À propos de l'autorité du plan de contrôle GKE

---

Cette page décrit les options proposées par Google Kubernetes Engine (GKE) pour améliorer votre visibilité et votre contrôle sur la sécurité du plan de contrôle géré. Ces options sont collectivement appelées autorité du plan de contrôle GKE. Cette page est destinée aux responsables de la sécurité des informations, aux administrateurs de conformité et aux analystes qui souhaitent répondre à des exigences strictes en matière de confidentialité et de sécurité pour la gestion des données sensibles.

À propos des fonctionnalités d'autorité du plan de contrôle GKE

Dans GKE, Google Cloud gère entièrement la configuration de sécurité du plan de contrôle, y compris le chiffrement du stockage au repos, et configure les clés et les autorités de certification (autorités de certification) qui signent et valident les identifiants dans vos clusters. Les nœuds du plan de contrôle des clusters GKE existent dans les projets gérés par Google Cloud . Pour en savoir plus sur ce que fait Google Cloud , consultez la section Responsabilité partagée GKE.

L'autorité du plan de contrôle GKE est un ensemble facultatif de fonctionnalités de visibilité et de contrôle qui vous permet de vérifier et de gérer des aspects spécifiques de ces nœuds de plan de contrôle entièrement gérés. Ces fonctionnalités sont idéales si vous avez des exigences telles que les suivantes:

• Vous travaillez dans un secteur hautement réglementé, comme la finance, la santé ou l'administration, avec des exigences de conformité spécifiques.
• Vous gérez des données sensibles qui sont soumises à des exigences strictes en termes de sécurité et de chiffrement.
• Vous souhaitez améliorer la visibilité sur GKE pour gagner en confiance lorsque vous exécutez des charges de travail critiques.
• Vous devez respecter des exigences spécifiques de conformité ou d'audit liées au chiffrement des données, à l'intégrité logicielle ou à la journalisation.
• Vous disposez de charges de travail hautement sensibles qui traitent des données critiques, et vous souhaitez avoir une visibilité sur le chiffrement et l'accès à ces données.
• Vous souhaitez appliquer des règles de sécurité personnalisées qui répondent à des exigences organisationnelles ou réglementaires spécifiques.
• Vous souhaitez améliorer le niveau de transparence et de visibilité dans vos environnements GKE, en particulier en ce qui concerne les actions queGoogle Cloud effectue dans le plan de contrôle.

Avantages de l'autorité du plan de contrôle GKE

Les fonctionnalités d'autorité du plan de contrôle de GKE sont idéales dans les environnements hautement réglementés qui disposent de règles de sécurité ou d'exigences d'audit strictes. L'utilisation de ces fonctionnalités présente les avantages suivants:

• Contrôle et visibilité améliorés: utilisez des fonctionnalités de visibilité, de contrôle et de chiffrement supplémentaires pour votre plan de contrôle GKE.
• Simplifiez la conformité: respectez les exigences réglementaires et sectorielles grâce à des journaux d'audit précis et à des règles de sécurité personnalisables.
• Amélioration de la confiance et de la transparence: obtenez des insights sur les actions queGoogle Cloud effectue dans le plan de contrôle lors de la résolution des demandes d'assistance client.
• Atténuation des risques: détectez et réagissez de manière proactive aux menaces potentielles sur le plan de contrôle géré à l'aide de journaux complets.
• Gestion standardisée des autorités de certification et des clés: gérez vos autorités de certification de cluster GKE à l'aide de Certificate Authority Service. Vous pouvez ainsi déléguer la gestion des certificats à des équipes spécifiques et appliquer de manière exhaustive les règles des autorités de certification. De plus, gérez vos clés de chiffrement de disque de plan de contrôle à l'aide de Cloud KMS pour une délégation de gestion similaire.

Fonctionnement de l'autorité du plan de contrôle GKE

Les fonctionnalités que vous pouvez utiliser avec le plan de contrôle sont classées en fonction du type de contrôle souhaité, comme suit. Vous pouvez utiliser une ou plusieurs de ces fonctionnalités en fonction de vos besoins spécifiques.

• Gestion des clés et des identifiants: contrôlez les clés que GKE utilise pour chiffrer les données au repos dans le plan de contrôle, et pour émettre et valider les identités dans le cluster.
• Journaux d'accès et journaux d'émission d'identité: utilisez les journaux du réseau, de la VM et du Access Transparency pour vérifier l'accès au plan de contrôle GKE à l'aide de plusieurs sources. Utilisez les journaux d'émission d'identité dans Cloud KMS et le service d'autorité de certification pour voir quand des identités sont créées à l'aide des clés et des autorités de certification que vous gérez. Utilisez des journaux d'utilisation détaillés de l'API Kubernetes pour suivre ce que ces identités font dans le cluster.

Gestion des clés et des identifiants

Par défaut, Google Cloud gère les clés et les autorités de certification de vos clusters GKE à votre place. Vous pouvez éventuellement utiliser Cloud KMS et le service d'autorité de certification pour configurer vos propres clés et autorités de certification, que vous utiliserez ensuite lorsque vous créerez un cluster.

GKE utilise ces clés et ces autorités de certification au lieu des Google Cloudpar défaut pour émettre et valider des identités dans votre cluster, et pour chiffrer les données dans vos VM de plan de contrôle. En gardant le contrôle de l'émission d'identités et des clés de chiffrement des données, vous pouvez:

• Respecter les réglementations sur la souveraineté des données et la confidentialité qui exigent un contrôle exclusif des clés
• Contrôler le chiffrement des données sensibles critiques dans Kubernetes en gérant vos propres clés de chiffrement
• Personnalisez votre stratégie de chiffrement des données en fonction des règles et des exigences de votre organisation, comme l'obligation d'utiliser des clés basées sur du matériel.

Autorités de certification autogérées et clés de compte de service

Vous pouvez configurer le plan de contrôle GKE pour qu'il utilise les clés Cloud KMS et les autorités de certification de Certificate Authority Service que vous gérez. GKE utilise ces ressources pour émettre et valider des identités dans votre cluster. Par exemple, GKE utilise des autorités de certification et des clés pour émettre des certificats client Kubernetes et des jetons de support de compte de service Kubernetes.

Vous créez les ressources suivantes pour que GKE les utilise lors de l'émission d'identités:

1. Clés de signature du compte de service: signez les jetons de support du compte de service Kubernetes pour les comptes de service du cluster. Ces jetons d'accès sont des jetons Web JSON (JWT) qui facilitent la communication du pod avec le serveur d'API Kubernetes.
2. Clés de validation du compte de service: vérifiez les jetons JWT du compte de service Kubernetes. Cette clé est normalement identique à la clé de signature, mais elle est configurée séparément afin que vous puissiez faire pivoter vos clés de manière plus sécurisée.
3. Autorité de certification du cluster: délivre des certificats signés à des fins telles que les demandes de signature de certificat (CSR) et la communication avec le kubelet.
4. Autorité de certification homologue etcd: émet des certificats signés pour la communication entre les instances etcd du cluster.
5. Autorité de certification de l'API etcd: émet des certificats signés pour la communication avec le serveur d'API etcd.
6. Autorité de certification d'agrégation: émet des certificats signés pour permettre la communication entre le serveur d'API Kubernetes et les serveurs d'extension.

Lorsque GKE émet des identités dans le cluster, les journaux d'audit correspondants s'affichent dans Cloud Logging. Vous pouvez les utiliser pour suivre les identités émises tout au long de leur durée de vie.

Pour en savoir plus, consultez la page Exécuter vos propres autorités de certification et clés de signature dans GKE.

Chiffrement du disque de démarrage et d'etcd du plan de contrôle

Par défaut, GKE chiffre le disque de démarrage d'une VM de plan de contrôle, le disque qui stocke les données dans etcd, et la Google Cloud sauvegarde opérationnelle interne d'etcd à l'aide de clés de chiffrement gérées par Google Cloud. Pour en savoir plus sur ce chiffrement par défaut, consultez la section Chiffrement au repos par défaut.

Vous pouvez facultatif utiliser vos propres clés de chiffrement que vous gérez à l'aide de Cloud KMS pour chiffrer les ressources suivantes:

• Disque de démarrage du plan de contrôle: disque Compute Engine utilisé par chaque VM de plan de contrôle pour démarrer.
• Disque etcd: disque Compute Engine associé à chaque VM de plan de contrôle et qui stocke les données des instances etcd du cluster.

• Sauvegarde opérationnelle interne d'etcd: sauvegarde interne Google Cloud d'etcd utilisée à des fins opérationnelles, comme la reprise après sinistre.

  Cette sauvegarde est une mesure d'urgence interne à Google Cloud. Si vous souhaitez sauvegarder et restaurer vos clusters, utilisez plutôt Sauvegarde pour GKE.

Pour obtenir des instructions, consultez la section Chiffrer les disques de démarrage d'etcd et du plan de contrôle.

Ce chiffrement facultatif supplémentaire est idéal si vous devez respecter des exigences réglementaires ou de conformité spécifiques liées au contrôle des moyens de chiffrement dans le plan de contrôle de votre cluster. Vous pouvez utiliser vos propres clés séparément pour chiffrer les disques de démarrage et de stockage des nœuds de calcul de votre cluster. Pour en savoir plus, consultez la section Utiliser des clés de chiffrement gérées par le client (CMEK).

Lorsque vous utilisez l'autorité du plan de contrôle GKE pour chiffrer les disques de démarrage de votre plan de contrôle, les VM du plan de contrôle GKE utilisent automatiquement le mode Confidential pour Hyperdisk Balanced sur les disques de démarrage. Cette configuration ne modifie pas les disques de démarrage par défaut de vos nœuds de calcul.

Journaux d'accès et journaux d'émission d'identité

Vous pouvez afficher les journaux dans "Journalisation" pour tous les événements liés à l'accès et à l'identité dans le plan de contrôle, y compris les événements suivants:

• Accès direct: les journaux liés aux tentatives d'accès direct (comme SSH) aux nœuds du plan de contrôle GKE vous permettent de vérifier que les journaux SSH de la VM et les connexions réseau de la VM correspondent aux enregistrements SSH dans les journaux de Access Transparency.
• Émission et validation d'identités: journaux liés aux identités émises à l'aide d'autorités de certification et de clés que vous gérez dans le service d'autorité de certification et Cloud KMS.
• Utilisation de l'identité dans Kubernetes: journaux liés aux actions effectuées par des identités spécifiques sur le serveur d'API Kubernetes.
• Transparence des accès: journaux liés aux connexions établies avec le plan de contrôle et aux actions effectuées sur le plan de contrôle par le personnel de Google Cloud .

Ces journaux peuvent vous aider à effectuer les opérations suivantes:

• Gérez des journaux d'audit complets de tous les événements d'identité et d'accès au plan de contrôle pour assurer la conformité et la sécurité.
• En plus des protections Google intégrées, vous pouvez créer votre propre surveillance pour identifier et examiner toute activité suspecte dans le plan de contrôle.
• Vérifiez que seules les entités autorisées accèdent à votre cluster GKE et interagissent avec celui-ci, ce qui améliore votre stratégie de sécurité.
• Découvrez quand des identités sont créées à l'aide de clés et d'autorités de certification que vous gérez à l'aide des journaux d'émission d'identités dans Cloud KMS et CA Service. Utilisez des journaux d'utilisation détaillés de l'API Kubernetes pour suivre ce que ces identités font dans le cluster.

Les documents suivants vous expliquent comment afficher et traiter les différents types de journaux du plan de contrôle:

• Vérifier les opérations d'émission et de validation des identifiants dans les clusters GKE
• Vérifier les connexions du personnel Google dans le plan de contrôle du cluster

Ressources supplémentaires sur la sécurité du plan de contrôle

Cette section décrit d'autres méthodes que vous pouvez utiliser pour améliorer la sécurité de votre plan de contrôle. Vous n'avez pas besoin d'utiliser l'autorité du plan de contrôle GKE pour utiliser les ressources suivantes:

• Intégrité de l'image de la VM du plan de contrôle: GKE ajoute des journaux détaillés pour la création de VM de nœud et les événements de démarrage dans Cloud Logging. De plus, nous publions sur GitHub des VSA SLSA qui correspondent aux images de machine du plan de contrôle et des nœuds de calcul. Vous pouvez vérifier que vos VM utilisent des images d'OS associées à des VSA et vérifier l'intégrité du démarrage de chaque VM de plan de contrôle.

  Pour effectuer une vérification de l'intégrité des VM, consultez la section Vérifier l'intégrité des VM du plan de contrôle GKE.

• Mesures de sécurité intégrées au plan de contrôle: GKE effectue diverses mesures de renforcement sur le plan de contrôle géré. Pour en savoir plus, consultez la section Sécurité du plan de contrôle.

Étape suivante

• Exécuter vos propres autorités de certification et clés de signature dans GKE
• Chiffrer les données au repos du plan de contrôle GKE avec vos clés
• Vérifier l'intégrité des VM du plan de contrôle GKE
• Vérifier l'émission et l'utilisation des identifiants dans les clusters GKE
• Vérifier les connexions du personnel Google dans le plan de contrôle du cluster