Este documento descreve como configurar a veiculação do Knative serving e os principais componentes dele seguindo as práticas recomendadas de segurança.
Como proteger o Knative serving
O Knative serving é baseado no projeto de código aberto Knative e herda a postura de segurança dele.
As cargas de trabalho em execução no Knative serving compartilham a mesma rede e nós de computação. Crie clusters separados para cargas de trabalho que não têm confiança mútua. Os clusters do Knative serving não podem executar cargas de trabalho não relacionadas, como bancos de dados ou infraestrutura de CI/CD.
Os motivos para criar vários clusters para cargas de trabalho do Knative serving incluem:
- separar o desenvolvimento de ambientes de produção;
- isolar aplicativos que pertencem a diferentes equipes;
- isolar cargas de trabalho altamente privilegiadas.
Depois de projetar seus clusters, realize as seguintes ações para protegê-los:
- Restrinja o acesso ao cluster.
- Entenda o modelo de ameaça do Knative.
- Leia a referência de segurança do Knative se quiser usar ferramentas de suporte da comunidade.
Como proteger componentes
Você é responsável por proteger componentes que não fazem parte do Knative serving.
Cloud Service Mesh
O Knative serving depende do Cloud Service Mesh para rotear o tráfego.
Use os guias a seguir para ajudar a proteger o Cloud Service Mesh:
- Visão geral e recursos de segurança do Cloud Service Mesh.
- Práticas recomendadas de segurança do Cloud Service Mesh.
Google Kubernetes Engine
O Knative serving usa o Google Kubernetes Engine (GKE) para programar cargas de trabalho. Realize as ações a seguir para ajudar a proteger seus clusters:
- Siga o tutorial de segurança do GKE Enterprise.
- Entenda o modelo de multilocação do Google Kubernetes Engine.
- Siga o guia de aumento da proteção do cluster do Google Kubernetes Engine.
- Entenda o modelo de responsabilidade compartilhada do Google Kubernetes Engine.
Vulnerabilidades conhecidas
Você deve se inscrever nos boletins de segurança sobre dependências do Knative serving para que você se mantenha atualizado sobre as vulnerabilidades conhecidas: