Questa pagina descrive le opzioni offerte da Google Kubernetes Engine (GKE) per migliorare la visibilità e il controllo sulla sicurezza del piano di controllo gestito. Queste opzioni sono collettivamente denominate autorità del piano di controllo GKE. Questa pagina è rivolta a responsabili della sicurezza delle informazioni, amministratori della conformità e analisti che vogliono soddisfare esigenze rigorose di privacy e sicurezza per la gestione di dati sensibili.
Informazioni sulle funzionalità dell'autorità del control plane GKE
In GKE, Google Cloud gestisce completamente la configurazione di sicurezza del piano di controllo, inclusa la crittografia dei dati archiviati e la configurazione delle chiavi e delle autorità di certificazione (CA) che firmano e verificano le credenziali nei cluster. I nodi del piano di controllo per i cluster GKE esistono nei progetti gestiti da Google Cloud. Per informazioni dettagliate sulle attività di Google Cloud, consulta Responsabilità condivisa di GKE.
L'autorità del control plane GKE è un insieme facoltativo di funzionalità di visibilità e controllo che ti consente di verificare e gestire aspetti specifici di questi nodi del control plane completamente gestiti. Queste funzionalità sono ideali se hai requisiti come i seguenti:
- Operi in un settore altamente regolamentato come finanza, sanità o governo con requisiti di conformità specifici
- Gestisci dati sensibili con requisiti rigorosi di sicurezza e crittografia
- Vuoi una maggiore visibilità su GKE per migliorare la tua sicurezza durante l'esecuzione di carichi di lavoro critici
- Devi soddisfare requisiti specifici di conformità o auditing relativi alla crittografia dei dati, all'integrità del software o al logging
- Hai carichi di lavoro altamente sensibili che elaborano dati critici e vuoi avere visibilità sulla crittografia e sull'accesso a questi dati
- Vuoi applicare criteri di sicurezza personalizzati che soddisfino requisiti normativi o organizzativi specifici
- Vuoi un livello più elevato di trasparenza e visibilità nei tuoi ambienti GKE, in particolare in relazione alle azioni intraprese da Google Cloud nel piano di controllo
Vantaggi dell'autorità del control plane GKE
Le funzionalità di GKE control plane authority sono ideali per ambienti altamente regolamentati con criteri di sicurezza o requisiti di audit rigorosi. L'utilizzo di queste funzionalità offre vantaggi come:
- Visibilità e controllo migliorati: utilizza funzionalità aggiuntive di visibilità, controllo e crittografia per il piano di controllo GKE.
- Conformità semplificata: soddisfa i requisiti normativi e di settore con audit log granulari e criteri di sicurezza personalizzabili.
- Maggiore fiducia e trasparenza: ottieni informazioni sulle azioni intraprese da Google Cloud nel piano di controllo per risolvere le richieste di assistenza dei clienti.
- Mitigazione dei rischi: rileva e rispondi in modo proattivo alle potenziali minacce al control plane gestito con log completi.
- Gestione standardizzata di CA e chiavi: gestisci le CA del cluster GKE utilizzando Certificate Authority Service, in modo da delegare la gestione dei certificati a team specifici e applicare in modo completo i criteri CA. Inoltre, gestisci le chiavi di crittografia del piano di controllo del disco utilizzando Cloud KMS per una delega di gestione simile.
Come funziona l'autorità del control plane GKE
Le funzionalità che puoi utilizzare con il control plane sono classificate in base al tipo di controllo che vuoi, come segue. Puoi utilizzare una o più di queste funzionalità in base ai tuoi requisiti specifici.
- Gestione di chiavi e credenziali: controlla le chiavi utilizzate da GKE per criptare i dati inattivi nel piano di controllo e per emettere e verificare le identità nel cluster.
- Log di accesso e log di emissione delle identità: utilizza i log della rete, della VM e di Access Transparency per verificare l'accesso al piano di controllo GKE utilizzando più origini. Utilizza i log di emissione delle identità in Cloud KMS e nel servizio CA per vedere quando vengono create le identità utilizzando le chiavi e le CA che gestisci. Utilizza i log dettagliati sull'utilizzo dell'API Kubernetes per monitorare le attività di queste identità nel cluster.
Gestione di chiavi e credenziali
Per impostazione predefinita, Google Cloud gestisce per te le chiavi e le CA nei tuoi cluster GKE. Facoltativamente, puoi utilizzare Cloud KMS e CA Service per configurare le tue chiavi e CA, che poi utilizzerai per creare un nuovo cluster.
GKE utilizza queste chiavi e CA anziché quelle predefinite di Google Cloud per emettere e verificare le identità nel cluster e per criptare i dati nelle VM del control plane. Mantenere il controllo sull'emissione dell'identità e sulle chiavi di crittografia dei dati può aiutarti a:
- Rispettare le normative sulla sovranità dei dati e sulla privacy che richiedono il controllo esclusivo delle chiavi
- Controlla la crittografia dei dati sensibili critici in Kubernetes gestendo le tue chiavi di crittografia
- Personalizza la strategia di crittografia dei dati in base alle norme e ai requisiti della tua organizzazione, ad esempio i requisiti per l'utilizzo di chiavi basate su hardware.
CA autogestite e chiavi degli account di servizio
Puoi configurare il control plane di GKE in modo che utilizzi le chiavi Cloud KMS e le CA di Service CA che gestisci. GKE utilizza queste risorse per emettere e verificare le identità nel cluster. Ad esempio, GKE utilizza le CA e le chiavi per emettere certificati client Kubernetes e token di accesso dell'account di servizio Kubernetes.
Crea le seguenti risorse da utilizzare da parte di GKE per emettere le identità:
- Chiavi di firma dell'account di servizio: firma i token di accesso dell'account di servizio Kubernetes per gli account di servizio nel cluster. Questi token di accesso sono token web JSON (JWT) che facilitano la comunicazione del pod con l'API server Kubernetes.
- Chiavi di verifica dell'account di servizio: verifica i JWT dell'account di servizio Kubernetes. In genere, questa chiave è uguale alla chiave di firma, ma viene configurata separatamente in modo da poter ruotare le chiavi in modo più sicuro.
- CA del cluster: emette certificati firmati per scopi quali richieste di firma del certificato (CSR) e comunicazione con kubelet.
- CA peer etcd: emette certificati firmati per la comunicazione tra le istanze etcd nel cluster.
- CA API etcd: emette certificati firmati per la comunicazione con il server API etcd.
- CA di aggregazione: emette certificati firmati per abilitare la comunicazione tra il server API Kubernetes e i server di estensioni.
Quando GKE emette identità nel cluster, vengono visualizzati gli audit log corrispondenti in Cloud Logging, che puoi utilizzare per monitorare le identità emesse per tutta la loro durata.
Per scoprire di più, consulta Eseguire le tue autorità di certificazione e le tue chiavi di firma in GKE.
Crittografia del disco di avvio e di etcd del control plane
Per impostazione predefinita, GKE cripta il disco di avvio di una VM del piano di controllo, il disco che memorizza i dati in etcd e il backup operativo interno di Google Cloud di etcd utilizzando le chiavi di crittografia gestite da Google Cloud. Per informazioni dettagliate su questa crittografia predefinita, consulta Crittografia at-rest predefinita.
Facoltativamente, puoi utilizzare le tue chiavi di crittografia gestite con Cloud KMS per criptare le seguenti risorse:
- Disco di avvio del piano di controllo: il disco Compute Engine utilizzato da ogni VM del piano di controllo per l'avvio.
- Disco etcd: il disco Compute Engine collegato a ogni VM del piano di controllo e che archivia i dati per le istanze etcd nel cluster.
Backup operativo interno di etcd: il backup interno di Google Cloud di etcd utilizzato per scopi operativi come il ripristino di emergenza.
Questo backup è una misura di emergenza interna a Google Cloud. Se vuoi eseguire il backup e il ripristino dei cluster, utilizza Backup per GKE.
Per le istruzioni, consulta Eseguire la crittografia dei dischi di avvio di etcd e del control plane.
Questa crittografia facoltativa aggiuntiva è ideale se devi soddisfare requisiti normativi o di conformità specifici relativi al controllo dei mezzi di crittografia nel control plane del cluster. Puoi utilizzare separatamente le tue chiavi per criptare i dischi di avvio e di archiviazione dei nodi worker del cluster. Per maggiori dettagli, consulta Utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
Quando utilizzi l'autorità del piano di controllo GKE per criptare i dischi di avvio del piano di controllo, le VM del piano di controllo GKE utilizzano automaticamente la modalità riservata per Hyperdisk Balanced nei dischi di avvio. Questa configurazione non modifica i dischi di avvio predefiniti dei nodi worker.
Log di accesso e log di emissione delle identità
Puoi visualizzare i log in Logging per tutti gli eventi relativi all'accesso e all'identità nel piano di controllo, inclusi i seguenti:
- Accesso diretto: i log relativi ai tentativi di accesso diretto (come SSH) ai nodi del control plane GKE ti consentono di verificare che i log SSH della VM e le connessioni di rete della VM corrispondano ai record SSH nei log di Access Transparency.
- Emissione e verifica dell'identità: log relativi alle identità che sono state generate utilizzando le CA e le chiavi che gestisci in CA Service e Cloud KMS.
- Utilizzo delle identità in Kubernetes: log relativi alle azioni intraprese da identità specifiche contro il server dell'API Kubernetes.
- Access Transparency: log relativi alle connessioni effettuate al control plane e alle azioni intraprese sul control plane dal personale di Google Cloud.
Questi log possono aiutarti a:
- Mantieni una traccia di controllo completa di tutti gli eventi di accesso e identità del control plane per la conformità e la sicurezza.
- Oltre alle protezioni di Google integrate, puoi creare il tuo monitoraggio per identificare e esaminare eventuali attività sospette all'interno del piano di controllo.
- Verifica che solo le persone autorizzate accedano e interagiscano con il tuo cluster GKE, in modo da migliorare la tua postura di sicurezza.
- Scopri quando vengono create le identità utilizzando le chiavi e le CA che gestisci tramite i log di emissione delle identità in Cloud KMS e nel servizio CA. Utilizza i log dettagliati sull'utilizzo dell'API Kubernetes per monitorare le attività svolte da queste identità nel cluster.
I seguenti documenti mostrano come visualizzare ed elaborare i vari tipi di log del piano di controllo:
- Verificare le operazioni di rilascio e verifica delle credenziali nei cluster GKE
- Verificare le connessioni del personale di Google nel control plane del cluster
Risorse aggiuntive sulla sicurezza del piano di controllo
Questa sezione descrive altri metodi che puoi utilizzare per aumentare la tua sicurezza nella sicurezza del piano di controllo. Non è necessario utilizzare l'autorità del piano di controllo GKE per utilizzare le seguenti risorse:
Integrità dell'immagine VM del piano di controllo: GKE aggiunge a Cloud Logging log dettagliati per la creazione e gli eventi di avvio delle VM dei nodi. Inoltre, su GitHub pubblichiamo VSA SLSA corrispondenti alle immagini macchina del piano di controllo e dei nodi worker. Puoi verificare che le VM utilizzino immagini del sistema operativo con VSA corrispondenti e verificare l'integrità dell'avvio di ogni VM del piano di controllo.
Per eseguire la verifica dell'integrità della VM, consulta Verificare l'integrità della VM del control plane GKE.
Misure di sicurezza del piano di controllo integrate: GKE esegue diverse misure di rafforzamento del piano di controllo gestito. Per scoprire di più, consulta Sicurezza del piano di controllo.
Passaggi successivi
- Esegui le tue autorità di certificazione e le tue chiavi di firma in GKE
- Cripta i dati inattivi del piano di controllo GKE con le tue chiavi
- Verificare l'integrità della VM del control plane GKE
- Verificare l'emissione e l'utilizzo delle credenziali nei cluster GKE
- Verificare le connessioni da parte del personale di Google nel control plane del cluster