Prácticas recomendadas de seguridad en Knative serving

En este documento, se describe cómo configurar Knative serving y sus principales componentes según las prácticas recomendadas de seguridad.

Protege Knative serving

Knative serving se basa en el proyecto de código abierto Knative y hereda su postura de seguridad.

Las cargas de trabajo que se ejecutan en Knative serving comparten los mismos nodos de red y de procesamiento. Debes crear clústeres independientes para las cargas de trabajo que no tengan confianza mutua. Los clústeres de Knative serving no deben ejecutar cargas de trabajo no relacionadas, como la infraestructura o las bases de datos de CI/CD.

Entre los motivos para crear varios clústeres para cargas de trabajo de Knative serving, se incluyen los siguientes:

  • Separación del entorno de desarrollo del de producción.
  • Aislar aplicaciones que pertenecen a diferentes equipos.
  • Aislar cargas de trabajo con muchos privilegios.

Una vez que hayas diseñado tus clústeres, sigue estas acciones para protegerlos:

Protege los componentes

Eres responsable de proteger los componentes que no son parte de Knative serving.

Cloud Service Mesh

Knative serving se basa en Cloud Service Mesh para enrutar el tráfico.

Usa las siguientes guías para proteger Cloud Service Mesh:

Google Kubernetes Engine

Knative serving usa Google Kubernetes Engine (GKE) para programar cargas de trabajo. Realiza las siguientes acciones para proteger tus clústeres:

Vulnerabilidades conocidas

Debes suscribirte a los boletines de seguridad de las dependencias de Knative serving a fin de poder mantenerte al día con las vulnerabilidades conocidas: