Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Descripción general de seguridad

En esta página, se proporciona una introducción para establecer prácticas de seguridad adecuadas para Google Distributed Cloud. La orientación que se proporciona en esta página no tiene como objetivo brindarte una lista completa de prácticas recomendadas.

El uso de prácticas adecuadas para la seguridad en Google Distributed Cloud implica aplicar conceptos de Kubernetes y Google Kubernetes Engine (GKE), así como conceptos exclusivos de Google Distributed Cloud.

Seguridad de Kubernetes

Te recomendamos que sigas los lineamientos generales de seguridad de Kubernetes cuando uses Google Distributed Cloud.

Para obtener una introducción a los lineamientos de seguridad de Kubernetes, consulta la Lista de verificación de seguridad y la Descripción general de la seguridad nativa de la nube en la documentación de Kubernetes.

Seguridad de GKE

Google Distributed Cloud extiende GKE para permitirte crear clústeres de GKE en tus propios servidores Linux alojados en tus instalaciones. Para obtener más información sobre la seguridad de GKE, consulta la descripción general de la seguridad de GKE. Mientras lees, ten en cuenta que, debido a que el plano de control y los nodos se ejecutan de forma local, las sugerencias para la seguridad del plano de control y la seguridad de los nodos no se aplican.

Seguridad de Google Distributed Cloud

En las siguientes secciones, se proporciona orientación para establecer prácticas de seguridad adecuadas para Google Distributed Cloud.

Seguridad del hardware

Protege tus centros de datos locales con funciones de seguridad y protección física estándar de la industria.
Asegúrate de que el acceso a tu estación de trabajo de administrador esté muy restringido. La estación de trabajo de administrador almacena datos sensibles, como archivos kubeconfig, claves SSH y claves de cuentas de servicio.

Seguridad de nodos

Mantén actualizado tu sistema operativo actualizando los paquetes de software y, luego, instalando los parches de seguridad.
Para obtener un mayor control sobre las extracciones de imágenes de cargas de trabajo y los beneficios de seguridad relacionados, puedes configurar los nodos trabajadores para que se autentiquen en un registro privado. La compatibilidad con el registro privado para nodos está disponible en versión preliminar para los clústeres de la versión 1.29.
De forma predeterminada, Google Distributed Cloud agrega el repositorio apt de Docker y la clave GPG necesaria a los nodos del clúster. Como alternativa a agregar repositorios de paquetes a cada nodo del clúster en tu implementación, puedes configurar tu clúster para usar un repositorio de paquetes privado para imágenes de contenedores.

Seguridad del clúster

Endurece la seguridad de tus clústeres de Google Distributed Cloud.
Aísla tu tráfico y tus datos mediante el uso de una implementación de clúster de administrador y de usuario . Este tipo de implementación te ayuda a lograr los siguientes tipos de aislamiento:
- El tráfico de cargas de trabajo está aislado del tráfico administrativo o del plano de control.
- El acceso al clúster está aislado por grupo o rol.
- Las cargas de trabajo de producción están aisladas de las cargas de trabajo de desarrollo.
Actualiza tus clústeres a una versión compatible. El uso de una versión compatible te brinda los siguientes beneficios de seguridad:
- Correcciones para las vulnerabilidades de seguridad
- Nuevas funciones que aprovechan la postura y las tecnologías de seguridad más recientes
- Actualizaciones para el software y los componentes agrupados
Para reducir la exposición externa y obtener otros beneficios de seguridad, puedes configurar una duplicación de registro para instalar componentes de Google Distributed Cloud desde una copia local del registro público.
El clúster de etcd para Google Distributed Cloud (solo software) encripta los secretos dentro de etcd con EncryptionConfiguration con AES-CBC. No puedes modificar esta configuración. Los valores se encriptan con encriptación estática, y Google Distributed Cloud (solo software) usa mTLS para encriptar la comunicación entre etcd y el servidor de la API, y entre pares de etcd. Para obtener más información sobre etcd y la encriptación, consulta Cómo encriptar datos confidenciales en reposo.

Seguridad de las cargas de trabajo

Protege tus contenedores con Security-Enhanced Linux (SELinux).
Protege tus cargas de trabajo con la Autorización binaria. La Autorización binaria es un servicio en Google Cloud que proporciona seguridad para la cadena de suministro de software a las aplicaciones que se ejecutan en la nube. Con la Autorización binaria, puedes asegurarte de que los procesos internos que protegen la calidad y la integridad del software se completen de forma correcta antes de que se implemente una aplicación en el entorno de producción.
Usa la federación de identidades para cargas de trabajo para GKE para otorgar acceso a los pods a los Google Cloud recursos. Workload Identity Federation for GKE permite que una cuenta de servicio de Kubernetes se ejecute como cuenta de servicio de IAM. Los pods que se ejecutan como la cuenta de servicio de Kubernetes tienen los permisos de la cuenta de servicio de IAM.
Sigue las prácticas recomendadas para RBAC de GKE.

Seguridad de red

Elige una conexión segura entre tu Google Distributed Cloud y Google Cloud. Después de establecer la conexión base, agrega funciones que mejoren la seguridad de tu conexión.
Limita la exposición de tus clústeres a Internet pública instalándolos detrás de un proxy y creando reglas de firewall. También usa los controles adecuados en tu entorno de red para limitar el acceso público al clúster.

Seguridad de la autenticación

Administra la identidad con Servicio de identidad de GKE. Servicio de identidad de GKE es un servicio de autenticación que te permite usar las soluciones de identidad existentes para la autenticación en múltiplesGoogle Cloud entornos. Puedes acceder y usar los clústeres de Google Distributed Cloud desde la línea de comandos (todos los proveedores) o desde la Google Cloud consola (solo OIDC), todo con tu proveedor de identidad existente.
Conéctate a clústeres registrados con la puerta de enlace de Connect. La puerta de enlace de Connect se basa en el poder de las flotas para permitir que los usuarios se conecten a los clústeres registrados y ejecuten comandos en ellos de manera coherente y segura.

Seguridad de las credenciales

Rota las autoridades certificadoras. Google Distributed Cloud usa certificados y claves privadas para autenticar y encriptar conexiones entre los componentes del sistema en clústeres. Para mantener la comunicación segura del clúster, rota las autoridades certificadoras del clúster de usuario de forma periódica y siempre que haya una posible violación de la seguridad.
Rota las claves de la cuenta de servicio. Para reducir el riesgo de seguridad que causan las claves filtradas, te recomendamos que rotes tus claves de servicio con regularidad.

Supervisa tu seguridad

Usa el registro de auditoría de Kubernetes logging. El registro de auditoría proporciona una forma para que los administradores retengan, consulten, procesen y generen alertas sobre los eventos que ocurren en los entornos de Google Distributed Cloud.

Para obtener más información sobre la supervisión de la seguridad del clúster, consulta Supervisa la postura de seguridad de la flota.

Descripción general de seguridad Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.