Informazioni sull'autorità del control plane GKE

---

Questa pagina descrive le opzioni offerte da Google Kubernetes Engine (GKE) per migliorare la visibilità e il controllo sulla sicurezza del piano di controllo gestito. Queste opzioni sono collettivamente denominate autorità del piano di controllo GKE. Questa pagina è destinata a fornire informazioni responsabili della sicurezza, amministratori della conformità e analisti che desiderano rigide esigenze di privacy e sicurezza per la gestione dei dati sensibili.

Informazioni sulle funzionalità delle autorità del piano di controllo GKE

In GKE, Google Cloud gestisce completamente la configurazione della sicurezza dal piano di controllo, inclusa la crittografia dell'archiviazione at-rest, e configurando le chiavi e le autorità di certificazione (CA) che firmano e verificano le credenziali nei tuoi cluster. I nodi del piano di controllo per i cluster GKE esistono nei progetti gestiti da Google Cloud. Per maggiori dettagli su cosa fa Google Cloud, vedi Responsabilità condivisa di GKE.

L'autorità del piano di controllo GKE è un insieme facoltativo di visibilità e di controllo che consentono di verificare e gestire aspetti specifici di questi di nodi del piano di controllo completamente gestiti. Queste funzionalità sono ideali se come i seguenti:

• Operi in un settore altamente regolamentato come finanza, sanità o governo con requisiti di conformità specifici
• Gestisci dati sensibili con requisiti rigorosi di sicurezza e crittografia
• Vuoi una visibilità migliorata su GKE per migliorare sicurezza durante l'esecuzione di carichi di lavoro critici
• Devi soddisfare requisiti specifici di conformità o auditing relativi alla crittografia dei dati, all'integrità del software o al logging
• Hai carichi di lavoro altamente sensibili che elaborano dati critici e vuoi avere visibilità sulla crittografia e sull'accesso a questi dati
• Vuoi applicare criteri di sicurezza personalizzati che soddisfino requisiti normativi o organizzativi specifici
• Vuoi un livello più elevato di trasparenza e visibilità nei tuoi ambienti GKE, in particolare in relazione alle azioni intraprese da Google Cloud nel piano di controllo

Vantaggi dell'autorità del piano di controllo GKE

Le funzionalità dell'autorità del piano di controllo GKE sono ideali in ambienti altamente regolamentati ambienti con criteri di sicurezza o requisiti di controllo rigorosi. L'utilizzo di queste funzionalità garantisce vantaggi come i seguenti:

• Visibilità e controllo avanzati: usufruisci di funzionalità di visibilità, controllo e controllo aggiuntivi per il piano di controllo GKE.
• Mitigazione dei rischi: rileva e rispondi in modo proattivo alle potenziali minacce al control plane gestito con log completi.
• Gestione standardizzata di CA e chiavi: gestisci le CA del cluster GKE utilizzando il servizio Certificate Authority, in modo da delegare la gestione dei certificati a team specifici e applicare in modo completo i criteri CA. Inoltre, gestisci il piano di controllo chiavi di crittografia del disco mediante Cloud KMS per una gestione simile delega.

Gestione di chiavi e credenziali

Per impostazione predefinita, Google Cloud gestisce le chiavi e le CA cluster GKE per te. Se vuoi, puoi utilizzare Cloud KMS e Servizio CA per configurare le tue chiavi e CA, che potrai utilizzare durante la creazione di un nuovo cluster.

GKE utilizza queste chiavi e CA anziché la versione di Google Cloud per impostazione predefinita emette e verifica le identità nel cluster e cripta i dati alle VM del piano di controllo. Mantenere il controllo sull'emissione dell'identità e sulle chiavi di crittografia dei dati può aiutarti a svolgere le seguenti operazioni:

• Rispettare le normative sulla sovranità dei dati e sulla privacy che impongono l'esclusiva controllo sulle chiavi
• Controlla la crittografia dei dati sensibili critici in Kubernetes tramite la gestione delle tue chiavi di crittografia
• Personalizza la strategia di crittografia dei dati in base alle criteri e requisiti, ad esempio quelli per l'uso di chiavi basate su hardware.

CA autogestite e chiavi degli account di servizio

Puoi configurare il piano di controllo GKE per utilizzare Chiavi Cloud KMS e CA del servizio CA che gestisci. GKE utilizza queste risorse per emettere e verificare le identità in un cluster Kubernetes. Ad esempio, GKE utilizza CA e chiavi per emettere Certificati client Kubernetes e Token di connessione degli account di servizio Kubernetes.

Crea le seguenti risorse da utilizzare da parte di GKE per emettere le identità:

1. Chiavi di firma dell'account di servizio: firma i token di accesso dell'account di servizio Kubernetes per gli account di servizio nel cluster. Questi token di accesso sono token web JSON (JWT) che facilitano la comunicazione del pod con l'API server Kubernetes.
2. Chiavi di verifica dell'account di servizio: verificare l'account di servizio Kubernetes JWT. Questa chiave è normalmente uguale alla chiave di firma, ma è configurata separatamente per consentirti di ruotare le chiavi in modo più sicuro.
3. CA cluster: emetti certificati firmati per come richieste di firma di certificati (CSR) e comunicazioni kubelet.
4. CA peer etcd: emette certificati firmati per la comunicazione tra le istanze etcd nel cluster.
5. CA API etcd: emette certificati firmati per la comunicazione con il server API etcd.
6. CA di aggregazione: emetti certificati firmati per l'attivazione la comunicazione tra il server API Kubernetes e i server delle estensioni.

Quando GKE emette identità nel cluster, vengono visualizzati gli audit log corrispondenti in Cloud Logging, che puoi utilizzare per monitorare le identità emesse per tutta la loro durata.

Per scoprire di più, consulta Eseguire le tue autorità di certificazione e le tue chiavi di firma in GKE.

Crittografia del disco di avvio e di etcd del control plane

Per impostazione predefinita, GKE cripta il disco di avvio di una VM del piano di controllo il disco che archivia i dati in etcd e l'interfaccia utente interna di Google Cloud backup operativo di etcd utilizzando chiavi di crittografia che Google Cloud gestisce il traffico. Per informazioni dettagliate su questa crittografia predefinita, consulta Crittografia at-rest predefinita.

Facoltativamente, puoi utilizzare le chiavi di crittografia che gestisci utilizzando Cloud KMS per criptare le seguenti risorse:

• Disco di avvio del piano di controllo: il disco Compute Engine utilizzato da ogni VM del piano di controllo per l'avvio.
• Disco etcd: il disco Compute Engine collegato a ogni VM del piano di controllo e che archivia i dati per le istanze etcd nel cluster.

• Backup operativo interno di etcd: il backup interno di Google Cloud di etcd utilizzato per scopi operativi come il ripristino di emergenza.

  Questo backup è una misura di emergenza interna a Google Cloud. Se vuoi eseguire il backup e il ripristino dei cluster, usa backup per GKE .

Per le istruzioni, consulta Eseguire la crittografia dei dischi di avvio di etcd e del control plane.

Questa crittografia aggiuntiva facoltativa è ideale se devi soddisfare specifiche a requisiti normativi o di conformità relativi al controllo dei mezzi di la crittografia nel piano di controllo del cluster. Puoi usare separatamente le tue chiavi per criptare i dischi di avvio e i dischi di archiviazione dei nodi worker nel cluster. Per maggiori dettagli, consulta Utilizzare le chiavi di crittografia gestite dal cliente (CMEK).

Quando utilizzi l'autorità del piano di controllo GKE per criptarlo i dischi di avvio, le VM del piano di controllo GKE usano automaticamente Modalità riservata per Hyperdisk bilanciato nei dischi di avvio. Questa configurazione non modifica l'avvio predefinito dei tuoi nodi worker.

Risorse aggiuntive sulla sicurezza del piano di controllo

Questa sezione descrive altri metodi che puoi utilizzare per aumentare la tua sicurezza nella sicurezza del piano di controllo. Non è necessario utilizzare Autorità del piano di controllo GKE per utilizzare le seguenti risorse:

• Integrità dell'immagine VM del piano di controllo: GKE aggiunge log dettagliati per gli eventi di creazione e avvio delle VM del nodo in Cloud Logging. Inoltre, ti pubblica su GitHub VSA SLSA corrispondenti al piano di controllo e al nodo worker e immagini macchina. Puoi verificare che le VM utilizzino immagini del sistema operativo VSA corrispondenti e verificare l'integrità in fase di avvio di ciascuna VM del piano di controllo.

  Per eseguire la verifica dell'integrità della VM, consulta Verificare l'integrità della VM del control plane GKE.

• Misure di sicurezza integrate del piano di controllo: GKE esegue varie misure di protezione avanzata sul piano di controllo gestito. Per scoprire di più, consulta Sicurezza del piano di controllo.

Passaggi successivi

• Esegui le tue autorità di certificazione e le tue chiavi di firma in GKE
• Cripta i dati at-rest del piano di controllo GKE con le tue chiavi
• Verifica l'integrità della VM del piano di controllo GKE