Cette documentation concerne la version la plus récente de Knative serving, qui utilise les parcs et Anthos Service Mesh. En savoir plus

L'ancienne version (Cloud Run for Anthos) a été archivée, mais la documentation reste disponible pour les utilisateurs existants.

Versions disponibles

Le plus récent
Archiver

Bonnes pratiques de sécurité dans Knative serving

Ce document explique comment configurer Knative serving et ses principaux composants en suivant les bonnes pratiques de sécurité.

Sécuriser Knative serving

Knative serving est basé sur le projet Open Source Knative et hérite de sa posture de sécurité.

Les charges de travail exécutées sur Knative serving partagent le même réseau et les mêmes nœuds de calcul. Vous devez créer des clusters distincts pour les charges de travail qui ne font pas l'objet d'une confiance mutuelle. Les clusters Knative serving ne doivent pas exécuter de charges de travail sans rapport, telles qu'une infrastructure CI/CD ou des bases de données.

Voici quelques raisons de créer plusieurs clusters pour les charges de travail Knative serving :

Séparer le développement des environnements de production
Isoler les applications appartenant à différentes équipes
Isoler les charges de travail à privilèges élevés

Une fois que vous avez conçu vos clusters, procédez comme suit pour les sécuriser :

Sécuriser les composants

Vous êtes responsable de la sécurité des composants qui ne font pas partie de Knative Serving.

Cloud Service Mesh

Knative serving s'appuie sur Cloud Service Mesh pour acheminer le trafic.

Utilisez les guides suivants pour sécuriser Cloud Service Mesh :

Google Kubernetes Engine

Knative serving utilise Google Kubernetes Engine (GKE) pour planifier des charges de travail. Pour sécuriser vos clusters, procédez comme suit :

Failles connues

Vous devez vous abonner aux bulletins de sécurité des dépendances de Knative serving pour vous tenir informé des failles connues :