Diese Seite bietet eine Einführung in die Etablierung guter Sicherheitspraktiken für Google Distributed Cloud Die Informationen auf dieser Seite sind keine umfassende Liste von Best Practices.
Die Anwendung von Best Practices für die Sicherheit in Google Distributed Cloud umfasst die Anwendung von Konzepten aus Kubernetes und Google Kubernetes Engine (GKE) sowie Konzepte, die es nur bei Google Distributed Cloud gibt.
Kubernetes-Sicherheit
Wir empfehlen Ihnen, die allgemeinen Sicherheitsrichtlinien von Kubernetes zu befolgen, wenn Sie Google Distributed Cloud verwenden.
Eine Einführung in die Kubernetes-Sicherheitsrichtlinien finden Sie unter Sicherheitschecklisteund Übersicht über cloudnative Sicherheit in der Kubernetes-Dokumentation.
GKE-Sicherheit
Google Distributed Cloud erweitert die GKE insofern, als Sie GKE-Cluster lokal auf Ihren eigenen Linux-Servern erstellen können. Weitere Informationen zur GKE-Sicherheit finden Sie unter GKE-Sicherheitsübersicht. Denken Sie beim Lesen daran, dass die Vorschläge für die Sicherheit der Steuerungsebeneund die Knotensicherheit nicht zutreffen, da Ihre Steuerungsebene und Knoten vor Ort ausgeführt werden.
Sicherheit von Google Distributed Cloud
In den folgenden Abschnitten finden Sie Informationen dazu, wie Sie bewährte Sicherheitspraktiken für Google Distributed Cloud festlegen.
Hardwaresicherheit
Schützen Sie Ihre Rechenzentren vor Ort mit branchenüblichen physischen Sicherheits- und Schutzfunktionen.
Achten Sie darauf, dass der Zugriff auf Ihre Administrator-Workstation stark eingeschränkt ist. Die Administrator-Workstation speichert sensible Daten wie
kubeconfig-Dateien, SSH-Schlüssel und Dienstkontoschlüssel.
Knotensicherheit
Halten Sie Ihr Betriebssystem auf dem neuesten Stand, indem Sie Softwarepakete aktualisieren und Sicherheits-Patches installieren.
Wenn Sie die Image-Pulls für Arbeitslasten besser steuern und die damit verbundenen Sicherheitsvorteile nutzen möchten, können Sie Worker-Knoten für die Authentifizierung bei einer privaten Registry konfigurieren. Die Unterstützung für private Registrys für Knoten ist für die Vorschau für Cluster der Version 1.29 verfügbar.
Google Distributed Cloud fügt Ihren Clusternknoten standardmäßig das Docker-Repository
aptund den erforderlichen GPG-Schlüssel hinzu. Alternativ zum Hinzufügen von Paket-Repositories zu jedem Clusterknoten in Ihrer Bereitstellung können Sie Ihren Cluster so konfigurieren, dass er ein privates Paket-Repository für Container-Images verwendet.
Clustersicherheit
Die Sicherheit Ihrer Google Distributed Cloud-Cluster erhöhen.
Traffic und Daten mithilfe einer Bereitstellung eines Administrator- und Nutzerclusters isolieren. Dieser Bereitstellungstyp unterstützt Sie bei folgenden Arten der Isolation:
- Arbeitslasttraffic ist vom Datenverkehr der Verwaltungs- oder Managementebene isoliert.
- Der Clusterzugriff ist nach Gruppe oder Rolle isoliert.
- Produktionsarbeitslasten sind von Entwicklungsarbeitslasten isoliert.
Aktualisieren Sie Ihre Cluster auf eine unterstützte Version. Eine unterstützte Version bietet die folgenden Sicherheitsvorteile:
- Korrekturen für Sicherheitslücken.
- Neue Features und Funktionen, die die neuesten Sicherheitsfunktionen und -technologien nutzen.
- Updates für gebündelte Software und Komponenten
Um die externe Gefährdung zu verringern und andere Sicherheitsvorteile zu nutzen, können Sie einen Registry-Mirror konfigurieren, um Google Distributed Cloud-Komponenten aus einer lokalen Kopie der öffentlichen Registry zu installieren.
Arbeitslastsicherheit
Arbeitslasten mit Binärautorisierung schützen. Die Binärautorisierung ist ein Dienst auf Google Cloud , der Softwarelieferkettensicherheit für Anwendungen in der Cloud bietet. Mit der Binärautorisierung werden interne Prozesse, die die Qualität und Integrität Ihrer Software gewährleisten, erfolgreich abgeschlossen, bevor eine Anwendung in Ihrer Produktionsumgebung bereitgestellt wird.
Verwenden Sie die Workload Identity-Föderation für GKE, um Pods Zugriff auf Google Cloud -Ressourcen zu gewähren. Mit der Workload Identity-Föderation für GKE kann ein Kubernetes-Dienstkonto als IAM-Dienstkonto ausgeführt werden. Pods, die als Kubernetes-Dienstkonto ausgeführt werden, haben die Berechtigungen des IAM-Dienstkontos.
Netzwerksicherheit
Wählen Sie eine sichere Verbindung zwischen Ihrer Google Distributed Cloud undGoogle Cloud. Nachdem Sie eine Verbindung hergestellt haben, fügen Sie Funktionen hinzu, die die Sicherheit Ihrer Verbindung optimieren.
Schränken Sie die Gefährdung Ihrer Cluster im öffentlichen Internet ein, indem Sie sie hinter einem Proxy installieren und Firewallregeln erstellen. Verwenden Sie auch die entsprechenden Kontrollen in Ihrer Netzwerkumgebung, um den öffentlichen Zugriff auf den Cluster zu beschränken.
Authentifizierungssicherheit
Identität mit GKE Identity Service verwalten. GKE Identity Service ist ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen zur Authentifizierung in mehrerenGoogle Cloud -Umgebungen verwenden können. Sie können sich bei Ihren Google Distributed Cloud-Clustern über die Befehlszeile (alle Anbieter) oder über die Google Cloud Console (nur OIDC) anmelden und diese nutzen. Dabei verwenden Sie Ihren bestehenden Identitätsanbieter.
Verbindung zu registrierten Clustern mit dem Connect-Gateway. Der Connect-Gateway baut auf der Leistungsfähigkeit von Flotten auf und ermöglicht es Nutzern, sich mit registrierten Clustern zu verbinden und Befehle auf konsistente und sichere Weise auszuführen.
Sicherheit von Anmeldedaten
Zertifizierungsstellen rotieren Google Distributed Cloud verwendet Zertifikate und private Schlüssel zur Authentifizierung und Verschlüsselung von Verbindungen zwischen Systemkomponenten in Clustern. Für eine sichere Clusterkommunikation sollten Sie die Zertifizierungsstelle Ihres Nutzerclusters regelmäßig und bei einem möglichen Sicherheitsverstoß rotieren.
Dienstkontoschlüssel rotieren Um das Sicherheitsrisiko durch gehackte Schlüssel zu verringern, sollten Sie Ihre Dienstschlüssel regelmäßig zu rotieren.
Ihre Sicherheit überwachen
- Kubernetes Audit-Logging verwenden Mit Audit-Logging können Administratoren Ereignisse in Ihren Google Distributed Cloud-Umgebungen speichern, abfragen, verarbeiten und melden.
Weitere Informationen zum Überwachen der Clustersicherheit finden Sie unter Sicherheitsstatus der Flotte überwachen.