Best practice per la sicurezza in Knative serving

Questo documento descrive come configurare Knative Serving e i suoi componenti principali seguendo le best practice per la sicurezza.

Protezione di Knative serving

Knative serving si basa sul progetto open source Knative e ne eredita la postura di sicurezza.

I carichi di lavoro in esecuzione su Knative Serving condividono gli stessi nodi di rete e di calcolo. Devi creare cluster separati per i carichi di lavoro che non hanno fiducia reciproca. I cluster di Knative Serving non devono eseguire workload non correlati, come l'infrastruttura CI/CD o i database.

I motivi per creare più cluster per i carichi di lavoro di Knative serving includono:

• Separare gli ambienti di sviluppo da quelli di produzione.
• Isolamento delle applicazioni di proprietà di team diversi.
• Isolamento dei workload con privilegi elevati.

Una volta progettati i cluster, esegui le seguenti azioni per proteggerli:

• Limitare l'accesso al cluster.
• Comprendi il modello di minaccia di Knative.
• Leggi il riferimento alla sicurezza di Knative se prevedi di utilizzare strumenti supportati dalla community.

Protezione dei componenti

Sei responsabile della protezione dei componenti che non fanno parte di Knative serving.

Cloud Service Mesh

Knative serving si basa su Cloud Service Mesh per il routing del traffico.

Utilizza le seguenti guide per proteggere Cloud Service Mesh:

• Panoramica e funzionalità di sicurezza di Cloud Service Mesh.
• Best practice per la sicurezza di Cloud Service Mesh.

Google Kubernetes Engine

Knative Serving utilizza Google Kubernetes Engine (GKE) per pianificare i carichi di lavoro. Per proteggere i tuoi cluster, esegui le seguenti azioni:

• Segui il tutorial sulla sicurezza di GKE Enterprise.
• Comprendere il modello multi-tenant di Google Kubernetes Engine.
• Segui la guida alla protezione avanzata del cluster Google Kubernetes Engine.
• Comprendere il modello di responsabilità condivisa di Google Kubernetes Engine.

Vulnerabilità note

Ti consigliamo di iscriverti ai bollettini sulla sicurezza per le dipendenze di Knative serving in modo da rimanere aggiornato sulle vulnerabilità note:

• Bollettini di sicurezza di Cloud Service Mesh.
• Bollettini sulla sicurezza di GKE Enterprise.