Prácticas recomendadas de seguridad de GKE

En este documento, se describe una arquitectura típica de Google Kubernetes Engine (GKE) enGoogle Cloud. También se enumeran las prácticas recomendadas de seguridad que se aplican a las cargas de trabajo de GKE.

Arquitectura

En el siguiente diagrama, se muestran los servicios de Google Cloud en una implementación típica de GKE.

En este diagrama, se incluye lo siguiente:

• GKE es una implementación administrada de la plataforma de organización de contenedores de código abierto de Kubernetes que te permite ejecutar apps en contenedores. Los clústeres de GKE incluyen los Pods de tu aplicación y Policy Controller. Policy Controller te ayuda a aplicar políticas en tus clústeres de Kubernetes.

• Artifact Registry optimiza el proceso de desarrollo y la implementación de tus contenedores y apps, mejora la colaboración y ayuda a aumentar la seguridad y la confiabilidad de tus apps.

• Los registros de auditoría de Cloud supervisan las acciones que realizan los usuarios en tu entorno, lo que mejora tus capacidades de solución de problemas, auditoría y respuesta ante incidentes.

• Los paneles y las alertas de Facturación de Cloud te permiten revisar el uso y la facturación de las cargas de trabajo de GKE.

• Cloud Build te permite compilar, probar e implementar una plataforma de CI/CD sin servidores en Google Cloud.

• Cloud Identity unifica la identidad, el acceso, la aplicación y la administración para Google Cloud.

• Cloud Key Management Service crea y administra claves de encriptación.

• Cloud Run Functions automatiza tareas, activa trabajos, se integra en otros servicios y crea canalizaciones de desarrollo basadas en eventos.

• Cloud Service Mesh permite que los servicios de Kubernetes se comuniquen entre sí.

• Cloud Storage almacena los datos necesarios para que se ejecuten tus contenedores y apps.

• Cloud DNS registra, administra y entrega tu dominio.

• Identity and Access Management (IAM) controla quién puede realizar acciones específicas en los recursos de tu carga de trabajo de GKE, como crearlos, editarlos o borrarlos.

• El Servicio de políticas de la organización administra y aplica políticas de forma centralizada en tu entorno de Google Cloud. La política de la organización ayuda a garantizar la coherencia en la configuración y el cumplimiento de la seguridad en todos los proyectos y recursos de tu organización.

• Pub/Sub permite la comunicación y la automatización eficientes en tus flujos de trabajo.

• Resource Manager te ayuda a agrupar y administrar los componentes lógicos de tus cargas de trabajo de GKE.

• Secret Manager te ayuda a proteger los datos sensibles y las credenciales que se usan en los proyectos de GKE.

• Security Command Center te ayuda a proteger tu organización en la nube, tus cargas de trabajo de GKE y los datos que almacenas en Google Cloud. Security Command Center proporciona lo siguiente:

  • Administración de seguridad centralizada
  • Detección de amenazas y respuesta ante incidentes
  • Evaluaciones de seguridad automatizadas
  • Cumplimiento y generación de informes regulatorios
  • Recomendaciones y prácticas recomendadas de seguridad

• La nube privada virtual (VPC) aísla tus recursos de GKE de Internet en un entorno seguro. Esta configuración de red ayuda a proteger los datos sensibles y las cargas de trabajo del acceso no autorizado y los posibles ciberataques.

• Cloud VPN o Cloud Interconnect te permiten establecer una conexión de red segura entre tu infraestructura local y tu entorno de GKE. Cloud VPN o Cloud Interconnect ayudan a habilitar la transferencia y la comunicación de datos sin problemas entre tu red privada y los recursos de Google Cloud. Considera esta integración para situaciones como acceder a datos locales para el entrenamiento de modelos o implementar modelos en recursos locales para la inferencia.

Prácticas recomendadas para las cargas de trabajo de GKE

En esta sección, se proporcionan vínculos a las prácticas recomendadas para las cargas de trabajo que usan GKE.

• Grupos de usuarios y roles de IAM recomendados

• Prácticas recomendadas para una base empresarial segura

  • Prácticas recomendadas de autenticación y autorización

    • Inhabilita el otorgamiento automático de IAM para las cuentas de servicio predeterminadas
    • Bloquea la creación de claves externas de cuentas de servicio
    • Bloquea las cargas de claves de cuentas de servicio
    • Configura la separación de obligaciones para los administradores de políticas de la organización
    • Habilita la verificación en dos pasos para las cuentas de administrador avanzado
    • Aplica la verificación en 2 pasos en la unidad organizativa del administrador avanzado
    • Crea una dirección de correo electrónico exclusiva para el administrador avanzado principal
    • Crea cuentas de administrador redundantes
    • Implementa etiquetas para asignar de manera eficiente políticas de IAM y políticas de la organización
    • Audita los cambios de alto riesgo en IAM
    • Bloquea el acceso a Cloud Shell para las cuentas de usuario administradas por Cloud Identity
    • Configura el Acceso adaptado al contexto para las consolas de Google
    • Bloquea la recuperación automática de cuentas para las cuentas de administrador avanzado
    • Desactiva los servicios de Google que no uses

  • Prácticas recomendadas para la organización

    • Restringe las versiones de TLS compatibles con las APIs de Google
    • Restringe las entidades autorizadas
    • Restringe el uso de servicios del recurso
    • Restringe las ubicaciones de recursos

  • Prácticas recomendadas para redes

    • Bloquear la creación de redes predeterminadas
    • Habilita las extensiones de seguridad de DNS
    • Habilita la restricción del alcance del servicio en las políticas de acceso de Access Context Manager
    • Restringe las APIs dentro de los perímetros de servicio de los Controles del servicio de VPC
    • Usar DNS zonal

  • Prácticas recomendadas para el registro, la supervisión y las alertas

    • Comparte registros de auditoría de Cloud Identity
    • Usa registros de auditoría
    • Habilita los registros de flujo de VPC
    • Habilitar el Registro de reglas de firewall
    • Habilita los registros de auditoría de acceso a los datos
    • Habilita la auditoría de la actividad del administrador
    • Suscríbete a los boletines de seguridad
    • Habilita los registros de Transparencia de acceso
    • Exporta datos de facturación para obtener un análisis detallado

  • Prácticas recomendadas para la administración de claves y secretos

    • Encriptar datos en reposo en Google Cloud
    • Usa algoritmos aprobados por el NIST para la encriptación y desencriptación
    • Cómo establecer el propósito de las claves de Cloud Key Management Service
    • Asegúrate de que la configuración de CMEK sea adecuada para los almacenes de datos de BigQuery seguros
    • Rota la clave de encriptación cada 90 días
    • Cómo configurar la rotación automática de secretos
    • Restringe la ubicación de las claves de encriptación administradas por el cliente
    • Usa CMEK para los servicios de Google Cloud
    • Replicar secretos automáticamente

  • Prácticas recomendadas de seguridad y análisis

    • Habilita Security Command Center a nivel de la organización
    • Configura alertas desde Security Command Center

• Prácticas recomendadas de infraestructura

  • Prácticas recomendadas de procesamiento

    • Define instancias de VM que pueden habilitar el reenvío de IP
    • Inhabilita la virtualización anidada de VM
    • Restringe las direcciones IP externas en las VMs
    • Define permitted external IP addresses for VM instances
    • Exige un conector de VPC para las funciones de Cloud Run

  • Prácticas recomendadas para contenedores

    • Restringe el acceso al plano de control
    • Usa reglas de firewall de privilegio mínimo
    • Usa Grupos de Google para RBAC
    • Habilita los nodos de GKE protegidos
    • Usa Container-Optimized OS con el entorno de ejecución de containerd
    • Usa la federación de identidades para cargas de trabajo para GKE
    • Habilita GKE Sandbox
    • Inhabilita el puerto de solo lectura de kubelet
    • Usa espacios de nombres y RBAC para restringir el acceso a los recursos del clúster
    • Restringe el tráfico entre pods
    • Usa controladores de admisión para aplicar políticas
    • Restringe la capacidad de las cargas de trabajo de realizar modificaciones automáticas
    • Supervisa la configuración de tus clústeres
    • Aplicar la Autorización binaria

• Prácticas recomendadas para la administración de datos

  • Prácticas recomendadas de almacenamiento

    • Bloquea el acceso público a los buckets de Cloud Storage
    • Usar el acceso uniforme a nivel de bucket
    • Protege las claves HMAC de las cuentas de servicio
    • Detecta la enumeración de buckets de Cloud Storage por cuentas de servicio
    • Asegúrate de que la política de retención del bucket de Cloud Storage use el bloqueo del bucket
    • Cómo establecer reglas de ciclo de vida para la acción SetStorageClass
    • Cómo establecer regiones permitidas para las clases de almacenamiento
    • Habilita la administración del ciclo de vida para los buckets de Cloud Storage
    • Revisa y evalúa las conservaciones temporales en objetos activos
    • Aplica políticas de retención en buckets de Cloud Storage
    • Aplica etiquetas de clasificación para los buckets de Cloud Storage
    • Aplica buckets de registros para los buckets de Cloud Storage
    • Configura reglas de eliminación para buckets de Cloud Storage
    • Asegúrate de que la condición isLive sea falsa para las reglas de eliminación
    • Cómo aplicar el control de versiones para los buckets de Cloud Storage
    • Cómo aplicar propietarios para los buckets de Cloud Storage
    • Habilita el registro de las actividades clave de Cloud Storage

• Prácticas recomendadas para agentes y aplicaciones

  • Configura el análisis de vulnerabilidades para artefactos
  • Crea políticas de limpieza para los artefactos
  • Configura el análisis de vulnerabilidades durante el tiempo de ejecución

¿Qué sigue?

• Obtén información para implementar una plataforma de desarrollador empresarial enGoogle Cloud.