Acerca de la autoridad del plano de control de GKE

.

En esta página se describen las opciones que ofrece Google Kubernetes Engine (GKE) para mejorar la visibilidad y el control de la seguridad del plano de control gestionado. Estas opciones se denominan en conjunto autoridad del plano de control de GKE. Esta página está dirigida a responsables de seguridad de la información, administradores de cumplimiento y analistas que quieran cumplir requisitos estrictos de privacidad y seguridad para gestionar datos sensibles.

Acerca de las funciones de autoridad del plano de control de GKE

En GKE, Google Cloud gestiona por completo la configuración de seguridad del plano de control, incluido el cifrado del almacenamiento en reposo, y configura las claves y las autoridades de certificación (CAs) que firman y verifican las credenciales de tus clústeres. Los nodos del plano de control de los clústeres de GKE se encuentran en proyectos que gestiona Google Cloud . Para obtener información sobre lo que hace Google Cloud , consulta el artículo Responsabilidad compartida de GKE.

La autoridad del plano de control de GKE es un conjunto opcional de funciones de visibilidad y control que te permiten verificar y gestionar aspectos específicos de estos nodos del plano de control totalmente gestionados. Estas funciones son ideales si tienes requisitos como los siguientes:

• Trabajas en un sector muy regulado, como el financiero, el sanitario o el público, con requisitos de cumplimiento específicos.
• Gestionas datos sensibles que tienen estrictos requisitos de seguridad y cifrado
• Quieres tener una mayor visibilidad de GKE para mejorar tu confianza al ejecutar cargas de trabajo críticas
• Debes cumplir requisitos específicos de cumplimiento o auditoría relacionados con el cifrado de datos, la integridad del software o el registro.
• Tienes cargas de trabajo muy sensibles que tratan datos críticos y quieres tener visibilidad del cifrado y el acceso a esos datos.
• Quieres aplicar políticas de seguridad personalizadas que cumplan requisitos organizativos o normativos específicos
• Quieres aumentar la transparencia y la visibilidad de tus entornos de GKE, sobre todo en lo que respecta a las acciones queGoogle Cloud realiza en el plano de control.

Ventajas de la autoridad del plano de control de GKE

Las funciones de autoridad del plano de control de GKE son ideales en entornos muy regulados que tienen políticas de seguridad estrictas o requisitos de auditoría estrictos. Al usar estas funciones, se obtienen ventajas como las siguientes:

• Visibilidad y control mejorados: usa funciones adicionales de visibilidad, control y cifrado para tu plano de control de GKE.
• Cumplimiento optimizado: cumple los requisitos normativos y del sector con registros de auditoría detallados y políticas de seguridad personalizables.
• Mayor confianza y transparencia: obtén información valiosa sobre las acciones que lleva a caboGoogle Cloud en el plano de control al resolver casos de asistencia de clientes.
• Mitigación de riesgos: detecta y responde de forma proactiva a las posibles amenazas al plano de control gestionado con registros completos.
• Gestión estandarizada de autoridades de certificación y claves: gestiona las autoridades de certificación de tu clúster de GKE con el servicio de autoridades de certificación, lo que te permite delegar la gestión de certificados en equipos específicos y aplicar las políticas de las autoridades de certificación de forma integral. Además, puedes gestionar las claves de encriptado de disco del plano de control con Cloud KMS para delegar la gestión de forma similar.

Disponibilidad de la autoridad del plano de control de GKE

Las regiones y zonas en las que puedes usar la autoridad del plano de control de GKE dependen de si quieres usar funciones específicas, tal como se indica a continuación:

• Para encriptar los discos de arranque del plano de control con una clave de encriptado gestionada por el cliente, el clúster debe estar en una de las siguientes regiones:
  • asia-east1
  • asia-northeast1
  • asia-southeast1
  • europe-west1
  • europe-west4
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west3
  • us-west4
• Para usar nodos de Confidential GKE con la autoridad del plano de control de GKE, tu clúster debe estar en una región que admita el modo Confidencial para Hyperdisk Balanced.

Si no usas estas funciones, puedes usar la autoridad del plano de control de GKE en cualquier Google Cloud ubicación.

Cómo funciona la autoridad del plano de control de GKE

Las funciones que puedes usar con el plano de control se clasifican según el tipo de control que quieras, como se indica a continuación. Puede usar una o varias de estas funciones en función de sus requisitos específicos.

• Gestión de claves y credenciales: controla las claves que usa GKE para cifrar los datos en reposo en el plano de control y para emitir y verificar identidades en el clúster.
• Registros de acceso y de emisión de identidades: usa los registros de la red, la VM y Transparencia de acceso para verificar el acceso al plano de control de GKE mediante varias fuentes. Usa los registros de emisión de identidades de Cloud KMS y del servicio de AC para ver cuándo se crean identidades con las claves y las AC que gestionas. Usa registros de uso detallados de la API de Kubernetes para monitorizar lo que hacen esas identidades en el clúster.

Gestión de claves y credenciales

De forma predeterminada, Google Cloud gestiona las claves y las autoridades de certificación de tus clústeres de GKE. También puedes usar Cloud KMS y CA Service para configurar tus propias claves y CAs, que luego usarás al crear un clúster.

GKE usa estas claves y CAs en lugar de los Google Cloudvalores predeterminados para emitir y verificar identidades en tu clúster, así como para cifrar datos en las VMs de tu plano de control. Mantener el control sobre la emisión de identidades y las claves de cifrado de datos puede ayudarte a hacer lo siguiente:

• Cumplir las normativas de soberanía y privacidad de los datos que exigen el control exclusivo de las claves
• Controla el cifrado de datos sensibles críticos en Kubernetes gestionando tus propias claves de cifrado
• Personaliza tu estrategia de cifrado de datos en función de las políticas y los requisitos de tu organización, como los requisitos para usar claves respaldadas por hardware.

Autoridades de certificación autogestionadas y claves de cuentas de servicio

Puedes configurar el plano de control de GKE para que use claves de Cloud KMS y CAs de CA Service que gestiones. GKE usa estos recursos para emitir y verificar identidades en tu clúster. Por ejemplo, GKE usa CAs y claves para emitir certificados de cliente de Kubernetes y tokens de portador de cuentas de servicio de Kubernetes.

Crea los siguientes recursos para que GKE los use al emitir identidades:

1. Claves de firma de cuenta de servicio: firman los tokens de portador de ServiceAccount de Kubernetes para las cuentas de servicio del clúster. Estos tokens de portador son tokens web JSON (JWTs) que facilitan la comunicación de los pods con el servidor de la API de Kubernetes.
2. Claves de verificación de cuentas de servicio: verifican los JWTs de las cuentas de servicio de Kubernetes. Esta clave suele ser la misma que la clave de firma, pero se configura por separado para que puedas rotar tus claves de forma más segura.
3. AC del clúster: emite certificados firmados para fines como solicitudes de firma de certificados (CSRs) y comunicación de kubelet.
4. CA de peer de etcd: emite certificados firmados para la comunicación entre instancias de etcd del clúster.
5. AC de la API etcd: emite certificados firmados para la comunicación con el servidor de la API etcd.
6. Autoridad de certificación de agregación: emite certificados firmados para habilitar la comunicación entre el servidor de la API de Kubernetes y los servidores de extensión.

Cuando GKE emite identidades en el clúster, verás los registros de auditoría correspondientes en Cloud Logging, que puedes usar para monitorizar las identidades emitidas durante su ciclo de vida.

Para obtener más información, consulta Ejecutar tus propias autoridades de certificación y claves de firma en GKE.

Encriptado del disco de arranque y de etcd del plano de control

De forma predeterminada, GKE cifra el disco de arranque de una VM del plano de control. Si el plano de control ejecuta instancias de la base de datos etcd, GKE también cifra lo siguiente:

• El disco que almacena los datos de etcd.
• La Google Cloud copia de seguridad operativa interna de etcd.

Este cifrado predeterminado usa claves de cifrado que gestiona Google Cloud . Para obtener más información sobre este cifrado predeterminado, consulta el artículo Cifrado predeterminado en reposo.

Opcionalmente, puedes usar tus propias claves de cifrado, que gestionas con Cloud KMS, para cifrar los siguientes recursos:

• Disco de arranque del plano de control: el disco de Compute Engine que usa cada VM del plano de control para arrancar.
• Disco etcd: el disco de Compute Engine que está asociado a cada VM del plano de control y almacena datos de las instancias de etcd del clúster.

• Copia de seguridad operativa interna de etcd: la Google Cloud copia de seguridad interna de etcd que se usa con fines operativos, como la recuperación tras fallos.

  Esta copia de seguridad es una medida de emergencia interna de Google Cloud. Si quieres crear copias de seguridad de tus clústeres y restaurarlos, usa Copia de seguridad de GKE.

Para obtener instrucciones, consulta Cifrar los discos de arranque de etcd y del plano de control.

Este cifrado adicional opcional es ideal si tienes que cumplir requisitos normativos o de cumplimiento específicos relacionados con el control de los medios de cifrado en el plano de control de tu clúster. Puedes usar tus propias claves por separado para cifrar los discos de arranque y los discos de almacenamiento de los nodos de trabajo de tu clúster. Para obtener más información, consulta Usar claves de cifrado gestionadas por el cliente (CMEK).

Cuando usas la autoridad del plano de control de GKE para cifrar los discos de arranque del plano de control, las VMs del plano de control de GKE usan automáticamente el modo Confidencial para Hyperdisk Balanced en los discos de arranque. Esta configuración no cambia los discos de arranque predeterminados de tus nodos de trabajo.

Rotación de credenciales gestionadas por el cliente

Con la autoridad del plano de control de GKE, puedes configurar clústeres para que usen CAs y claves gestionadas por el cliente en lugar de los recursos gestionados por Google que GKE usa de forma predeterminada. Una rotación de credenciales es una operación que realizas para actualizar uno o varios de estos recursos en un clúster. Puede que tengas que rotar las credenciales para evitar que caduquen las AC o para cumplir los requisitos de gestión de credenciales de tu organización.

Para rotar las credenciales de un clúster que usa la autoridad del plano de control de GKE, debes crear nuevas CAs, claves de firma y claves de cifrado. Después, actualiza el clúster para que use esos nuevos recursos.

Para obtener más información, consulta las siguientes páginas:

• Rota las CAs y las claves del plano de control gestionado por el cliente.
• Rota las claves de cifrado del disco de arranque de etcd y del plano de control.

Registros de acceso y de emisión de identidades

Puedes ver los registros de todos los eventos relacionados con el acceso y la identidad en el plano de control, incluidos los siguientes:

• Acceso directo: los registros relacionados con los intentos de acceso directo (como SSH) a los nodos del plano de control de GKE te permiten verificar que los registros de SSH de las VMs y las conexiones de red de las VMs coinciden con los registros de SSH de los registros de Transparencia de acceso.
• Emisión y verificación de identidades: registros relacionados con las identidades que se han emitido mediante ACs y claves que gestionas en CA Service y Cloud KMS.
• Uso de identidades en Kubernetes: registros relacionados con las acciones que realizan identidades específicas en el servidor de la API de Kubernetes.
• Transparencia de acceso: registros relacionados con las conexiones realizadas al plano de control y las acciones llevadas a cabo en el plano de control por el personal de Google Cloud .

Estos registros pueden ayudarte a hacer lo siguiente:

• Mantener registros de auditoría completos de todos los eventos de acceso e identidad del plano de control para cumplir los requisitos y garantizar la seguridad.
• Además de las protecciones de Google integradas, puedes crear tu propia monitorización para identificar e investigar cualquier actividad sospechosa en el plano de control.
• Verifica que solo las entidades autorizadas accedan a tu clúster de GKE e interactúen con él, lo que mejora tu postura de seguridad.
• Consulta cuándo se crean identidades mediante claves y autoridades de certificación que gestionas con los registros de emisión de identidades de Cloud KMS y el servicio de AC. Usa registros detallados del uso de la API de Kubernetes para monitorizar lo que hacen esas identidades en el clúster.

En los siguientes documentos se muestra cómo ver y procesar los distintos tipos de registros del plano de control:

• Verificar las operaciones de emisión y verificación de credenciales en clústeres de GKE
• Verificar las conexiones del personal de Google en el plano de control del clúster

Recursos adicionales sobre la seguridad del plano de control

En esta sección se describen otros métodos que puedes usar para aumentar tu confianza en la seguridad del plano de control. No es necesario que uses la autoridad del plano de control de GKE para usar los siguientes recursos:

• Integridad de la imagen de VM del plano de control: GKE añade registros detallados de los eventos de creación y arranque de VMs de nodos a Cloud Logging. Además, publicamos VSAs de SLSA en GitHub que corresponden a imágenes de máquina del plano de control y del nodo de trabajo. Puedes verificar que tus VMs usan imágenes de SO que tienen VSAs correspondientes y verificar la integridad del arranque de cada VM del plano de control.

  Para verificar la integridad de las VMs, consulta Verificar la integridad de las VMs del plano de control de GKE.

• Medidas de seguridad integradas en el plano de control: GKE aplica varias medidas de protección al plano de control gestionado. Para obtener más información, consulta Seguridad del plano de control.

Siguientes pasos

• Ejecutar tus propias autoridades de certificación y claves de firma en GKE
• Cifrar los datos en reposo del plano de control de GKE con tus claves
• Verificar la integridad de las VMs del plano de control de GKE
• Verificar la emisión y el uso de credenciales en clústeres de GKE
• Verificar las conexiones del personal de Google en el plano de control del clúster