Praktik terbaik keamanan GKE

Dokumen ini menjelaskan arsitektur Google Kubernetes Engine (GKE) yang umum di Google Cloud. Dokumen ini juga mencantumkan praktik terbaik keamanan yang berlaku untuk workload GKE.

Arsitektur

Diagram berikut menunjukkan Google Cloud layanan dalam deployment GKE yang umum.

Diagram ini mencakup hal berikut:

• GKE adalah implementasi terkelola dari platform orkestrasi container open source Kubernetes yang memungkinkan Anda menjalankan aplikasi yang di-container. Cluster GKE mencakup pod aplikasi dan Pengontrol Kebijakan. Pengontrol Kebijakan membantu Anda menerapkan kebijakan pada cluster Kubernetes.

• Artifact Registry menyederhanakan proses pengembangan dan deployment container serta aplikasi Anda, meningkatkan kolaborasi, dan membantu meningkatkan keamanan serta keandalan aplikasi Anda.

• Cloud Audit Logs melacak tindakan yang dilakukan pengguna di lingkungan Anda, yang meningkatkan kemampuan pemecahan masalah, audit, dan respons insiden.

• Dasbor dan pemberitahuan Penagihan Cloud memungkinkan Anda meninjau penggunaan dan penagihan workload GKE.

• Cloud Build memungkinkan Anda membuat, menguji, dan men-deploy platform CI/CD serverless di Google Cloud.

• Cloud Identity menyatukan identitas, akses, aplikasi, dan pengelolaan untuk Google Cloud.

• Cloud Key Management Service membuat dan mengelola kunci enkripsi.

• Fungsi Cloud Run mengotomatiskan tugas, memicu tugas, berintegrasi dengan layanan lain, dan membuat pipeline pengembangan berbasis peristiwa.

• Cloud Service Mesh memungkinkan layanan Kubernetes berkomunikasi satu sama lain.

• Cloud Storage menyimpan data yang diperlukan agar container dan aplikasi Anda dapat berjalan.

• Cloud DNS mendaftarkan, mengelola, dan melayani domain Anda.

• Identity and Access Management (IAM) mengontrol siapa yang dapat melakukan tindakan tertentu pada resource workload GKE Anda, seperti membuat, mengedit, atau menghapusnya.

• Layanan Kebijakan Organisasi mengelola dan menerapkan kebijakan secara terpusat di seluruh Google Cloud lingkungan Anda. Kebijakan Organisasi membantu memastikan konfigurasi dan kepatuhan keamanan yang konsisten di seluruh project dan resource dalam organisasi Anda.

• Pub/Sub memungkinkan komunikasi yang efisien dan otomatisasi dalam alur kerja Anda.

• Resource Manager membantu Anda mengelompokkan dan mengelola komponen logis workload GKE.

• Secret Manager membantu Anda melindungi data sensitif dan kredensial yang digunakan dalam project GKE.

• Security Command Center membantu Anda melindungi organisasi cloud, workload GKE, dan data yang Anda simpan di Google Cloud. Security Command Center menyediakan hal berikut:

  • Pengelolaan keamanan terpusat
  • Deteksi ancaman dan respons insiden
  • Penilaian keamanan otomatis
  • Pelaporan kepatuhan dan pelaporan kepada regulator
  • Rekomendasi dan praktik terbaik keamanan

• Virtual Private Cloud (VPC) mengisolasi resource GKE Anda dari internet di lingkungan yang aman. Konfigurasi jaringan ini membantu melindungi data dan workload sensitif dari akses tidak sah dan potensi serangan siber.

• Cloud VPN atau Cloud Interconnect memungkinkan Anda membuat koneksi jaringan yang aman antara infrastruktur lokal dan lingkungan GKE. Cloud VPN atau Cloud Interconnect membantu mengaktifkan transfer data dan komunikasi yang lancar antara jaringan pribadi Anda dan Google Cloud resource. Pertimbangkan integrasi ini untuk skenario seperti mengakses data lokal untuk pelatihan model atau men-deploy model ke resource lokal untuk inferensi.

Praktik terbaik untuk workload GKE

Bagian ini menyediakan link ke praktik terbaik untuk workload yang menggunakan GKE.

• Grup pengguna dan peran IAM yang direkomendasikan

• Praktik terbaik fondasi perusahaan yang aman

  • Praktik terbaik autentikasi dan otorisasi

    • Menonaktifkan pemberian IAM otomatis untuk akun layanan default
    • Memblokir pembuatan kunci akun layanan eksternal
    • Memblokir upload kunci akun layanan
    • Mengonfigurasi pemisahan tugas untuk administrator kebijakan organisasi
    • Mengaktifkan verifikasi dua langkah untuk akun admin super
    • Menerapkan verifikasi dua langkah pada unit organisasi admin super
    • Membuat alamat email eksklusif untuk admin super utama
    • Membuat akun administrator redundan
    • Menerapkan tag untuk menetapkan kebijakan IAM dan kebijakan organisasi secara efisien
    • Mengaudit perubahan berisiko tinggi pada IAM
    • Memblokir akses ke Cloud Shell untuk akun pengguna terkelola Cloud Identity
    • Mengonfigurasi Akses Kontekstual untuk konsol Google
    • Memblokir pemulihan mandiri akun untuk akun admin super
    • Menonaktifkan layanan Google yang tidak digunakan

  • Praktik terbaik organisasi

    • Membatasi versi TLS yang didukung oleh Google API
    • Membatasi principal yang diizinkan
    • Membatasi penggunaan layanan resource
    • Membatasi lokasi resource

  • Praktik terbaik jaringan

    • Memblokir pembuatan jaringan default
    • Mengaktifkan DNS Security Extensions
    • Mengaktifkan pembatasan cakupan layanan dalam kebijakan akses Access Context Manager
    • Membatasi API dalam perimeter layanan Kontrol Layanan VPC
    • Menggunakan DNS zonal

  • Praktik terbaik logging, pemantauan, dan pemberitahuan

    • Membagikan log audit dari Cloud Identity
    • Menggunakan log audit
    • Mengaktifkan VPC Flow Logs
    • Mengaktifkan Firewall Rules Logging
    • Mengaktifkan log audit Akses Data
    • Mengaktifkan audit aktivitas administrator
    • Berlangganan buletin keamanan
    • Mengaktifkan log Transparansi Akses
    • Mengekspor data penagihan untuk analisis mendetail

  • Praktik terbaik pengelolaan kunci dan secret

    • Mengenkripsi data dalam penyimpanan di Google Cloud
    • Menggunakan algoritma yang disetujui NIST untuk enkripsi dan dekripsi
    • Menetapkan tujuan untuk kunci Cloud Key Management Service
    • Memastikan setelan CMEK sesuai untuk data warehouse BigQuery yang aman
    • Merotasi kunci enkripsi setiap 90 hari
    • Menyiapkan rotasi secret otomatis
    • Membatasi lokasi kunci enkripsi yang dikelola pelanggan
    • Menggunakan CMEK untuk Google Cloud layanan
    • Mereplikasi secret secara otomatis

  • Praktik terbaik postur dan analisis keamanan

    • Mengaktifkan Security Command Center di tingkat organisasi
    • Mengonfigurasi pemberitahuan dari Security Command Center

• Praktik terbaik infrastruktur

  • Praktik terbaik komputasi

    • Menentukan instance VM yang dapat mengaktifkan penerusan IP
    • Menonaktifkan virtualisasi bertingkat VM
    • Membatasi alamat IP eksternal pada VM
    • Menentukan alamat IP eksternal yang diizinkan untuk instance VM
    • Memerlukan konektor VPC untuk fungsi Cloud Run

  • Praktik terbaik container

    • Membatasi akses bidang kontrol
    • Menggunakan aturan firewall hak istimewa terendah
    • Menggunakan Google Grup untuk RBAC
    • Mengaktifkan Node GKE yang Terlindungi
    • Menggunakan Container-Optimized OS dengan runtime containerd
    • Menggunakan Workload Identity Federation for GKE
    • Mengaktifkan GKE Sandbox
    • Menonaktifkan port kubelet hanya baca
    • Menggunakan namespace dan RBAC untuk membatasi akses ke resource cluster
    • Membatasi traffic antar-pod
    • Menggunakan pengontrol penerimaan untuk menerapkan kebijakan
    • Membatasi kemampuan workload untuk memodifikasi sendiri
    • Memantau konfigurasi cluster Anda
    • Menerapkan Otorisasi Biner

• Praktik terbaik pengelolaan data

  • Praktik terbaik penyimpanan

    • Memblokir akses publik ke bucket Cloud Storage
    • Menggunakan akses level bucket yang seragam
    • Melindungi kunci HMAC untuk akun layanan
    • Mendeteksi enumerasi bucket Cloud Storage oleh akun layanan
    • Memastikan kebijakan retensi bucket Cloud Storage menggunakan Kunci Bucket
    • Menetapkan aturan siklus proses untuk tindakan SetStorageClass
    • Menetapkan region yang diizinkan untuk class penyimpanan
    • Mengaktifkan pengelolaan siklus proses untuk bucket Cloud Storage
    • Meninjau dan mengevaluasi penangguhan sementara pada objek aktif
    • Menerapkan kebijakan retensi pada bucket Cloud Storage
    • Menerapkan tag klasifikasi untuk bucket Cloud Storage
    • Menerapkan bucket log untuk bucket Cloud Storage
    • Mengonfigurasi aturan penghapusan untuk bucket Cloud Storage
    • Memastikan kondisi isLive adalah False untuk aturan penghapusan
    • Menerapkan pembuatan versi untuk bucket Cloud Storage
    • Menerapkan pemilik untuk bucket Cloud Storage
    • Mengaktifkan logging aktivitas Cloud Storage utama

• Praktik terbaik agen dan aplikasi

  • Mengonfigurasi pemindaian kerentanan untuk artefak
  • Membuat kebijakan pembersihan untuk artefak
  • Mengonfigurasi pemindaian kerentanan runtime

Langkah berikutnya

• Pelajari cara men-deploy platform developer perusahaan di Google Cloud.