了解 GKE 中的网络安全

本文档介绍了核心 GKE 网络安全概念(例如最小权限原则),并帮助您选择合适的工具来保护集群。实现 GKE 网络安全的主要目标是工作负载隔离和安全的多租户。为实现这些目标,您应应用最小权限原则和纵深防御原则,并使用可据以采取行动的数据来指导您的安全决策。

在 Google Kubernetes Engine (GKE) 中,将最小权限原则应用于网络流量意味着将通信限制为仅限应用正常运行所需的通信。默认情况下,GKE 集群内的网络处于开放状态,这意味着每个 Pod 都可以与其他每个 Pod 通信。

本文档可帮助运维人员、网络专家和安全专家了解并实施 GKE 集群中的网络安全。如需详细了解 Google Cloud中的常见角色和示例任务,请参阅常见的 GKE 用户角色和任务

在阅读本文档之前,请确认您熟悉以下内容:

  • GKE 网络概念:如需了解概览,请参阅 GKE 网络简介
  • Kubernetes Pod、服务和命名空间:这些基本的 Kubernetes 资源对于定义网络安全政策至关重要。请参阅 Kubernetes 文档
  • 最小权限原则:此安全原则是本文档中始终应用的核心概念。

GKE 网络安全的目标

GKE 网络安全政策可在集群内提供精细的 Kubernetes 感知流量控制。这些政策是您整体安全策略的关键要素。如需实现强大的网络安全性,请考虑以下基本原则:

  • 最小权限:仅向系统和服务授予执行其功能所需的最低权限。此原则可降低破解的潜在影响。借助 Kubernetes 网络政策,您可以从默认开放的网络转变为仅允许必要连接的网络。
  • 纵深防御:分层实施多种独立的安全控制措施。一项控制措施的失败不会导致整个系统遭到破解。例如,您可以使用网络政策来隔离数据库,即使数据库本身需要身份验证也是如此。
  • 可据以采取行动的数据:根据数据做出安全决策。威胁建模和风险评估可帮助您了解安全状况。网络政策日志记录等功能可提供用于验证政策和检测潜在违规行为的数据。

选择网络安全政策

如需选择合适的政策,请确定您需要控制的流量类型和范围。

流量类型

如需选择合适的政策,请考虑您要管理的流量的来源和目的地:

  • 集群内 Pod 之间的通信:如需控制微服务之间的通信方式,请使用基于 Pod 标签和命名空间运行的政策。

    • 作为应用开发者,您可以使用标准 Kubernetes NetworkPolicy 在应用的命名空间内定义入站和出站规则。
    • 作为集群管理员,您可以使用 CiliumClusterwideNetworkPolicy 来强制实施适用于整个集群的安全保护措施。NetworkPolicy 中的拒绝规则优先于 CiliumClusterwideNetworkPolicy 允许规则。

  • 从 Pod 到外部服务的出站流量:如需根据域名控制从 Pod 到外部服务的出站流量,请使用 FQDNNetworkPolicy。当外部服务的 IP 地址不是静态时,此政策非常有用,因为它可以根据 DNS 自动解析和更新允许的 IP 地址。

  • 对所有服务到服务流量进行加密:为确保服务之间的所有通信都经过加密和身份验证,请使用服务网格。使用 Istio 或 Anthos Cloud Service Mesh 实现双向 TLS (mTLS),该功能可自动处理加密。

政策选择摘要

下表总结了应根据您的安全目标使用哪种政策。

目标 建议的政策
使用标签和命名空间控制 Pod 之间的流量。 Kubernetes NetworkPolicy
按域名控制流向外部服务的出站流量。 FQDNNetworkPolicy
加密并验证所有服务到服务的流量。 Istio 或 Anthos Cloud Service Mesh(适用于 mTLS)
以管理员身份强制执行集群范围内的强制性规则。 CiliumClusterwideNetworkPolicy
审核并记录政策允许或拒绝的连接。 网络政策日志记录(针对任何政策启用)

审核网络政策并排查问题

实现网络政策后,请验证它们是否按预期工作,并诊断任何连接问题。您可以使用网络政策日志记录作为主要工具。

启用网络政策日志记录后,GKE 会在 Cloud Logging 中为网络政策允许或拒绝的每个连接生成一条日志记录。这些日志对于执行安全审核和排查意外行为至关重要。通过查看这些日志,您可以了解规则的实际效果,确认合法流量是否按预期流动,以及未经授权的流量是否被屏蔽。

后续步骤