Knative serving におけるセキュリティに関するベスト プラクティス

このドキュメントでは、Knative serving とその主要コンポーネントをセキュリティのベスト プラクティスに従って構成する方法について説明します。

Knative serving の保護

Knative serving はオープンソースの Knative プロジェクトに基づいており、そのセキュリティ ポスチャーを継承しています。

Knative serving で実行されるワークロードは、同じネットワークとコンピューティング ノードを共有します。相互信頼のないワークロード用に、別のクラスタを作成してください。Knative serving クラスタで、無関係なワークロード（たとえば CI / CD インフラストラクチャやデータベース）を実行しないでください。

Knative serving ワークロード用に複数のクラスタを作成する理由は次のとおりです。

• 開発環境と本番環境を分離する。
• 所有するチームが異なるアプリケーションを分離する。
• 高い特権を必要とするワークロードを分離する。

クラスタの設計が完了したら、その保護のために次のことを行います。

• クラスタへのアクセスを制限する。
• Knative の脅威モデルを理解する。
• Knative のセキュリティ リファレンスを読む（コミュニティでサポートされているツールを使用する予定の場合）。

コンポーネントの保護

Knative serving の一部ではないコンポーネントの保護は、お客様の責任です。

Cloud Service Mesh

Knative serving では、トラフィックのルーティングに Cloud Service Mesh が必要です。

Cloud Service Mesh を保護するには、次のガイドを参考にしてください。

• Cloud Service Mesh のセキュリティの概要と機能。
• Cloud Service Mesh のセキュリティのベスト プラクティス。

Google Kubernetes Engine

Knative serving では、Google Kubernetes Engine（GKE）を使用してワークロードがスケジュールされます。クラスタを保護するには、次のことを行います。

• GKE Enterprise のセキュリティ チュートリアルに従う。
• Google Kubernetes Engine のマルチテナンシー モデルを理解する。
• Google Kubernetes Engine クラスタ強化ガイドに従う。
• Google Kubernetes Engine の共有責任モデルを理解する。

既知の脆弱性

Knative serving の依存関係のセキュリティに関する公開情報をフォローして、既知の脆弱性に関する最新情報を入手してください。

• Cloud Service Mesh のセキュリティに関する公開情報。
• GKE Enterprise のセキュリティに関する公開情報。