Dokumen ini menjelaskan cara mengonfigurasi penayangan Knative dan komponen utamanya dengan mengikuti praktik terbaik keamanan.
Mengamankan inferensi Knative
Layanan Knative didasarkan pada project open source Knative, dan mewarisi postur keamanannya.
Beban kerja yang berjalan di layanan Knative berbagi jaringan dan node komputasi yang sama. Anda harus membuat cluster terpisah untuk workload yang tidak memiliki mutual trust. Cluster layanan Knative tidak boleh menjalankan workload yang tidak terkait seperti infrastruktur CI/CD atau database.
Alasan untuk membuat beberapa cluster untuk workload penayangan Knative mencakup:
- Memisahkan pengembangan dari lingkungan produksi.
- Mengisolasi aplikasi yang dimiliki oleh tim yang berbeda.
- Mengisolasi workload dengan hak istimewa tinggi.
Setelah Anda mendesain cluster, lakukan tindakan berikut untuk membantu mengamankannya:
- Membatasi akses ke cluster Anda.
- Pahami model ancaman Knative.
- Baca referensi keamanan Knative jika Anda berencana menggunakan alat yang didukung komunitas.
Mengamankan komponen
Anda bertanggung jawab untuk mengamankan komponen yang bukan bagian dari layanan Knative.
Cloud Service Mesh
Layanan Knative mengandalkan Cloud Service Mesh untuk merutekan traffic.
Gunakan panduan berikut untuk membantu Anda mengamankan Cloud Service Mesh:
Google Kubernetes Engine
Layanan Knative menggunakan Google Kubernetes Engine (GKE) untuk menjadwalkan workload. Lakukan tindakan berikut untuk membantu mengamankan cluster Anda:
- Ikuti tutorial keamanan GKE Enterprise.
- Pahami model multi-tenancy Google Kubernetes Engine.
- Ikuti panduan penguatan cluster Google Kubernetes Engine.
- Pahami model tanggung jawab bersama Google Kubernetes Engine.
Kerentanan yang diketahui
Anda harus berlangganan buletin keamanan untuk dependensi penayangan Knative agar Anda dapat terus mengetahui kerentanan yang diketahui: