Práticas recomendadas de segurança no Knative serving

Este documento descreve como configurar a veiculação do Knative serving e os principais componentes dele seguindo as práticas recomendadas de segurança.

Como proteger o Knative serving

O Knative serving é baseado no projeto de código aberto Knative e herda a postura de segurança dele.

As cargas de trabalho em execução no Knative serving compartilham a mesma rede e nós de computação. Crie clusters separados para cargas de trabalho que não têm confiança mútua. Os clusters do Knative serving não podem executar cargas de trabalho não relacionadas, como bancos de dados ou infraestrutura de CI/CD.

Os motivos para criar vários clusters para cargas de trabalho do Knative serving incluem:

  • separar o desenvolvimento de ambientes de produção;
  • isolar aplicativos que pertencem a diferentes equipes;
  • isolar cargas de trabalho altamente privilegiadas.

Depois de projetar seus clusters, realize as seguintes ações para protegê-los:

Como proteger componentes

Você é responsável por proteger componentes que não fazem parte do Knative serving.

Cloud Service Mesh

O Knative serving depende do Cloud Service Mesh para rotear o tráfego.

Use os guias a seguir para ajudar a proteger o Cloud Service Mesh:

Google Kubernetes Engine

O Knative serving usa o Google Kubernetes Engine (GKE) para programar cargas de trabalho. Realize as ações a seguir para ajudar a proteger seus clusters:

Vulnerabilidades conhecidas

Você deve se inscrever nos boletins de segurança sobre dependências do Knative serving para que você se mantenha atualizado sobre as vulnerabilidades conhecidas: