Usa nodos de GKE protegidos

En esta página, se muestra cómo usar la función de nodos de GKE protegidos. Los nodos de GKE protegidos proporcionan una identidad y una integridad de nodo sólidas y verificables para aumentar la seguridad de los nodos de Google Kubernetes Engine (GKE).

Acerca de los nodos de GKE protegidos

Los nodos de GKE protegidos se compilan en las VM protegidas de Compute Engine. Sin los nodos de GKE protegidos, un atacante puede aprovechar una vulnerabilidad en un pod para robar credenciales de arranque y cambiar la identidad de los nodos del clúster, lo que brinda a los atacantes acceso a secretos de clúster. Cuando los nodos de GKE protegidos están habilitados, el plano de control de GKE verifica de manera criptográfica que se cumpla lo siguiente:

  • Cada nodo del clúster es una máquina virtual que se ejecuta en el centro de datos de Google.
  • Cada nodo es parte del grupo de instancias administrado (MIG) que se aprovisiona para el clúster.
  • Kubelet recibe un certificado para el nodo en el que se está ejecutando.

Esto limita la capacidad de un atacante de robar la identidad de un nodo del clúster, incluso si puede robar credenciales de arranque del nodo.

De manera opcional, puedes configurar verificaciones de integridad de nodos en grupos de nodos a fin de proporcionar protección mejorada ante rootkit y bootkit para tus nodos. Esta configuración del grupo de nodos es independiente de los nodos de GKE protegidos y funcionará incluso si los nodos de GKE protegidos están inhabilitados en el clúster.

Para obtener más información, consulta la documentación de VM protegida.

No hay costo adicional por ejecutar los nodos de GKE protegidos. Sin embargo, los nodos de GKE protegidos generan alrededor de 0.5 KB más de registros durante el inicio que los nodos estándar. Consulta la página de precios de Cloud Logging para obtener más detalles.

Disponibilidad

  • Los nodos de GKE protegidos están disponibles en GKE versión 1.13.6-gke.0 y posteriores.
  • Los nodos de GKE protegidos están disponibles en todas las zonas y regiones.
  • Los nodos de GKE protegidos se pueden usar con todas las imágenes de nodo.
  • Los nodos de GKE protegidos se pueden usar con GPU.

Antes de comenzar

Antes de comenzar, asegúrate de haber realizado las siguientes tareas:

  • Habilita la API de Kubernetes Engine de Google.
    • Habilitar la API de Kubernetes Engine de Google
  • Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta gcloud components update para obtener la versión más reciente.

Habilita nodos de GKE protegidos en un clúster nuevo

Puedes crear un clúster nuevo con nodos de GKE protegidos habilitados mediante la CLI de gcloud o la consola de Google Cloud.

gcloud

Cuando creas un clúster nuevo, especifica la opción --enable-shielded-nodes:

gcloud container clusters create CLUSTER_NAME \
    --enable-shielded-nodes

Console

  1. Ve a la página de Google Kubernetes Engine en la consola de Google Cloud.

    Ir a Google Kubernetes Engine

  2. Haz clic en Crear.

  3. En el panel de navegación, en Clúster, haz clic en Seguridad.

  4. Selecciona la casilla de verificación Habilitar nodos de GKE protegidos.

  5. Configura tu clúster como desees.

  6. Haga clic en Crear.

Consulta Crea un clúster para obtener más detalles sobre la creación de clústeres

Habilita nodos de GKE protegidos en un clúster existente

Puedes habilitar los nodos de GKE protegidos en un clúster existente mediante la CLI de Google Cloud o la consola de Google Cloud.

Después de que habilitas los nodos de GKE protegidos, el plano de control y los nodos se vuelven a crear como VM protegidas. El plano de control no está disponible mientras se vuelve a crear. Los nodos del clúster se recrean de forma continua para minimizar el tiempo de inactividad.

gcloud

Cuando actualices el clúster, especifica la opción --enable-shielded-nodes:

gcloud container clusters update CLUSTER_NAME \
    --enable-shielded-nodes

Console

  1. Ve a la página de Google Kubernetes Engine en la consola de Google Cloud.

    Ir a Google Kubernetes Engine

  2. Haz clic en el nombre del clúster que deseas modificar.

  3. En Seguridad, en el campo Nodos de GKE protegidos, haz clic en Editar nodos de GKE protegidos.

  4. Selecciona la casilla de verificación Habilitar nodos de GKE protegidos.

  5. Haz clic en Save Changes.

Verifica que los nodos de GKE protegidos estén habilitados

Debes verificar que tu clúster use nodos de GKE protegidos mediante la CLI de Google Cloud o la consola de Google Cloud.

gcloud

Describe el clúster:

gcloud container clusters describe CLUSTER_NAME

Si los nodos de GKE protegidos están habilitados, el resultado del comando incluirá las siguientes líneas:

shieldedNodes:
  enabled: true

Console

Para verificar que un clúster use nodos de GKE protegidos, sigue estos pasos:

  1. Ve a la página de Google Kubernetes Engine en la consola de Google Cloud:

    Ir a Google Kubernetes Engine

  2. Haz clic en el nombre del clúster que deseas inspeccionar.

  3. En Seguridad, en el campo Nodos de GKE protegidos, verifica que los nodos de GKE protegidos estén habilitados.

También puedes supervisar la integridad de las VM protegidas subyacentes de tus nodos. Consulta la página sobre cómo supervisar la integridad de instancias de VM protegidas para realizar el procedimiento.

Inhabilita los nodos de GKE protegidos

Puedes inhabilitar los nodos de GKE protegidos mediante la CLI de Google Cloud o la consola de Google Cloud.

gcloud

Cuando actualices el clúster, especifica la opción --no-enable-shielded-nodes:

gcloud container clusters update CLUSTER_NAME \
    --no-enable-shielded-nodes

Console

  1. Ve a la página de Google Kubernetes Engine en la consola de Google Cloud.

    Ir a Google Kubernetes Engine

  2. Haz clic en el nombre del clúster que deseas modificar.

  3. En Seguridad, en el campo Nodos de GKE protegidos, haz clic en Editar nodos de GKE protegidos.

  4. Desmarca la casilla de verificación Habilitar nodos de GKE protegidos.

  5. Haz clic en Save Changes.

Después de que inhabilitas los nodos de GKE protegidos, el plano de control y los nodos se vuelven a crear como VM normales no protegidas. El plano de control no está disponible mientras se vuelve a crear. Los nodos del clúster se vuelven a crear de forma progresiva para minimizar el tiempo de inactividad.

Integridad del nodo

El inicio seguro y la supervisión de integridad son opciones de configuración de grupos de nodos que se pueden usar junto con los nodos de GKE protegidos. Los nodos de GKE protegidos, el inicio seguro y la supervisión de integridad son características independientes que se pueden habilitar o inhabilitar por separado.

Inicio seguro

El inicio seguro es una configuración del grupo de nodos que está inhabilitada de forma predeterminada en GKE porque los módulos de kernel sin firma de terceros no se pueden cargar cuando está habilitado.

Si no usas módulos de kernel de terceros sin firma, puedes habilitar el inicio seguro mediante la CLI de Google Cloud o la consola de Google Cloud.

gcloud

Para habilitar el inicio seguro cuando crees un clúster, haz lo siguiente:

gcloud container clusters create CLUSTER_NAME \
    --shielded-secure-boot

Para habilitar el inicio seguro cuando crees un grupo de nodos, haz lo siguiente:

gcloud container node-pools create POOL_NAME \
    --shielded-secure-boot

El inicio seguro está inhabilitado de forma predeterminada. Puedes inhabilitarlo de manera explícita cuando crees un clúster o un grupo de nodos con la opción --no-shielded-secure-boot.

Console

Para habilitar el inicio seguro cuando crees un grupo de nodos, haz lo siguiente:

  1. Ve a la página de Google Kubernetes Engine en la consola de Google Cloud:

    Ir a Google Kubernetes Engine

  2. Haz clic en el nombre del clúster que deseas modificar.

  3. Haz clic en Agregar grupo de nodos.

  4. En el menú de navegación, haz clic en Seguridad.

  5. En Opciones protegidas, selecciona la casilla de verificación Habilitar inicio seguro.

  6. Haga clic en Crear.

Supervisión de integridad

La supervisión de integridad es una configuración del grupo de nodos que está habilitada de forma predeterminada en GKE. Puedes inhabilitar la supervisión de integridad mediante Google Cloud CLI o la consola de Google Cloud.

gcloud

Para inhabilitar la supervisión de integridad de los componentes del sistema cuando crees un clúster, haz lo siguiente:

gcloud container clusters create CLUSTER_NAME \
    --no-shielded-integrity-monitoring

Para inhabilitar la supervisión de integridad de los componentes del sistema cuando crees un grupo de nodos, haz lo siguiente:

gcloud container node-pools create POOL_NAME \
    --no-shielded-integrity-monitoring

La supervisión de la integridad está habilitada de forma predeterminada. Puedes habilitarla de forma explícita cuando crees un clúster o grupo de nodos con la opción --shielded-integrity-monitoring.

Console

Para inhabilitar la supervisión de integridad cuando crees un grupo de nodos, haz lo siguiente:

  1. Ve a la página de Google Kubernetes Engine en la consola de Google Cloud:

    Ir a Google Kubernetes Engine

  2. Haz clic en el nombre del clúster que deseas modificar.

  3. Haz clic en Agregar grupo de nodos.

  4. En el panel de navegación, haz clic en Seguridad.

  5. En Opciones protegidas, desmarca la casilla de verificación Habilitar supervisión de integridad.

¿Qué sigue?