar suas soluções de identidade para autenticação em vários ambientes da edição Google Kubernetes Engine (GKE) Enterprise. É possível fazer login e usar os clusters do GKE em Bare Metal na linha de comando (todos os provedores) ou no console do Google Cloud (somente OIDC), tudo usando seu provedor de identidade atual.
Conecte-se a clusters registrados com o gateway do Connect. O gateway do Connect se baseia na eficiência das frotas para permitir que os usuários do GKE Enterprise se conectem e executem comandos nos clusters registrados de maneira simples, consistente e segura.
Segurança de credenciais
Rotacionar autoridades certificadoras O GKE em Bare Metal usa certificados e chaves privadas para autenticar e criptografar conexões entre componentes do sistema em clusters. Para manter a comunicação segura no cluster, rotacione as autoridades certificadoras do cluster de usuário periodicamente e sempre que houver uma possível violação de segurança.
Alterne as chaves da conta de serviço. Para reduzir o risco de segurança causado por chaves vazadas, recomendamos alternar as chaves regularmente.
Monitoramento da sua segurança
- Use a geração de registros de auditoria do Kubernetes. O registro de auditoria fornece uma maneira de os administradores reterem, consultarem, processarem e alertarem sobre eventos que ocorrem nos clusters do GKE em ambientes bare metal.
Saiba como monitorar a segurança do cluster em Monitorar a postura de segurança da frota.