Tentang otoritas bidang kontrol GKE

---

Halaman ini menjelaskan opsi yang ditawarkan Google Kubernetes Engine (GKE) untuk meningkatkan visibilitas dan kontrol Anda atas keamanan platform kontrol terkelola. Opsi ini secara kolektif disebut sebagai otoritas bidang kontrol GKE. Halaman ini ditujukan untuk pimpinan keamanan informasi, administrator kepatuhan, dan analis yang ingin memenuhi kebutuhan privasi dan keamanan yang ketat untuk menangani data sensitif.

Tentang fitur otoritas bidang kontrol GKE

Di GKE, Google Cloud sepenuhnya mengelola konfigurasi keamanan bidang kontrol, termasuk enkripsi penyimpanan dalam penyimpanan, dan mengonfigurasi kunci dan Certificate Authority (CA) yang menandatangani dan memverifikasi kredensial di cluster Anda. Node bidang kontrol untuk kluster GKE ada di project yang dikelola Google Cloud. Untuk mengetahui detail tentang tindakan Google Cloud, lihat Tanggung jawab bersama GKE.

Otorisasi bidang kontrol GKE adalah kumpulan visibilitas dan kemampuan kontrol opsional yang memungkinkan Anda memverifikasi dan mengelola aspek tertentu dari node bidang kontrol yang dikelola sepenuhnya ini. Kemampuan ini ideal jika Anda memiliki persyaratan seperti berikut:

• Anda beroperasi di industri yang diatur dengan ketat seperti keuangan, layanan kesehatan, atau pemerintah dengan persyaratan kepatuhan tertentu
• Anda menangani data sensitif yang memiliki persyaratan keamanan dan enkripsi ketat
• Anda menginginkan visibilitas yang lebih baik atas GKE untuk meningkatkan kepercayaan saat menjalankan workload penting
• Anda harus memenuhi persyaratan kepatuhan atau audit tertentu terkait enkripsi data, integritas software, atau logging
• Anda memiliki beban kerja yang sangat sensitif yang memproses data penting, dan Anda ingin visibilitas ke enkripsi dan akses ke data tersebut
• Anda ingin menerapkan kebijakan keamanan kustom yang memenuhi persyaratan organisasi atau peraturan tertentu
• Anda menginginkan tingkat transparansi dan visibilitas yang lebih baik ke dalam lingkungan GKE, terutama yang terkait dengan tindakan yang dilakukan Google Cloud di bidang kontrol

Manfaat otoritas bidang kontrol GKE

Kemampuan otoritas bidang kontrol GKE sangat cocok di lingkungan yang sangat diatur dan memiliki kebijakan keamanan yang ketat atau persyaratan audit yang ketat. Penggunaan kemampuan ini memberikan manfaat seperti berikut:

• Visibilitas dan kontrol yang ditingkatkan: Gunakan kemampuan visibilitas, kontrol, dan enkripsi tambahan untuk platform kontrol GKE Anda.
• Kepatuhan yang disederhanakan: Memenuhi persyaratan peraturan dan industri dengan log audit terperinci dan kebijakan keamanan yang dapat disesuaikan.
• Peningkatan kepercayaan dan transparansi: Dapatkan insight tentang tindakan yang dilakukan Google Cloud di platform kontrol saat menyelesaikan kasus dukungan pelanggan.
• Mitigasi risiko: Mendeteksi dan merespons secara proaktif potensi ancaman terhadap bidang kontrol terkelola dengan log komprehensif.
• Pengelolaan kunci dan CA standar: Kelola CA cluster GKE menggunakan Certificate Authority Service, yang memungkinkan Anda mendelegasikan pengelolaan sertifikat ke tim tertentu dan memungkinkan Anda menerapkan kebijakan CA secara komprehensif. Selain itu, kelola kunci enkripsi disk platform kontrol Anda menggunakan Cloud KMS untuk delegasi manajemen yang serupa.

Cara kerja otoritas bidang kontrol GKE

Kemampuan yang dapat Anda gunakan dengan bidang kontrol dikategorikan berdasarkan jenis kontrol yang Anda inginkan, sebagai berikut. Anda dapat menggunakan satu atau beberapa kemampuan ini berdasarkan persyaratan spesifik Anda.

• Pengelolaan kunci dan kredensial: Mengontrol kunci yang digunakan GKE untuk mengenkripsi data dalam penyimpanan di panel kontrol serta untuk menerbitkan dan memverifikasi identitas di cluster.
• Log akses dan log penerbitan identitas: Gunakan log dari jaringan, VM, dan Transparansi Akses untuk memverifikasi akses bidang kontrol GKE menggunakan beberapa sumber. Gunakan log penerbitan identitas di Cloud KMS dan Layanan CA untuk melihat kapan identitas dibuat menggunakan kunci dan CA yang Anda kelola. Gunakan log penggunaan Kubernetes API yang mendetail untuk melacak tindakan yang dilakukan identitas tersebut di cluster.

Pengelolaan kunci dan kredensial

Secara default, Google Cloud mengelola kunci dan CA di cluster GKE untuk Anda. Secara opsional, Anda dapat menggunakan Cloud KMS dan Layanan CA untuk menyiapkan kunci dan CA Anda sendiri, yang kemudian Anda gunakan saat membuat cluster baru.

GKE menggunakan kunci dan CA ini, bukan setelan default Google Cloud, untuk menerbitkan dan memverifikasi identitas di cluster Anda serta mengenkripsi data di VM platform kontrol Anda. Mengelola kontrol atas kunci enkripsi data dan penerbitan identitas dapat membantu Anda melakukan hal berikut:

• Mematuhi peraturan kedaulatan dan privasi data yang mewajibkan kontrol eksklusif atas kunci
• Mengontrol enkripsi data sensitif penting di Kubernetes dengan mengelola kunci enkripsi Anda sendiri
• Sesuaikan strategi enkripsi data Anda berdasarkan kebijakan dan persyaratan organisasi, seperti persyaratan untuk menggunakan kunci yang didukung hardware.

CA mandiri dan kunci akun layanan

Anda dapat mengonfigurasi bidang kontrol GKE untuk menggunakan kunci Cloud KMS dan CA Layanan CA yang Anda kelola. GKE menggunakan resource ini untuk menerbitkan dan memverifikasi identitas di cluster Anda. Misalnya, GKE menggunakan CA dan kunci untuk menerbitkan sertifikat klien Kubernetes dan token pembawa akun layanan Kubernetes.

Anda membuat resource berikut untuk digunakan GKE saat menerbitkan identitas:

1. Kunci penandatanganan Akun Layanan: menandatangani token pembawa ServiceAccount Kubernetes untuk akun layanan di cluster. Token pembawa ini adalah Token Web JSON (JWT) yang memfasilitasi komunikasi Pod dengan server Kubernetes API.
2. Kunci verifikasi Akun Layanan: memverifikasi JWT Akun Layanan Kubernetes. Kunci ini biasanya sama dengan kunci penandatanganan, tetapi dikonfigurasi secara terpisah sehingga Anda dapat merotasi kunci dengan lebih aman.
3. Cluster CA: menerbitkan sertifikat yang ditandatangani untuk tujuan seperti permintaan penandatanganan sertifikat (CSR) dan komunikasi kubelet.
4. etcd peer CA: menerbitkan sertifikat yang ditandatangani untuk komunikasi antar-instance etcd dalam cluster.
5. etcd API CA: menerbitkan sertifikat yang ditandatangani untuk komunikasi dengan server etcd API.
6. CA Agregasi: menerbitkan sertifikat yang ditandatangani untuk mengaktifkan komunikasi antara server Kubernetes API dan server ekstensi.

Saat GKE menerbitkan identitas di cluster, Anda akan melihat log audit yang sesuai di Cloud Logging, yang dapat Anda gunakan untuk melacak identitas yang diterbitkan selama masa berlakunya.

Untuk mempelajari lebih lanjut, lihat Menjalankan otoritas sertifikasi dan kunci penandatanganan Anda sendiri di GKE.

Enkripsi boot disk dan etcd bidang kontrol

Secara default, GKE mengenkripsi disk booting VM platform kontrol, disk yang menyimpan data di etcd, dan pencadangan operasional internal Google Cloud dari etcd menggunakan kunci enkripsi yang dikelola Google Cloud. Untuk mengetahui detail tentang enkripsi default ini, lihat Enkripsi dalam penyimpanan default.

Anda dapat secara opsional menggunakan kunci enkripsi Anda sendiri yang dikelola menggunakan Cloud KMS untuk mengenkripsi resource berikut:

• Disk booting platform kontrol: disk Compute Engine yang digunakan setiap VM platform kontrol untuk melakukan booting.
• Disk etcd: disk Compute Engine yang dipasang ke setiap VM bidang kontrol dan menyimpan data untuk instance etcd di cluster.

• Pencadangan operasional internal etcd: pencadangan Google Cloud internal etcd yang digunakan untuk tujuan operasional seperti disaster recovery.

  Pencadangan ini adalah tindakan darurat internal di Google Cloud. Jika Anda ingin mencadangkan dan memulihkan cluster, gunakan pencadangan untuk GKE.

Untuk mengetahui petunjuknya, lihat Mengenkripsi disk booting control plane dan etcd.

Enkripsi opsional tambahan ini ideal jika Anda harus memenuhi persyaratan peraturan atau kepatuhan tertentu yang terkait dengan mengontrol cara enkripsi di bidang kontrol cluster. Anda dapat menggunakan kunci Anda sendiri secara terpisah untuk mengenkripsi disk booting dan disk penyimpanan node pekerja di cluster Anda. Untuk mengetahui detailnya, lihat Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

Saat Anda menggunakan otoritas bidang kontrol GKE untuk mengenkripsi disk booting bidang kontrol, VM bidang kontrol GKE akan otomatis menggunakan mode Rahasia untuk Hyperdisk Balanced di disk booting. Konfigurasi ini tidak mengubah disk booting default node pekerja Anda.

Log akses dan log penerbitan identitas

Anda dapat melihat log di Logging untuk semua peristiwa yang terkait dengan akses dan identitas di platform kontrol, termasuk peristiwa berikut:

• Akses langsung: Log yang terkait dengan upaya akses langsung (seperti SSH) ke node bidang kontrol GKE memungkinkan Anda memverifikasi bahwa log SSH VM dan koneksi jaringan VM cocok dengan catatan SSH dalam log Transparansi Akses.
• Penerbitan dan verifikasi identitas: Log yang terkait dengan identitas yang diterbitkan menggunakan CA dan kunci yang Anda kelola di Layanan CA dan Cloud KMS.
• Penggunaan identitas di Kubernetes: Log yang terkait dengan tindakan yang dilakukan identitas tertentu terhadap server Kubernetes API.
• Transparansi Akses: Log yang terkait dengan koneksi yang dibuat ke platform kontrol dan tindakan yang dilakukan di platform kontrol oleh personel Google Cloud.

Log ini dapat membantu Anda melakukan hal berikut:

• Menjaga pelacakan audit yang komprehensif dari semua peristiwa akses dan identitas bidang kontrol untuk kepatuhan dan keamanan.
• Selain perlindungan Google bawaan, Anda dapat membuat pemantauan sendiri untuk mengidentifikasi dan menyelidiki aktivitas mencurigakan dalam platform kontrol.
• Pastikan hanya entitas yang berwenang yang mengakses dan berinteraksi dengan cluster GKE Anda, yang akan meningkatkan postur keamanan Anda.
• Lihat kapan identitas dibuat menggunakan kunci dan CA yang Anda kelola menggunakan log penerbitan identitas di Cloud KMS dan Layanan CA. Gunakan log penggunaan Kubernetes API yang mendetail untuk melacak tindakan identitas tersebut di cluster.

Dokumen berikut menunjukkan cara melihat dan memproses berbagai jenis log bidang kontrol:

• Memverifikasi operasi verifikasi dan penerbitan kredensial di cluster GKE
• Memverifikasi koneksi oleh personel Google di bidang kontrol cluster

Referensi tambahan tentang keamanan bidang kontrol

Bagian ini menjelaskan metode lain yang dapat Anda gunakan untuk meningkatkan keyakinan dalam keamanan bidang kontrol. Anda tidak perlu menggunakan otoritas bidang kontrol GKE untuk menggunakan resource berikut:

• Integritas image VM panel kontrol: GKE menambahkan log mendetail untuk pembuatan VM node dan peristiwa booting ke Cloud Logging. Selain itu, kami memublikasikan VSA SLSA di GitHub yang sesuai dengan image mesin node pekerja dan bidang kontrol. Anda dapat memverifikasi bahwa VM menggunakan image OS yang memiliki VSA yang sesuai dan memverifikasi integritas booting setiap VM bidang kontrol.

  Untuk melakukan verifikasi integritas VM, lihat Memverifikasi integritas VM bidang kontrol GKE.

• Tindakan keamanan bidang kontrol bawaan: GKE melakukan berbagai tindakan hardening pada bidang kontrol terkelola. Untuk mempelajari lebih lanjut, lihat Keamanan bidang kontrol.

Langkah selanjutnya

• Menjalankan otoritas sertifikasi dan kunci penandatanganan Anda sendiri di GKE
• Mengenkripsi data dalam penyimpanan di kontrol plane GKE dengan kunci Anda
• Memverifikasi integritas VM bidang kontrol GKE
• Memverifikasi penerbitan dan penggunaan kredensial di cluster GKE
• Memverifikasi koneksi oleh personel Google di bidang kontrol cluster