שיטות מומלצות לאבטחה ב-Knative serving

במסמך הזה מוסבר איך להגדיר את Knative serving ואת הרכיבים העיקריים שלו בהתאם לשיטות המומלצות לאבטחה.

אבטחת מילוי בקשות מסוג Knative

מילוי בקשות מסוג Knative מבוסס על פרויקט הקוד הפתוח Knative, וכולל את אמצעי האבטחה שלו.

עומסי עבודה שפועלים ב-Knative serving חולקים את אותה רשת ואת אותם צמתי מחשוב. כדאי ליצור אשכולות נפרדים לעומסי עבודה שאין ביניהם אמון הדדי. באשכולות של Knative Serving לא אמורות לפעול עומסי עבודה לא קשורים כמו תשתית CI/CD או מסדי נתונים.

יש כמה סיבות ליצירת כמה אשכולות לעומסי עבודה של Knative Serving, כולל:

• הפרדה בין סביבות פיתוח לסביבות ייצור.
• בידוד אפליקציות שנמצאות בבעלות של צוותים שונים.
• בידוד של עומסי עבודה עם הרשאות גבוהות.

אחרי שתתכננו את האשכולות, תוכלו לבצע את הפעולות הבאות כדי לאבטח אותם:

• הגבלת הגישה לאשכול.
• הסבר על מודל האיומים של Knative
• אם אתם מתכננים להשתמש בכלים עם תמיכה מהקהילה, כדאי לעיין במאמר בנושא אבטחה ב-Knative.

אבטחת רכיבים

באחריותכם לאבטח רכיבים שלא נכללים ב-Knative serving.

Cloud Service Mesh

מילוי בקשות מסוג Knative מסתמך על Cloud Service Mesh לניתוב תעבורה.

כדי לאבטח את Cloud Service Mesh, אפשר להיעזר במדריכים הבאים:

• סקירה כללית על אבטחה ב-Cloud Service Mesh ותכונות
• שיטות מומלצות לאבטחה ב-Cloud Service Mesh

Google Kubernetes Engine

‫Knative serving משתמש ב-Google Kubernetes Engine‏ (GKE) כדי לתזמן עומסי עבודה. כדי לאבטח את האשכולות, כדאי לבצע את הפעולות הבאות:

• פועלים לפי המדריך בנושא אבטחה ב-GKE Enterprise.
• הסבר על מודל ריבוי הדיירים של Google Kubernetes Engine
• פועלים לפי המדריך להקשחת אשכולות Google Kubernetes Engine.
• הסבר על מודל האחריות המשותפת של Google Kubernetes Engine

נקודות חולשה ידועות

כדאי להירשם לעדכוני האבטחה הדחופים של התלויות ב-Knative serving כדי להתעדכן בפגיעויות ידועות:

• עדכוני אבטחה דחופים ל-Cloud Service Mesh.
• עדכוני אבטחה דחופים ל-GKE Enterprise