GKE 安全性最佳实践

本文档介绍了 Google Cloud中的典型 Google Kubernetes Engine (GKE) 架构。此外，它还列出了适用于 GKE 工作负载的安全最佳实践。

架构

下图显示了 Google Cloud 典型 GKE 部署中的 服务。

该图包含以下部分：

• GKE 是 Kubernetes 开源容器编排平台的托管实现，可让您运行容器化应用。GKE 集群包含您的应用 Pod 和 Policy Controller。Policy Controller 可帮助您在 Kubernetes 集群上强制执行政策。

• Artifact Registry 可简化容器和 应用开发与部署流程，改进协作，并有助于 提高应用的安全性与可靠性。

• Cloud Audit Logs 会跟踪用户在您的环境中执行的操作，从而增强问题排查、审核和突发事件响应能力。

• 借助 Cloud Billing 信息中心和提醒，您可以 查看 GKE 工作负载的使用情况和结算信息。

• 借助 Cloud Build，您可以在 上构建、测试和部署无服务器 CI/CD 平台 Google Cloud。

• Cloud Identity 统一了身份、访问权限、 应用和管理 Google Cloud。

• Cloud Key Management Service 可创建和管理 加密密钥。

• Cloud Run functions 可自动执行 任务、触发作业、与其他 服务集成，并构建事件驱动型开发流水线。

• Cloud Service Mesh 可让 Kubernetes 服务 相互通信。

• Cloud Storage 可存储 容器和应用运行所需的数据。

• Cloud DNS 可注册、管理和提供您的 网域。

• 借助 Identity and Access Management (IAM)，您可以控制哪些人可以对 GKE 工作负载资源执行 特定操作，例如 创建、修改或删除这些资源。

• 组织政策服务 可集中管理和强制执行整个 Google Cloud 环境中的政策。组织政策有助于确保组织内的项目和资源配置一致且符合安全要求。

• Pub/Sub 可在工作流中实现高效的通信 和自动化。

• Resource Manager 可帮助 您对 GKE 工作负载的逻辑组件进行分组和管理。

• Secret Manager 可帮助您保护 GKE 项目中使用的敏感数据和凭据 。

• Security Command Center 可帮助您保护云组织、GKE 工作负载 以及您存储在 Google Cloud中的数据。Security Command Center 提供以下各项：

  • 集中式安全管理
  • 威胁检测和突发事件响应
  • 自动安全评估
  • 合规性和监管报告
  • 安全建议和最佳实践

• 虚拟私有云 (VPC) 可在安全环境中将 GKE 资源与互联网隔离开。此网络配置有助于保护敏感数据和工作负载，防止未经授权的访问和潜在的网络攻击。

• Cloud VPN 或 Cloud Interconnect 让您可以在本地 基础架构和 GKE 环境之间建立安全的网络连接。 Cloud VPN 或 Cloud Interconnect 可帮助您在私有网络与 Google Cloud 资源之间实现无缝的 数据传输和通信。对于需要访问本地数据以进行模型训练或将模型部署到本地资源以进行推理等场景，请考虑使用此集成。

GKE 工作负载的最佳实践

本部分提供了指向使用 GKE 的工作负载的最佳实践的链接。

• 建议的用户群组和 IAM 角色

• 安全的企业基础最佳实践

  • 身份验证和授权最佳实践

    • 停用默认服务账号的自动 IAM 授权
    • 禁止创建外部服务帐号
    • 禁止上传服务帐号密钥
    • 为组织政策管理员配置职责分离
    • 为超级用户账号启用两步验证
    • 对超级用户组织部门强制执行两步验证
    • 为主要超级用户创建专用邮箱
    • 创建冗余管理员账号
    • 实现标记，以高效分配 IAM 政策和组织政策
    • 审核对 IAM 的高风险更改
    • 禁止 Cloud Identity 受管理的用户账号访问 Cloud Shell
    • 为 Google 控制台配置情境感知访问权限
    • 禁止超级用户账号自行恢复账号
    • 关闭未使用的 Google 服务

  • 组织最佳实践

    • 限制 Google API 支持的 TLS 版本
    • 限制授权的主账号
    • 限制资源服务使用
    • 限制资源位置

  • 网络最佳实践

    • 禁止创建默认网络
    • 启用 DNS 安全扩展
    • 在 Access Context Manager 访问权限政策中启用服务范围限制
    • 限制 VPC Service Controls 服务边界内的 API
    • 使用可用区级 DNS

  • 日志记录、监控和提醒最佳实践

    • 共享 Cloud Identity 中的审核日志
    • 使用审核日志
    • 启用 VPC 流日志
    • 启用防火墙规则日志记录
    • 启用数据访问审核日志
    • 启用管理员活动审核
    • 订阅安全公告
    • 启用 Access Transparency 日志
    • 导出结算数据以进行详细分析

  • 密钥和 Secret 管理最佳实践

    • 对中的静态数据进行加密 Google Cloud
    • 使用 NIST 批准的算法进行加密和解密
    • 设置 Cloud Key Management Service 密钥的用途
    • 确保 CMEK 设置适合安全的 BigQuery 数据仓库
    • 每 90 天轮替一次加密密钥
    • 设置自动 Secret 轮替
    • 限制客户管理的加密密钥位置
    • 对 Google Cloud 服务使用 CMEK
    • 自动复制 Secret

  • 安全状况和分析最佳实践

    • 在组织级启用 Security Command Center
    • 在 Security Command Center 中配置提醒

• 基础架构最佳实践

  • 计算最佳实践

    • 定义可启用 IP 转发的虚拟机实例
    • 停用虚拟机嵌套虚拟化
    • 限制虚拟机上的外部 IP 地址
    • 为虚拟机实例定义允许的外部 IP 地址
    • 要求使用适用于 Cloud Run functions 的 VPC 连接器

  • 容器最佳实践

    • 限制对控制平面的访问
    • 使用最小权限防火墙规则
    • 使用 Google RBAC 群组
    • 启用安全强化型 GKE 节点
    • 使用包含 containerd 运行时的 Container-Optimized OS
    • 使用 Workload Identity Federation for GKE
    • 启用 GKE Sandbox
    • 停用 kubelet 只读端口
    • 使用命名空间和 RBAC 限制对集群资源的访问
    • 限制 Pod 之间的流量
    • 使用准入控制器强制执行政策
    • 限制工作负载自行修改的能力
    • 监控集群配置
    • 强制执行 Binary Authorization

• 数据管理最佳实践

  • 存储最佳实践

    • 禁止公开访问 Cloud Storage 存储分区
    • 使用统一存储桶级访问权限
    • 保护服务账号的 HMAC 密钥
    • 检测服务账号对 Cloud Storage 存储分区的枚举
    • 确保 Cloud Storage 存储桶保留政策使用存储分区锁定
    • 为 SetStorageClass 操作设置生命周期规则
    • 为存储类设置允许的区域
    • 为 Cloud Storage 存储分区启用生命周期管理
    • 查看和评估活跃对象的暂时保全
    • 对 Cloud Storage 存储分区强制执行保留政策
    • 为 Cloud Storage 存储分区强制执行分类标记
    • 为 Cloud Storage 存储分区强制使用日志存储分区
    • 为 Cloud Storage 存储分区配置删除规则
    • 确保删除规则的 isLive 条件为 False
    • 为 Cloud Storage 存储分区强制启用版本控制
    • 强制为 Cloud Storage 存储分区设置所有者
    • 启用关键 Cloud Storage 活动的日志记录

• 代理和应用最佳实践

  • 为制品配置漏洞扫描
  • 为制品创建清理政策
  • 配置运行时漏洞扫描

后续步骤

• 了解如何在上部署企业开发者平台 Google Cloud。