Best Practices für die GKE-Sicherheit

In diesem Dokument wird eine typische Google Kubernetes Engine-Architektur (GKE) in Google Cloudbeschrieben. Außerdem werden die Best Practices für die Sicherheit aufgeführt, die für GKE-Arbeitslasten gelten.

Architektur

Das folgende Diagramm zeigt die Google Cloud Dienste in einer typischen GKE-Bereitstellung.

Dieses Diagramm enthält Folgendes:

• GKE ist eine verwaltete Implementierung der Open-Source-Plattform zur Container orchestrierung Kubernetes, mit der Sie containerisierte Apps ausführen können. GKE-Cluster enthalten Ihre Anwendungspods und Policy Controller. Policy Controller hilft Ihnen, Richtlinien für Ihre Kubernetes-Cluster zu erzwingen.

• Artifact Registry optimiert die Entwicklung und Bereitstellung von Containern und Apps, verbessert die Zusammenarbeit und trägt dazu bei, die Sicherheit und Zuverlässigkeit Ihrer Apps zu verbessern.

• Cloud Audit Logs verfolgt die Aktionen, die Ihre Nutzer in Ihrer Umgebung ausführen. Dadurch werden Ihre Möglichkeiten zur Fehlerbehebung, Prüfung und Incident Response verbessert.

• Mit Cloud Billing-Dashboards und ‑Benachrichtigungen können Sie die Nutzung und Abrechnung von GKE-Arbeitslasten prüfen.

• Cloud Build ermöglicht Ihnen das Erstellen, Testen und Bereitstellen einer serverlosen CI/CD-Plattform auf Google Cloud.

• Cloud Identity vereinheitlicht Identität, Zugriff, Anwendung und Verwaltung für Google Cloud.

• Mit Cloud Key Management Service können Sie Verschlüsselungsschlüssel erstellen und verwalten.

• Mit Cloud Run Functions können Sie Aufgaben automatisieren, Jobs auslösen, in andere Dienste einbinden und ereignisgesteuerte Entwicklungspipelines erstellen.

• Cloud Service Mesh ermöglicht Kubernetes-Diensten die Kommunikation untereinander.

• Cloud Storage speichert die Daten, die für die Ausführung Ihrer Container und Apps erforderlich sind.

• Cloud DNS registriert, verwaltet und stellt Ihre Domain bereit.

• Identity and Access Management (IAM) steuert, wer bestimmte Aktionen für Ihre GKE-Arbeitslastressourcen ausführen kann, z. B. sie erstellen, bearbeiten oder löschen.

• Mit dem Organisationsrichtliniendienst können Sie Richtlinien in Ihrer gesamten Google Cloud Umgebung zentral verwalten und erzwingen. Organisationsrichtlinien tragen dazu bei, eine konsistente Konfiguration und die Einhaltung der Sicherheitsbestimmungen in allen Projekten und Ressourcen Ihrer Organisation zu gewährleisten.

• Pub/Sub ermöglicht eine effiziente Kommunikation und Automatisierung in Ihren Arbeitsabläufen.

• Resource Manager hilft Ihnen, die logischen Komponenten Ihrer GKE Arbeitslasten zu gruppieren und zu verwalten.

• Secret Manager hilft Ihnen, die sensiblen Daten und Anmeldedaten zu schützen, die in GKE-Projekten verwendet werden.

• Security Command Center hilft Ihnen, Ihre Cloud-Organisation, Ihre GKE-Arbeitslasten und die Daten zu schützen, die Sie in speichern Google Cloud. Security Command Center bietet Folgendes:

  • Zentrale Sicherheitsverwaltung
  • Bedrohungserkennung und Incident Response
  • Automatisierte Sicherheitsbewertungen
  • Compliance- und behördliches Berichtswesen
  • Sicherheitsempfehlungen und Best Practices

• Mit Virtual Private Cloud (VPC) können Sie Ihre GKE-Ressourcen in einer sicheren Umgebung vom Internet isolieren. Diese Netzwerkkonfiguration trägt dazu bei, sensible Daten und Arbeitslasten vor unbefugtem Zugriff und potenziellen Cyberangriffen zu schützen.

• Mit Cloud VPN oder Cloud Interconnect können Sie eine sichere Netzwerkverbindung zwischen Ihrer lokalen Infrastruktur und Ihrer GKE-Umgebung herstellen. Cloud VPN oder Cloud Interconnect ermöglicht eine nahtlose Daten übertragung und Kommunikation zwischen Ihrem privaten Netzwerk und Google Cloud Ihren Ressourcen. Diese Integration ist beispielsweise in Szenarien sinnvoll, in denen Sie auf lokale Daten für das Modelltraining zugreifen oder Modelle zur Inferenz in lokalen Ressourcen bereitstellen möchten.

Best Practices für GKE-Arbeitslasten

In diesem Abschnitt finden Sie Links zu den Best Practices für Arbeitslasten, die GKE verwenden.

• Empfohlene Nutzergruppen und IAM-Rollen

• Best Practices für eine sichere Unternehmensbasis

  • Best Practices für Authentifizierung und Autorisierung

    • Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren
    • Erstellung externer Dienstkontoschlüssel blockieren
    • Uploads von Dienstkontoschlüsseln blockieren
    • Aufgabentrennung für Administratoren von Organisationsrichtlinien konfigurieren
    • Bestätigung in zwei Schritten für Super Admin-Konten aktivieren
    • Bestätigung in zwei Schritten für die Organisationseinheit „Super Admin“ erzwingen
    • Eine exklusive E-Mail-Adresse für den primären Super Admin erstellen
    • Redundante Administratorkonten erstellen
    • Tags implementieren, um IAM- und Organisationsrichtlinien effizient zuzuweisen
    • Änderungen mit hohem Risiko an IAM prüfen
    • Zugriff auf Cloud Shell für verwaltete Cloud Identity-Nutzerkonten blockieren
    • Kontextsensitiven Zugriff für Google-Konsolen konfigurieren
    • Kontowiederherstellung für Super Admin-Konten blockieren
    • Nicht verwendete Google-Dienste deaktivieren

  • Best Practices für Organisationen

    • Unterstützte TLS-Versionen für Google APIs einschränken
    • Autorisierte Principals einschränken
    • Nutzung von Ressourcendiensten einschränken
    • Ressourcenstandorte einschränken

  • Best Practices für Netzwerke

    • Erstellung von Standardnetzwerken blockieren
    • DNS-Sicherheitserweiterungen aktivieren
    • Einschränkung des Dienstbereichs in Zugriffsrichtlinien von Access Context Manager aktivieren
    • APIs in Dienstperimetern von VPC Service Controls einschränken
    • Zonales DNS verwenden

  • Best Practices für Logging, Monitoring und Benachrichtigungen

    • Audit-Logs aus Cloud Identity freigeben
    • Audit-Logs verwenden
    • VPC-Flusslogs aktivieren
    • Firewallregel-Logging aktivieren
    • Audit-Logs zum Datenzugriff aktivieren
    • Prüfung der Administratoraktivität aktivieren
    • Sicherheitsbulletins abonnieren
    • Access Transparency-Logs aktivieren
    • Abrechnungsdaten für eine detaillierte Analyse exportieren

  • Best Practices für die Schlüssel- und Secret-Verwaltung

    • Ruhende Daten in verschlüsseln Google Cloud
    • Von NIST genehmigte Algorithmen für die Verschlüsselung und Entschlüsselung verwenden
    • Zweck für Cloud Key Management Service-Schlüssel festlegen
    • Sicherstellen, dass die CMEK-Einstellungen für sichere BigQuery-Data-Warehouses geeignet sind
    • Verschlüsselungsschlüssel alle 90 Tage rotieren
    • Automatische Secret-Rotation einrichten
    • Standort von kundenverwalteten Verschlüsselungsschlüsseln einschränken
    • CMEK für Google Cloud Dienste verwenden
    • Secrets automatisch replizieren

  • Best Practices für Sicherheitsstatus und Analysen

    • Security Command Center auf Organisationsebene aktivieren
    • Benachrichtigungen von Security Command Center konfigurieren

• Best Practices für die Infrastruktur

  • Best Practices für Compute

    • VM-Instanzen definieren, an denen die IP-Weiterleitung aktiviert werden kann
    • Verschachtelte Virtualisierung für VM deaktivieren
    • Externe IP-Adressen auf VMs einschränken
    • Zulässige externe IP-Adressen für VM-Instanzen definieren
    • VPC-Connector für Cloud Run Functions erforderlich

  • Best Practices für Container

    • Zugriff auf die Steuerungsebene einschränken
    • Firewallregeln mit geringsten Berechtigungen verwenden
    • Google Groups für RBAC verwenden
    • Shielded GKE-Knoten aktivieren
    • Container-Optimized OS mit containerd-Laufzeit verwenden
    • Workload Identity Federation for GKE verwenden
    • GKE Sandbox aktivieren
    • Schreibgeschützten Port für Kubelet deaktivieren
    • Mit Namespaces und RBAC den Zugriff auf Clusterressourcen einschränken
    • Traffic zwischen Pods einschränken
    • Mithilfe von Zugangs-Controllern Richtlinien durchsetzen
    • Möglichkeit einschränken, dass sich Arbeitslasten selbst ändern
    • Clusterkonfigurationen überwachen
    • Binärautorisierung erzwingen

• Best Practices für das Datenmanagement

  • Best Practices für die Speicherung

    • Öffentlichen Zugriff auf Cloud Storage-Buckets blockieren
    • Einheitlichen Zugriff auf Bucket-Ebene verwenden
    • HMAC-Schlüssel für Dienstkonten schützen
    • Aufzählung von Cloud Storage-Buckets durch Dienstkonten erkennen
    • Sicherstellen, dass die Aufbewahrungsrichtlinie für Cloud Storage-Bucket die Bucket-Sperre verwendet
    • Lebenszyklusregeln für die Aktion „SetStorageClass“ festlegen
    • Zulässige Regionen für Storage-Klassen festlegen
    • Lebenszyklusverwaltung für Cloud Storage-Buckets aktivieren
    • Temporäre Sperren für aktive Objekte prüfen und bewerten
    • Aufbewahrungsrichtlinien für Cloud Storage-Buckets erzwingen
    • Klassifizierungstags für Cloud Storage-Buckets erzwingen
    • Log-Buckets für Cloud Storage-Buckets erzwingen
    • Löschregeln für Cloud Storage-Buckets konfigurieren
    • Sicherstellen, dass die Bedingung „isLive“ für Löschregeln „False“ ist
    • Versionsverwaltung für Cloud Storage-Buckets erzwingen
    • Inhaber für Cloud Storage-Buckets erzwingen
    • Logging wichtiger Cloud Storage-Aktivitäten aktivieren

• Best Practices für Agents und Anwendungen

  • Scannen auf Sicherheitslücken für Artefakte konfigurieren
  • Bereinigungsrichtlinien für Artefakte erstellen
  • Scannen auf Sicherheitslücken zur Laufzeit konfigurieren

Nächste Schritte

• Informationen zum Bereitstellen einer Entwicklerplattform für Unternehmen in Google Cloud.