Prácticas recomendadas de seguridad en el servicio de Knative

En este documento se describe cómo configurar Knative Serving y sus principales componentes siguiendo las prácticas recomendadas de seguridad.

Proteger el servicio de Knative

Knative Serving se basa en el proyecto de código abierto Knative y hereda su postura de seguridad.

Las cargas de trabajo que se ejecutan en Knative Serving comparten la misma red y los mismos nodos de computación. Deberías crear clústeres independientes para las cargas de trabajo que no tengan confianza mutua. Los clústeres de servicio de Knative no deben ejecutar cargas de trabajo no relacionadas, como infraestructura de CI/CD o bases de datos.

Entre los motivos para crear varios clústeres para las cargas de trabajo de Knative Serving se incluyen los siguientes:

  • Separar los entornos de desarrollo de los de producción.
  • Aislar las aplicaciones propiedad de diferentes equipos.
  • Aislamiento de cargas de trabajo con privilegios elevados.

Una vez que hayas diseñado tus clústeres, haz lo siguiente para protegerlos:

Proteger componentes

Eres responsable de proteger los componentes que no forman parte de Knative Serving.

Cloud Service Mesh

Knative Serving se basa en Cloud Service Mesh para enrutar el tráfico.

Consulta las siguientes guías para proteger Cloud Service Mesh:

Google Kubernetes Engine

Knative Serving usa Google Kubernetes Engine (GKE) para programar cargas de trabajo. Sigue estos pasos para proteger tus clústeres:

Vulnerabilidades conocidas

Debes suscribirte a los boletines de seguridad de las dependencias de Knative Serving para estar al día de las vulnerabilidades conocidas: