Questo documento descrive come configurare Knative serving e i relativi componenti principali seguendo le best practice per la sicurezza.
Proteggere Knative serving
Knative serving è basato sul progetto open source Knative e ne eredita la postura di sicurezza.
I workload in esecuzione su Knative serving condividono la stessa rete e gli stessi nodi di calcolo. Devi creare cluster separati per i workload che non hanno fiducia reciproca. I cluster Knative serving non devono eseguire workload non correlati, come l'infrastruttura CI/CD o i database.
Ecco alcuni motivi per creare più cluster per i workload Knative serving:
- Separare gli ambienti di sviluppo e produzione.
- Isolare le applicazioni di proprietà di team diversi.
- Isolare i workload con privilegi elevati.
Una volta progettati i cluster, esegui le seguenti azioni per proteggerli:
- Limita l'accesso al cluster.
- Comprendi il modello di minaccia Knative.
- Leggi le informazioni di riferimento sulla sicurezza di Knative se prevedi di utilizzare strumenti supportati dalla community.
Proteggere i componenti
È tua responsabilità proteggere i componenti che non fanno parte di Knative serving.
Cloud Service Mesh
Knative serving si basa su Cloud Service Mesh per l'instradamento del traffico.
Utilizza le seguenti guide per proteggere Cloud Service Mesh:
- Panoramica e funzionalità di sicurezza di Cloud Service Mesh.
- Best practice per la sicurezza di Cloud Service Mesh.
Google Kubernetes Engine
Knative serving utilizza Google Kubernetes Engine (GKE) per pianificare i workload. Esegui le seguenti azioni per proteggere i cluster:
- Segui il tutorial sulla sicurezza di GKE Enterprise.
- Comprendi il modello di multi-tenancy di Google Kubernetes Engine.
- Segui la guida alla protezione del cluster Google Kubernetes Engine.
- Comprendi il modello di responsabilità condivisa di Google Kubernetes Engine.
Vulnerabilità note
Devi abbonarti ai bollettini sulla sicurezza per le dipendenze di Knative serving in modo da rimanere aggiornato sulle vulnerabilità note: