Panoramica sulla sicurezza

Questa pagina descrive l'architettura di sicurezza di GKE su AWS, inclusi la crittografia e la configurazione dei nodi.

I cluster GKE offrono funzionalità per proteggere i tuoi carichi di lavoro, inclusi i contenuti dell'immagine container, il runtime del container, la rete del cluster e l'accesso al server API del cluster.

Quando utilizzi i cluster GKE, accetti di assumerti determinate responsabilità per i tuoi cluster. Per maggiori informazioni, consulta Responsabilità condivise dei cluster GKE.

Crittografia AWS KMS

GKE su AWS utilizza chiavi simmetriche AWS Key Management Service (KMS) gestite dal cliente per criptare:

• Dati di stato di Kubernetes in etcd
• Istanza EC2 dati utente
• Volumi EBS per la crittografia dei dati at-rest del piano di controllo e del pool di nodi

Per gli ambienti di produzione, consigliamo di utilizzare chiavi diverse per la configurazione e la crittografia dei volumi. Per ridurre ulteriormente i rischi in caso di compromissione di una chiave, puoi anche creare chiavi diverse per ciascuno dei seguenti elementi:

• Configurazione del control plane del cluster
• Database del piano di controllo del cluster
• Volume principale del control plane del cluster
• Volume root del control plane del cluster
• Configurazione del node pool
• Volume root del node pool

Per una maggiore sicurezza, puoi creare una policy della chiave AWS KMS che assegna solo il set minimo richiesto di autorizzazioni. Per ulteriori informazioni, consulta Creazione di chiavi KMS con autorizzazioni specifiche.

Crittografia dei dati at-rest

La crittografia dei dati at-rest è la crittografia dei dati archiviati, a differenza dei dati in transito. Per impostazione predefinita, GKE su AWS cripta i dati in etcd e nei volumi di archiviazione at-rest utilizzando chiavi gestite dalla piattaforma AWS.

I cluster GKE su AWS archiviano i dati nei volumi AWS Elastic Block Storage (EBS). Questi volumi EBS sono sempre criptati in stato inattivo con chiavi AWS Key Management System (AWS KMS). Quando crei cluster e pool di nodi, puoi fornire una chiave KMS gestita dal cliente (CMK) per criptare i volumi EBS sottostanti. Se non specifichi una chiave, AWS utilizza la chiave gestita da AWS predefinita all'interno della regione AWS in cui viene eseguito il cluster.

Inoltre, tutti i cluster GKE abilitano la crittografia dei secret a livello di applicazione per i dati sensibili, come gli oggetti Secret di Kubernetes, che vengono archiviati in etcd. Anche se gli autori degli attacchi ottengono l'accesso al volume sottostante in cui sono archiviati i dati etcd, questi dati sono criptati.

Quando crei un cluster, devi passare una chiave AWS KMS al campo --database-encryption-kms-key-arn. Questa chiave viene utilizzata per la crittografia envelope dei dati dell'applicazione. Poiché questo campo della risorsa è immutabile e non può essere modificato dopo la creazione del cluster, ti consigliamo di utilizzare un alias della chiave KMS. Puoi utilizzare gli alias delle chiavi per ruotare le chiavi utilizzate per la crittografia at-rest durante il ciclo di vita del cluster.

Come funziona la crittografia a livello di applicazione

Kubernetes offre la crittografia a livello di applicazione con una tecnica nota come crittografia envelope. Una chiave locale, comunemente chiamata chiave di crittografia dei dati (DEK), viene utilizzata per criptare un secret. La DEK viene poi criptata con una seconda chiave chiamata chiave di crittografia della chiave (KEK). La KEK non viene archiviata da Kubernetes. Quando crei un nuovo secret Kubernetes, il cluster esegue le seguenti operazioni:

1. Il server API Kubernetes genera una DEK univoca per il secret utilizzando un generatore di numeri casuali.

2. Il server API Kubernetes cripta il secret localmente con la DEK.

3. Il server API Kubernetes invia la DEK ad AWS KMS per la crittografia.

4. AWS KMS utilizza una KEK pregenerata per criptare la DEK e restituisce la DEK criptata al plug-in AWS KMS del server API Kubernetes.

5. Il server API Kubernetes salva il secret criptato e la DEK criptata in etcd. La DEK in testo normale non viene salvata su disco.

6. Il server API Kubernetes crea una voce della cache in memoria per mappare la DEK criptata alla DEK non criptata. Ciò consente al server API di decriptare i secret a cui è stato eseguito l'accesso di recente senza eseguire query su AWS KMS.

Quando un client richiede un secret dal server dell'API Kubernetes, ecco cosa succede:

1. Il server API Kubernetes recupera il secret criptato e la DEK criptata da etcd.

2. Il server dell'API Kubernetes controlla la cache per una voce della mappa esistente e, se la trova, decripta il secret.

3. Se non è presente alcuna voce della cache corrispondente, il server API invia la DEK ad AWS KMS per la decriptazione utilizzando la KEK. La DEK decriptata viene quindi utilizzata per decriptare il secret.

4. Infine, il server API Kubernetes restituisce il secret decriptato al client.

Rotazione chiavi

A differenza della rotazione dei certificati, rotazione della chiave consiste nel modificare il materiale di crittografia sottostante contenuto in una chiave di crittografia della chiave (KEK). Può essere attivata automaticamente nell'ambito di una rotazione pianificata oppure manualmente, di solito dopo un incidente di sicurezza in cui le chiavi potrebbero essere state compromesse. La rotazione della chiave sostituisce solo il singolo campo della chiave che contiene i dati della chiave di crittografia/decrittografia non elaborati.

Rotazione delle chiavi KMS

AWS KMS supporta la rotazione automatica delle chiavi KMS. Se abilitata, AWS genera automaticamente nuovo materiale associato alla chiave di crittografia per la tua chiave una volta all'anno. Non sono richieste azioni manuali.

Per ulteriori informazioni, consulta la sezione Rotazione delle chiavi.

Attendibilità cluster

Tutte le comunicazioni del cluster utilizzano Transport Layer Security (TLS). Ogni cluster viene sottoposto a provisioning con le seguenti autorità di certificazione (CA) radice autofirmate principali:

• La CA radice del cluster viene utilizzata per convalidare le richieste inviate al server API.
• La CA radice etcd viene utilizzata per convalidare le richieste inviate alle repliche etcd.

Ogni cluster ha una CA radice univoca. Se la CA di un cluster viene compromessa, la CA di nessun altro cluster viene interessata. Tutte le CA radice hanno un periodo di validità di 30 anni.

Sicurezza dei nodi

GKE su AWS esegue il deployment dei tuoi workload nei pool di nodi delle istanze AWS EC2. La sezione seguente illustra le funzionalità di sicurezza dei nodi.

Ubuntu

I nodi eseguono una versione ottimizzata del sistema operativo Ubuntu per eseguire il control plane e i nodi di Kubernetes. Per saperne di più, consulta le funzionalità di sicurezza nella documentazione di Ubuntu.

I cluster GKE implementano diverse funzionalità di sicurezza, tra cui le seguenti:

• Set di pacchetti ottimizzato

• Google Cloud-tailored Linux kernel

• Account utente limitati e accesso root disabilitato

Sono disponibili guide aggiuntive per la sicurezza per Ubuntu, ad esempio:

• Benchmark CIS

• DISA STIG

• FIPS 140-2

Proteggere i carichi di lavoro

Kubernetes consente agli utenti di eseguire rapidamente il provisioning, lo scale e l'aggiornamento dei carichi di lavoro basati su container. Questa sezione descrive le tattiche che puoi utilizzare per limitare gli effetti collaterali dell'esecuzione di container su cluster e servizi. Google Cloud

Limitare i privilegi di processo dei container di pod

Limitare i privilegi dei processi in container è importante per la sicurezza del tuo cluster. Puoi impostare opzioni relative alla sicurezza con un contesto di sicurezza. Queste impostazioni ti consentono di modificare le impostazioni di sicurezza dei tuoi processi, ad esempio:

• Utente e gruppo che eseguono il processo
• Funzionalità Linux disponibili
• Escalation dei privilegi

Il sistema operativo del nodo GKE su AWS predefinito, Ubuntu, utilizza i criteri di sicurezza Docker AppArmor predefiniti per tutti i container. Puoi visualizzare il modello del profilo su GitHub. Tra le altre cose, questo profilo nega ai container le seguenti capacità:

• Scrittura nei file direttamente in una directory ID processo (/proc/)
• Scrittura in file che non si trovano in /proc/
• Scrittura nei file in /proc/sys diversi da /proc/sys/kernel/shm*
• Montaggio di file system

Limitare la capacità dei workload di automodificarsi

Alcuni carichi di lavoro Kubernetes, in particolare quelli di sistema, hanno l'autorizzazione per modificarsi autonomamente. Ad esempio, alcuni carichi di lavoro vengono scalati automaticamente in verticale. Sebbene comoda, questa operazione può consentire a un malintenzionato che ha già compromesso un nodo di ottenere privilegi più elevati nel cluster. Ad esempio, un malintenzionato potrebbe fare in modo che un workload sul nodo venga eseguito come un account di servizio con più privilegi che esiste nello stesso spazio dei nomi.

Idealmente, ai workload non dovrebbe essere concessa l'autorizzazione a modificarsi in primo luogo. Quando è necessaria l'automodifica, puoi limitare le autorizzazioni installando Policy Controller o Gatekeeper nel tuo cluster e applicando vincoli, ad esempio NoUpdateServiceAccount dalla libreria open source Gatekeeper, che fornisce diverse norme di sicurezza utili.

Quando implementi i criteri, in genere è necessario consentire ai controller che gestiscono il ciclo di vita del cluster di ignorare i criteri. Questo è necessario affinché i controller possano apportare modifiche al cluster, ad esempio applicare gli upgrade del cluster. Ad esempio, se esegui il deployment del criterio NoUpdateServiceAccount su GKE su AWS, devi impostare i seguenti parametri in Constraint:

parameters:
  allowedGroups: []
  allowedUsers:
  - service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com

Sostituisci PROJECT_NUMBER con il numero (non l'ID) del progetto che ospita il cluster.

Utilizza Autorizzazione binaria

Un altro modo per proteggere i tuoi carichi di lavoro è abilitare Autorizzazione binaria. Autorizzazione binaria è una funzionalità di sicurezza che garantisce che venga eseguito il deployment solo delle immagini container attendibili sui cluster GKE.

Ecco come funziona la procedura:

1. Gli amministratori creano un criterio che definisce i requisiti per il deployment di un'immagine. Ciò include la specifica delle entità attendibili e autorizzate (attestatori) che possono firmare le immagini e potrebbe includere altri criteri che un'immagine deve soddisfare per essere considerata sicura per la distribuzione.

2. Un attestatore (ad esempio, uno sviluppatore o un sistema automatizzato) utilizza un algoritmo crittografico per generare una coppia di chiavi (chiavi privata e pubblica).

3. La chiave privata, che viene mantenuta segreta, viene utilizzata per generare una firma digitale (ovvero un insieme univoco di caratteri) per un'immagine. Questa firma funge da sigillo di approvazione: è un segno che l'immagine ha superato tutti i controlli e le convalide necessari.

4. La firma digitale viene quindi "allegata" all'immagine. In altre parole, la firma viene archiviata nei metadati dell'immagine, di solito nel registro delle immagini.

5. La chiave pubblica viene quindi registrata nel sistema di autorizzazione binaria, in modo che possa essere utilizzata per la verifica della firma.

6. Quando viene effettuata una richiesta di deployment di un container, il sistema di autorizzazione binaria recupera la firma digitale allegata all'immagine nel registro.

7. Il sistema di autorizzazione binaria utilizza la chiave pubblica registrata per verificare la firma digitale allegata all'immagine. Verifica inoltre che l'immagine soddisfi tutti gli altri criteri definiti nelle norme. Se la firma digitale può essere verificata correttamente utilizzando la chiave pubblica e i dati dell'immagine e l'immagine soddisfa tutti gli altri criteri definiti nelle norme, il sistema Autorizzazione binaria consente il deployment del container. Se la firma digitale non può essere verificata correttamente utilizzando la chiave pubblica e i dati dell'immagine oppure se l'immagine non soddisfa altri criteri definiti nelle norme, il sistema di autorizzazione binaria nega il deployment del container.

Per saperne di più sul funzionamento di Autorizzazione binaria, consulta la panoramica di Autorizzazione binaria.

Per abilitare Autorizzazione binaria su un cluster esistente o durante la creazione di un cluster, consulta la sezione Come abilitare Autorizzazione binaria.

Isolare i carichi di lavoro su pool di nodi dedicati

Puoi utilizzare incompatibilità e tolleranze di Kubernetes per designare pool di nodi specifici per eseguire tipi specifici di carichi di lavoro. Ad esempio, puoi indicare a GKE su AWS di pianificare i carichi di lavoro degli utenti lontano dalla maggior parte dei carichi di lavoro gestiti dal sistema o di posizionare i carichi di lavoro con diversi livelli di attendibilità in diversi pool di nodi.

L'isolamento dei carichi di lavoro mediante incompatibilità e tolleranze non è una misura di sicurezza garantita. Utilizza questa opzione solo insieme alle altre misure di hardening offerte da GKE su AWS.

Per saperne di più, consulta Isolare i workload in node pool dedicati.

Passaggi successivi

• Scopri di più sulla rotazione delle chiavi.