Best practice per la sicurezza in Knative serving

Questo documento descrive come configurare Knative serving e i relativi componenti principali seguendo le best practice per la sicurezza.

Proteggere Knative serving

Knative serving è basato sul progetto open source Knative e ne eredita la postura di sicurezza.

I workload in esecuzione su Knative serving condividono la stessa rete e gli stessi nodi di calcolo. Devi creare cluster separati per i workload che non hanno fiducia reciproca. I cluster Knative serving non devono eseguire workload non correlati, come l'infrastruttura CI/CD o i database.

Ecco alcuni motivi per creare più cluster per i workload Knative serving:

  • Separare gli ambienti di sviluppo e produzione.
  • Isolare le applicazioni di proprietà di team diversi.
  • Isolare i workload con privilegi elevati.

Una volta progettati i cluster, esegui le seguenti azioni per proteggerli:

Proteggere i componenti

È tua responsabilità proteggere i componenti che non fanno parte di Knative serving.

Cloud Service Mesh

Knative serving si basa su Cloud Service Mesh per l'instradamento del traffico.

Utilizza le seguenti guide per proteggere Cloud Service Mesh:

Google Kubernetes Engine

Knative serving utilizza Google Kubernetes Engine (GKE) per pianificare i workload. Esegui le seguenti azioni per proteggere i cluster:

Vulnerabilità note

Devi abbonarti ai bollettini sulla sicurezza per le dipendenze di Knative serving in modo da rimanere aggiornato sulle vulnerabilità note: