安全性總覽

本頁面簡介如何為 Google Distributed Cloud 建立良好的安全做法。本頁面的指引並未詳盡列出所有最佳做法。

在 Google Distributed Cloud 中採用安全防護最佳做法，需要運用 Kubernetes 和 Google Kubernetes Engine (GKE) 的概念，以及 Google Distributed Cloud 獨有的概念。

Kubernetes 安全性

使用 Google Distributed Cloud 時，建議您遵循一般 Kubernetes 安全性指南。

如要瞭解 Kubernetes 安全性指南，請參閱 Kubernetes 說明文件中的「安全性檢查清單」和「雲端原生安全性總覽」。

GKE 安全性

Google Distributed Cloud 會擴大 GKE 的使用範圍，讓您在自己的地端部署 Linux 伺服器建立 GKE 叢集。如要進一步瞭解 GKE 安全性，請參閱 GKE 安全性總覽。請注意，由於控制層和節點是在地端部署執行，因此控制層安全和節點安全的建議不適用。

Google Distributed Cloud 安全性

下列各節提供指南，協助您為 Google Distributed Cloud 建立良好的安全做法。

硬體安全

• 運用業界標準的實體安全防護和安全功能，保護地端部署資料中心。

• 確保管理工作站的存取權受到嚴格限制。管理員工作站會儲存機密資料，例如 kubeconfig 檔案、SSH 金鑰和服務帳戶金鑰。

節點安全性

• 更新軟體套件並安裝安全性修補程式，確保作業系統維持在最新狀態。

• 如要進一步控管工作負載映像檔提取作業，並享有相關安全優勢，可以設定 worker 節點，向私人登錄檔進行驗證。節點的私有登錄檔支援功能已在 Preview 版推出，適用於 1.29 版叢集。

• 根據預設，Google Distributed Cloud 會將 Docker apt 存放區和所需的 GPG 金鑰新增至叢集節點。除了在部署作業中為每個叢集節點新增套件存放區，您也可以設定叢集使用私人套件存放區來存放容器映像檔。

叢集安全性

• 強化 Google Distributed Cloud 叢集的安全防護機制。

• 使用管理員和使用者叢集部署作業，隔離流量和資料。這種部署類型可協助您達成下列類型的隔離：

  • 工作負載流量與管理流量隔離。
  • 叢集存取權會依群組或角色隔離。
  • 生產工作負載與開發工作負載隔離。

• 將叢集升級至支援的版本。使用支援版本可享有下列安全性優點：

  • 修正安全漏洞。
  • 善用最新安全防護措施和技術的新功能。
  • 更新隨附軟體和元件。

• 為減少外部曝光並享有其他安全性優勢，您可以設定登錄檔鏡像，從公開登錄檔的本機副本安裝 Google Distributed Cloud 元件。

• Google Distributed Cloud (僅限軟體) 的 etcd 叢集會使用 EncryptionConfiguration 和 AES-CBC 加密 etcd 中的密鑰。您無法修改這項設定。值會以靜態加密方式加密，而 Google Distributed Cloud (僅限軟體) 會使用 mTLS 加密 etcd 與 API 伺服器之間，以及 etcd 對等互連之間的通訊。如要進一步瞭解 etcd 和加密，請參閱「靜態加密機密資料」。

工作負載安全防護

• 使用安全增強式 Linux (SELinux) 保護容器。

• 使用二進位授權保護工作負載。 二進位授權是 Google Cloud 上的一項服務，可為在雲端執行的應用程式提供軟體供應鏈安全防護。有了二進位授權，即可確保應用程式會在內部完成保謢軟體品質與完整性的程序後，才部署到正式環境。

• 使用 Workload Identity Federation for GKE 授予 Pod 資源存取權。 Google Cloud Workload Identity Federation for GKE 允許 Kubernetes 服務帳戶以 IAM 服務帳戶的身分執行。以 Kubernetes 服務帳戶執行的 Pod 會具備 IAM 服務帳戶的權限。

• 遵循 GKE RBAC 的最佳做法。

網路安全

• 在 Google Distributed Cloud 和Google Cloud 之間選擇安全連線。 建立基本連線後，請新增可提升連線安全性的功能。

• 在 Proxy 後方安裝叢集並建立防火牆規則，避免叢集曝露在公用網際網路中。此外，請在網路環境中使用適當的控制項，限制叢集的公開存取權。

驗證安全性

• 使用 GKE 身分認證服務管理身分。GKE 身分認證服務是一項驗證服務，可讓您在多個Google Cloud 環境使用現有的身分識別解決方案進行驗證。您可以透過指令列 (所有供應商) 或 Google Cloud 控制台 (僅限 OIDC)，使用現有的身分識別供應商登入及使用 Google Distributed Cloud 叢集。

• 使用 Connect 閘道連線至已註冊的叢集。Connect 閘道以機群為基礎，讓使用者以一致且安全的方式，連線至已註冊的叢集並執行指令。

憑證安全

• 輪替憑證授權單位。 Google Distributed Cloud 會使用憑證和私密金鑰，驗證及加密叢集內系統元件之間的連線。為維持安全的叢集通訊，請定期輪替使用者叢集憑證授權單位，並在發生可能的安全性漏洞時進行輪替。

• 輪替服務帳戶金鑰。為降低金鑰外洩造成的安全風險，建議您定期輪替服務金鑰。

監控安全性

• 使用 Kubernetes 稽核記錄。稽核記錄可讓管理員保留、查詢、處理 Google Distributed Cloud 環境中發生的事件，並建立快訊。

如要進一步瞭解如何監控叢集安全性，請參閱「監控機群資安態勢」。