En este documento, se describe cómo configurar Knative serving y sus principales componentes según las prácticas recomendadas de seguridad.
Protege Knative serving
Knative serving se basa en el proyecto de código abierto Knative y hereda su postura de seguridad.
Las cargas de trabajo que se ejecutan en Knative serving comparten los mismos nodos de red y de procesamiento. Debes crear clústeres independientes para las cargas de trabajo que no tengan confianza mutua. Los clústeres de Knative serving no deben ejecutar cargas de trabajo no relacionadas, como la infraestructura o las bases de datos de CI/CD.
Entre los motivos para crear varios clústeres para cargas de trabajo de Knative serving, se incluyen los siguientes:
- Separación del entorno de desarrollo del de producción.
- Aislar aplicaciones que pertenecen a diferentes equipos.
- Aislar cargas de trabajo con muchos privilegios.
Una vez que hayas diseñado tus clústeres, sigue estas acciones para protegerlos:
- Restringe el acceso a tu clúster.
- Comprende el modelo de amenazas de Knative.
- Lee la referencia de seguridad de Knative si planeas usar herramientas con asistencia de la comunidad.
Protege los componentes
Eres responsable de proteger los componentes que no son parte de Knative serving.
Cloud Service Mesh
Knative serving se basa en Cloud Service Mesh para enrutar el tráfico.
Usa las siguientes guías para proteger Cloud Service Mesh:
- Descripción general y funciones de seguridad de Cloud Service Mesh
- Prácticas recomendadas de seguridad de Cloud Service Mesh.
Google Kubernetes Engine
Knative serving usa Google Kubernetes Engine (GKE) para programar cargas de trabajo. Realiza las siguientes acciones para proteger tus clústeres:
- Sigue el instructivo de seguridad de GKE Enterprise.
- Comprende el modelo de multialojamiento de Google Kubernetes Engine.
- Sigue la guía de endurecimiento de clústeres de Google Kubernetes Engine.
- Comprende el modelo de responsabilidad compartida de Google Kubernetes Engine.
Vulnerabilidades conocidas
Debes suscribirte a los boletines de seguridad de las dependencias de Knative serving a fin de poder mantenerte al día con las vulnerabilidades conocidas: