Knative serving におけるセキュリティに関するベスト プラクティス

このドキュメントでは、セキュリティのベスト プラクティスに従って Knative serving とその主要コンポーネントを構成する方法について説明します。

Knative serving の保護

Knative serving はオープンソースの Knative プロジェクトに基づいており、セキュリティ ポスチャーを継承しています。

Knative serving で実行されるワークロードは、同じネットワークとコンピューティング ノードを共有します。相互信頼のないワークロードには、個別のクラスタを作成する必要があります。Knative serving クラスタでは、CI / CD インフラストラクチャやデータベースなどの無関係なワークロードを実行しないでください。

Knative serving ワークロードに複数のクラスタを作成する理由は次のとおりです。

• 開発環境と本番環境を分離する。
• 異なるチームが所有するアプリケーションを分離する。
• 高い権限を持つワークロードを分離する。

クラスタを設計したら、次の操作を行って保護します。

• クラスタへのアクセスを制限する。
• Knative の脅威モデルを理解する。
• コミュニティでサポートされているツールを使用する場合は、Knative のセキュリティ リファレンスをご覧ください。

コンポーネントの保護

Knative serving ではないコンポーネントを保護するのは、お客様の責任です。

Cloud Service Mesh

Knative serving は、トラフィックのルーティングに Cloud Service Mesh を使用します。

次のガイドを参照して、Cloud Service Mesh を保護します。

• Cloud Service Mesh のセキュリティの概要と機能。
• Cloud Service Mesh のセキュリティのベスト プラクティス。

Google Kubernetes Engine

Knative serving は、Google Kubernetes Engine（GKE）を使用してワークロードをスケジュールします。クラスタを保護するには、次のことを行います。

• GKE Enterprise のセキュリティ チュートリアルに従う。
• Google Kubernetes Engine のマルチテナンシー モデルを理解する。
• Google Kubernetes Engine クラスタ強化ガイドに従う。
• Google Kubernetes Engine の共有責任モデルを理解する。

既知の脆弱性

Knative serving の依存関係のセキュリティに関する公開情報に登録して、既知の脆弱性に関する最新情報を入手してください。

• Cloud Service Mesh のセキュリティに関する公開情報。
• GKE Enterprise のセキュリティに関する公開情報。