GKE 安全性最佳做法

本文說明典型的 Google Kubernetes Engine (GKE) 架構，Google Cloud此外，這份文件也列出適用於 GKE 工作負載的安全性最佳做法。

架構

下圖顯示一般 GKE 部署中的 Google Cloud 服務。

這張圖包含下列項目：

• GKE 是 Kubernetes 開放原始碼容器自動化調度管理平台的代管實作，可讓您執行容器化應用程式。GKE 叢集包含應用程式 Pod 和 Policy Controller。Policy Controller 可協助您在 Kubernetes 叢集上強制執行政策。

• Artifact Registry 可簡化容器和應用程式的開發及部署流程、提升協作效率，並協助改善應用程式的安全性和可靠性。

• Cloud 稽核記錄會追蹤使用者在環境中執行的動作，有助於提升疑難排解、稽核和事件應變能力。

• 您可以透過 Cloud Billing 資訊主頁和快訊，查看 GKE 工作負載的使用量和帳單。

• Cloud Build 可讓您在 Google Cloud上建構、測試及部署無伺服器 CI/CD 平台。

• Cloud Identity 整合了身分、存取權、應用程式和 Google Cloud的管理功能。

• Cloud Key Management Service 會建立及管理加密金鑰。

• Cloud Run functions 可自動執行工作、觸發作業、與其他服務整合，以及建構事件導向的開發管道。

• Cloud Service Mesh 可讓 Kubernetes 服務彼此通訊。

• Cloud Storage 會儲存容器和應用程式執行所需的資料。

• Cloud DNS 可註冊、管理及提供網域。

• 身分與存取權管理 (IAM) 可控管哪些使用者可以對 GKE 工作負載資源執行特定動作，例如建立、編輯或刪除資源。

• 組織政策服務可集中管理及強制執行 Google Cloud環境的政策。組織政策可確保組織內部專案和資源的設定一致，並符合安全法規。

• Pub/Sub 可在工作流程中實現有效率的通訊和自動化。

• Resource Manager 可協助您將 GKE 工作負載的邏輯元件分組及管理。

• Secret Manager 可協助您保護 GKE 專案中使用的機密資料和憑證。

• Security Command Center 可協助您保護雲端機構、GKE 工作負載，以及儲存在 Google Cloud中的資料。Security Command Center 提供下列功能：

  • 集中式安全性管理
  • 威脅偵測與事件應變
  • 自動安全性評估
  • 法規遵循與監管報告
  • 安全性建議與最佳做法

• 虛擬私有雲 (VPC) 可在安全環境中，將 GKE 資源與網際網路隔離開來。這項網路設定有助於保護機密資料和工作負載，避免未經授權的存取和潛在的網路攻擊。

• Cloud VPN 或 Cloud Interconnect 可讓您在地端部署基礎架構與 GKE 環境之間建立安全的網路連線。Cloud VPN 或 Cloud Interconnect 可協助您在私人網路和 Google Cloud資源之間，順暢地傳輸資料及通訊。如果需要存取地端部署資料來進行模型訓練，或是將模型部署至地端部署資源進行推論，建議採用這項整合功能。

GKE 工作負載的最佳做法

本節提供連結，說明使用 GKE 的工作負載最佳做法。

• 建議的使用者群組和 IAM 角色

• 企業安全基礎最佳做法

  • 驗證和授權最佳做法

    • 停用預設服務帳戶的自動 IAM 授予功能
    • 禁止建立外部服務帳戶金鑰
    • 禁止上傳服務帳戶金鑰
    • 為組織政策管理員劃分責任
    • 為超級管理員帳戶啟用兩步驟驗證
    • 對超級管理員機構單位強制執行兩步驟驗證
    • 為主要超級管理員建立專屬電子郵件地址
    • 建立備援管理員帳戶
    • 導入標記，以便有效指派 IAM 政策和組織政策
    • 稽核 IAM 的高風險變更
    • 封鎖 Cloud Identity 代管使用者帳戶的 Cloud Shell 存取權
    • 為 Google 控制台設定情境感知存取權
    • 禁止超級管理員帳戶進行自助式帳戶救援
    • 停用未使用的 Google 服務

  • 機構最佳做法

    • 限制 Google API 支援的 TLS 版本
    • 限制授權主體
    • 限制使用資源服務
    • 限制資源位置

  • 網路最佳做法

    • 封鎖預設網路建立作業
    • 啟用 DNS 安全性擴充功能
    • 在 Access Context Manager 存取權政策中啟用服務範圍限制
    • 在 VPC Service Controls 服務範圍內限制 API
    • 使用區域 DNS

  • 記錄、監控和快訊最佳做法

    • 分享 Cloud Identity 的稽核記錄
    • 使用稽核記錄
    • 啟用虛擬私有雲流量記錄
    • 啟用防火牆規則記錄
    • 啟用資料存取稽核記錄
    • 啟用管理員活動稽核功能
    • 訂閱安全性公告
    • 啟用資料存取透明化控管機制記錄檔
    • 匯出帳單資料以進行詳細分析

  • 金鑰和密鑰管理最佳做法

    • 加密 Google Cloud中的靜態資料
    • 使用 NIST 核准的演算法進行加密和解密
    • 設定 Cloud Key Management Service 金鑰的用途
    • 確保 CMEK 設定適用於安全的 BigQuery 資料倉儲
    • 每 90 天輪替一次加密金鑰
    • 設定自動 Secret 輪換
    • 限制客戶自行管理的加密金鑰位置
    • 使用 CMEK 搭配 Google Cloud 服務
    • 自動複製 Secret

  • 安全狀態和分析最佳做法

    • 在機構層級啟用 Security Command Center
    • 透過 Security Command Center 設定警告

• 基礎架構最佳做法

  • 運算最佳做法

    • 定義可啟用 IP 轉送功能的 VM 執行個體
    • 停用 VM 巢狀虛擬化功能
    • 限制 VM 的外部 IP 位址
    • 為 VM 執行個體定義允許的外部 IP 位址
    • Cloud Run 函式必須指定 VPC 連接器

  • 容器最佳做法

    • 限制控制層存取權
    • 使用最低權限防火牆規則
    • 使用 RBAC 適用的 Google 群組
    • 啟用受防護的 GKE 節點
    • 使用含有 containerd 執行階段的 Container-Optimized OS
    • 使用 Workload Identity Federation for GKE
    • 啟用 GKE Sandbox
    • 停用 kubelet 唯讀通訊埠
    • 使用命名空間和 RBAC 來限制叢集資源的存取權
    • 限制 Pod 之間的流量
    • 使用許可控制器強制執行政策
    • 限制工作負載自行修改的能力
    • 監控叢集設定
    • 強制執行二進位授權

• 資料管理最佳做法

  • 儲存空間最佳做法

    • 禁止公開存取 Cloud Storage bucket
    • 使用統一值區層級存取權
    • 保護服務帳戶的 HMAC 金鑰
    • 偵測服務帳戶列舉 Cloud Storage 值區的行為
    • 確保 Cloud Storage bucket 資料保留政策使用 Bucket Lock
    • 為 SetStorageClass 動作設定生命週期規則
    • 為儲存空間級別設定允許的地區
    • 啟用 Cloud Storage 值區的生命週期管理
    • 查看及評估有效物件的暫時保留狀態
    • 強制執行 Cloud Storage bucket 的保留政策
    • 強制執行 Cloud Storage bucket 的分類標記
    • 強制為 Cloud Storage 值區使用記錄值區
    • 設定 Cloud Storage bucket 的刪除規則
    • 確保刪除規則的 isLive 條件為 False
    • 強制執行 Cloud Storage bucket 的版本控管
    • 強制執行 Cloud Storage bucket 的擁有者
    • 啟用重要 Cloud Storage 活動的記錄功能

• 代理程式和應用程式最佳做法

  • 設定構件的安全漏洞掃描
  • 為構件建立資源清理政策
  • 設定執行階段安全漏洞掃描

後續步驟

• 瞭解如何在 Google Cloud 部署企業開發人員平台Google Cloud。