Questa pagina descrive le funzionalità di sicurezza incluse in Google Distributed Cloud (solo software) per VMware, incluso ogni livello della sua infrastruttura, e come puoi configurare queste funzionalità di sicurezza in base alle tue esigenze.
Panoramica
Google Distributed Cloud (solo software) per VMware offre diverse funzionalità per proteggere i tuoi carichi di lavoro, inclusi i contenuti dell'immagine container, il runtime del container, la rete del cluster e l'accesso al server API del cluster.
È preferibile adottare un approccio a più livelli per proteggere i cluster e i carichi di lavoro. Puoi applicare il principio del privilegio minimo al livello di accesso che fornisci ai tuoi utenti e carichi di lavoro. Potresti dover scendere a compromessi per consentire il giusto livello di flessibilità e sicurezza.
Autenticazione e autorizzazione
L'autenticazione ai cluster avviene tramite OpenID Connect (OIDC) o un token del service account Kubernetes tramite la console Cloud.
Per configurare un accesso più granulare alle risorse Kubernetes a livello di cluster o all'interno degli spazi dei nomi Kubernetes, utilizza il controllo degli accessi basato sui ruoli (RBAC) di Kubernetes. RBAC ti consente di creare criteri dettagliati che definiscono a quali operazioni e risorse vuoi consentire l'accesso agli utenti e agli account di servizio. Con RBAC, puoi controllare l'accesso per qualsiasi identità convalidata fornita.
Per semplificare e ottimizzare ulteriormente la strategia di autenticazione e autorizzazione per Kubernetes Engine, Google Distributed Cloud disabilita il controllo dell'accesso basato sugli attributi (ABAC) legacy.
Sicurezza del piano di controllo
I componenti del control plane includono il server API Kubernetes, lo scheduler, i controller e il database etcd in cui viene mantenuta la configurazione di Kubernetes. Mentre in GKE i componenti del control plane di Kubernetes sono gestiti e mantenuti da Google, gli amministratori locali gestiscono i componenti del control plane in Google Distributed Cloud.
In Google Distributed Cloud, i componenti del control plane vengono eseguiti all'interno della tua rete aziendale. Puoi proteggere il server API Kubernetes utilizzando i firewall e i criteri di rete aziendali esistenti. Puoi anche assegnare un indirizzo IP interno al server API e limitare l'accesso all'indirizzo.
Tutte le comunicazioni in Google Distributed Cloud avvengono tramite canali TLS, che sono regolati da tre autorità di certificazione (CA): etcd, cluster e org:
- La CA etcd protegge la comunicazione dal server API alle repliche etcd e anche il traffico tra le repliche etcd. Questa CA è autofirmata.
- La CA del cluster protegge la comunicazione tra il server API e tutti i client API Kubernetes interni (kubelet, controller, scheduler). Questa CA è autofirmata.
- L'autorità di certificazione dell'organizzazione è un'autorità di certificazione esterna utilizzata per pubblicare l'API Kubernetes per gli utenti esterni. Gestisci questa CA.
Per i control plane di amministrazione, le chiavi vengono archiviate sul nodo del control plane. Per i cluster utente, le chiavi vengono archiviate come segreti Kubernetes nel control plane di amministrazione. Il server API è configurato con un certificato fornito dall'utente firmato dalla CA dell'organizzazione. Il server API utilizza l'indicazione del nome del server (SNI) per determinare se utilizzare la chiave firmata dalla CA del cluster o la chiave firmata dalla CA dell'organizzazione.
L'autenticazione del cluster viene gestita da certificati e token di autenticazione del account di servizio. In qualità di amministratore, esegui l'autenticazione nel control plane utilizzando OIDC o con il certificato amministrativo (che utilizzi per la creazione del binding dei ruoli iniziale o per scopi di emergenza).
La rotazione dei certificati viene gestita nei seguenti modi:
- Per il server API, i piani di controllo e i nodi, i certificati vengono creati o ruotati a ogni upgrade.
- Le CA possono essere ruotate raramente o on demand.
Sicurezza dei nodi
Google Distributed Cloud esegue il deployment dei carichi di lavoro nelle istanze VMware, che sono collegate ai cluster come nodi. Le sezioni seguenti mostrano come utilizzare le funzionalità di sicurezza a livello di nodo disponibili.
Ubuntu
Google Distributed Cloud utilizza una versione ottimizzata di Ubuntu come sistema operativo su cui eseguire il piano di controllo e i nodi Kubernetes. Ubuntu include un ricco insieme di funzionalità di sicurezza moderne e Google Distributed Cloud implementa diverse funzionalità di miglioramento della sicurezza per i cluster, tra cui:
- Le immagini sono preconfigurate per soddisfare gli standard PCI DSS, NIST Baseline High e DoD Cloud Computing SRG Impact Level 2.
- Set di pacchetti ottimizzati.
- Google Cloud-tailored Linux kernel.
- Aggiornamenti automatici della sicurezza del sistema operativo opzionali.
- Account utente limitati e accesso root disabilitato.
Sono disponibili guide aggiuntive per la sicurezza per Ubuntu, ad esempio:
Upgrade dei nodi
Devi eseguire l'upgrade dei nodi regolarmente. Di tanto in tanto, problemi di sicurezza nel runtime del container, in Kubernetes stesso o nel sistema operativo del nodo potrebbero richiedere un upgrade più urgente dei nodi. Quando esegui l'upgrade del cluster, il software di ogni nodo viene aggiornato alle versioni più recenti.
Protezione dei carichi di lavoro
Kubernetes consente agli utenti di eseguire rapidamente il provisioning, lo scale e l'aggiornamento dei carichi di lavoro basati su container. Questa sezione descrive le tattiche che amministratori e utenti possono utilizzare per limitare la capacità dei container in esecuzione di influire su altri container nel cluster, sugli host su cui vengono eseguiti e sui servizi abilitati nel loro progetto. Google Cloud
Limitare i privilegi dei processi dei container di pod
Limitare i privilegi dei processi in container è importante per la sicurezza complessiva del cluster. Kubernetes Engine consente di impostare opzioni relative alla sicurezza tramite il contesto di sicurezza su pod e container. Queste impostazioni ti consentono di modificare le impostazioni di sicurezza dei tuoi processi, ad esempio:
- Utente e gruppo da eseguire come.
- Funzionalità Linux disponibili.
- Escalation dei privilegi.
Il sistema operativo del nodo predefinito, Ubuntu, applica i criteri di sicurezza Docker AppArmor predefiniti a tutti i container avviati da Kubernetes. Puoi visualizzare il modello del profilo su GitHub. Tra le altre cose, il profilo nega ai container le seguenti capacità:
- Scrittura di file direttamente in una directory ID processo (/proc/).
- Scrittura in file che non si trovano in /proc/.
- Scrittura nei file in /proc/sys diversi da /proc/sys/kernel/shm*.
- Montaggio dei file system.
Audit logging
Kubernetes Audit Logging consente agli amministratori di conservare, eseguire query, elaborare e creare avvisi sugli eventi che si verificano nei tuoi ambienti Google Distributed Cloud. Gli amministratori possono utilizzare le informazioni registrate per eseguire analisi forensi, avvisi in tempo reale o per catalogare come e da chi viene utilizzata una flotta di cluster Kubernetes Engine.
Per impostazione predefinita, Google Distributed Cloud registra l'attività di amministrazione. Se vuoi, puoi anche registrare gli eventi di accesso ai dati, a seconda dei tipi di operazioni che ti interessano.
L'agente Connect comunica solo con il server API locale in esecuzione on-premise e ogni cluster deve avere il proprio insieme di log di controllo. Tutte le azioni che gli utenti eseguono dall'interfaccia utente tramite Connect vengono registrate da questo cluster.
Crittografia
Se i tuoi cluster e carichi di lavoro si connettono in modo sicuro ai serviziGoogle Cloud tramite Cloud VPN, puoi utilizzare Cloud Key Management Service (Cloud KMS) per la gestione delle chiavi. Cloud KMS è un Key Management Service ospitato nel cloud che consente di gestire le chiavi di crittografia per i tuoi servizi. Puoi generare, utilizzare, ruotare ed eliminare chiavi di crittografia AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 ed EC P384. Cloud KMS è integrato con Identity and Access Management (IAM) e audit logging di Cloud in modo da gestire le autorizzazioni per le singole chiavi e monitorarne l'utilizzo. Utilizza Cloud KMS per proteggere i secret e altri dati sensibili che devi archiviare. In alternativa, puoi scegliere di utilizzare una delle seguenti alternative:
- Secret Kubernetes
- Hashicorp Vault
- Thales Luna Network HSM
- Google Cloud Hardware Security Module (HSM)
Secret Kubernetes
Le risorse Secret di Kubernetes archiviano dati sensibili, come password, token OAuth e chiavi SSH, nei cluster. L'archiviazione di dati sensibili nei secret è più sicura rispetto all'archiviazione in ConfigMaps in testo normale o nelle specifiche dei pod. L'utilizzo dei secret ti consente di controllare la modalità di utilizzo dei dati sensibili e riduce il rischio di esporre i dati a utenti non autorizzati.