Best practice per la sicurezza in Knative serving

Questo documento descrive come configurare il servizio Knative e i relativi componenti principali seguendo le best practice di sicurezza.

Protezione di Knative serving

Knative serving si basa sul progetto open source Knative e ne eredita la postura di sicurezza.

I carichi di lavoro in esecuzione su Knative Serving condividono la stessa rete e gli stessi nodi di calcolo. Devi creare cluster separati per i carichi di lavoro che non dispongono della fiducia reciproca. I cluster di servizi Knative non devono eseguire workload non correlati come l'infrastruttura o i database CI/CD.

Ecco alcuni motivi per cui creare più cluster per i carichi di lavoro di Knative serving:

  • Separazione degli ambienti di sviluppo da quelli di produzione.
  • Isolamento delle applicazioni di proprietà di team diversi.
  • Isolamento dei carichi di lavoro con privilegi elevati.

Dopo aver progettato i cluster, svolgi le seguenti azioni per proteggerli:

Componenti di sicurezza

Sei responsabile della protezione dei componenti che non fanno parte di Knative serving.

Cloud Service Mesh

Knative serving si basa su Cloud Service Mesh per l'instradamento del traffico.

Utilizza le seguenti guide per proteggere Cloud Service Mesh:

Google Kubernetes Engine

Knative Serving utilizza Google Kubernetes Engine (GKE) per pianificare i carichi di lavoro. Per proteggere i tuoi cluster, svolgi le seguenti azioni:

Vulnerabilità note

Ti consigliamo di iscriverti ai bollettini sulla sicurezza per le dipendenze di Knative serving per rimanere al passo con le vulnerabilità note: