Práticas recomendadas de segurança na publicação do Knative

Este documento descreve como configurar o serviço Knative e os respetivos principais componentes de acordo com as práticas recomendadas de segurança.

Proteger a publicação do Knative

O Knative serving baseia-se no projeto de código aberto Knative e herda a respetiva postura de segurança.

As cargas de trabalho executadas no Knative serving partilham a mesma rede e nós de computação. Deve criar clusters separados para cargas de trabalho que não tenham confiança mútua. Os clusters de serviço do Knative não devem executar cargas de trabalho não relacionadas, como infraestrutura de CI/CD ou bases de dados.

Os motivos para criar vários clusters para cargas de trabalho de serviço do Knative incluem:

  • Separar os ambientes de desenvolvimento dos ambientes de produção.
  • Isolar aplicações pertencentes a equipas diferentes.
  • Isolar cargas de trabalho com privilégios elevados.

Depois de criar os seus clusters, tome as seguintes medidas para ajudar a protegê-los:

Fixação de componentes

É responsável por proteger os componentes que não fazem parte do Knative Serving.

Cloud Service Mesh

O Knative serving baseia-se no Cloud Service Mesh para encaminhar o tráfego.

Use os seguintes guias para ajudar a proteger o Cloud Service Mesh:

Google Kubernetes Engine

O Knative Serving usa o Google Kubernetes Engine (GKE) para agendar cargas de trabalho. Tome as seguintes medidas para ajudar a proteger os seus clusters:

Vulnerabilidades conhecidas

Deve subscrever os boletins de segurança para dependências do Knative Serving para se manter a par das vulnerabilidades conhecidas: