Dokumen ini menjelaskan cara mengonfigurasi penayangan Knative dan komponen utamanya dengan mengikuti praktik terbaik keamanan.
Mengamankan penyaluran Knative
Penyajian Knative didasarkan pada project Knative open source, dan mewarisi postur keamanannya.
Workload yang berjalan pada penayangan Knative memiliki node komputasi dan jaringan yang sama. Anda harus membuat cluster terpisah untuk workload yang tidak memiliki kepercayaan bersama. Cluster layanan Knative tidak boleh menjalankan workload yang tidak terkait, seperti infrastruktur atau database CI/CD.
Alasan membuat beberapa cluster untuk beban kerja inferensi Knative meliputi:
- Memisahkan pengembangan dari lingkungan produksi.
- Mengisolasi aplikasi yang dimiliki oleh tim yang berbeda.
- Mengisolasi workload dengan hak istimewa tinggi.
Setelah mendesain cluster, lakukan tindakan berikut untuk membantu mengamankannya:
- Batasi akses ke cluster Anda.
- Pahami model ancaman Knative.
- Baca referensi keamanan Knative jika Anda berencana menggunakan alat yang didukung komunitas.
Mengamankan komponen
Anda bertanggung jawab untuk mengamankan komponen yang bukan bagian dari penayangan Knative.
Mesh Layanan Cloud
Penayangan Knative bergantung pada Cloud Service Mesh untuk merutekan traffic.
Gunakan panduan berikut untuk membantu Anda mengamankan Cloud Service Mesh:
Google Kubernetes Engine
Inferensi Knative menggunakan Google Kubernetes Engine (GKE) untuk menjadwalkan beban kerja. Lakukan tindakan berikut untuk membantu mengamankan cluster Anda:
- Ikuti tutorial keamanan GKE Enterprise.
- Memahami model multi-tenancy Google Kubernetes Engine.
- Ikuti panduan hardening cluster Google Kubernetes Engine.
- Memahami model tanggung jawab bersama Google Kubernetes Engine.
Kerentanan yang diketahui
Anda harus berlangganan buletin keamanan untuk dependensi penayangan Knative sehingga Anda dapat terus mengetahui kerentanan yang diketahui: