סקירה כללית על אבטחה

מטרת Kf היא לספק חוויית פיתוח דומה לזו של Cloud Foundry, עם שכפול של מחזור החיים של בנייה, העברה ופריסה. היא עושה את זה על ידי בניית שכבת חוויית משתמש למפתחים על בסיס טכנולוגיות מוכרות ונפוצות כמו Kubernetes,‏ Istio ומאגרי קונטיינרים, במקום ליישם את כל החלקים מאפס.

סקירה כללית על אבטחה

כשמקבלים החלטות בנושאי אבטחה, Kf שואפת לספק פתרונות מלאים שמוטמעים ברכיבים שלהם וניתן להרחיב אותם באמצעות מנגנונים אחרים. פירוט:

• פתרונות מלאים – Kf מנסה לא לספק פתרונות חלקיים שעלולים ליצור תחושת ביטחון כוזבת.
• Native (מובנה) – הפתרונות צריכים להיות חלק מהרכיב ולא מבנה Kf, כדי למנוע שינויים שעלולים לשבור את התאימות.
• ניתן להרחיב את הגישה הזו, כלומר הגישה של Kf אמורה לעבוד בצורה חלקה עם כלים אחרים של Kubernetes ו-Google Cloud להגנה מעמיקה.

שיקולים חשובים

בנוסף למגבלות הנוכחיות שמתוארות בהמשך, חשוב לקרוא ולהבין את הפריטים שמפורטים בקטע הזה.

Workload Identity

כברירת מחדל, Kf משתמש ב-Workload Identity כדי לספק מסירה מאובטחת ורוטציה של פרטי הכניסה של חשבון השירות שמשמש את Kf לאינטראקציה עם פרויקט Google Cloud . כדי לעשות את זה, Workload Identity ממפה חשבון שירות של Kubernetes ‏ (KSA) לחשבון שירות של Google ‏ (GSA). במרחב השמות kf פועל בקר Kf שמשתמש ב-KSA בשם controller שמופה ל-GSA כדי לבצע את הפעולות הבאות:

1. כתיבת מדדים ל-Stackdriver
2. כשיוצרים מרחב חדש של Kf ‏ (kf create-space), בקר Kf יוצר KSA חדש בשם kf-builder במרחב החדש וממפה אותו לאותו GSA.
3. ‫KSA‏ kf-builder משמש את Tekton לדחיפה ולמשיכה של קובצי אימג' של קונטיינרים אל Google Container Registry‏ (gcr.io)

הדיאגרמה הזו ממחישה את האינטראקציות האלה:

מגבלות נוכחיות

• ‫Kf לא מספקת תפקידי RBAC מוגדרים מראש.
  • עד ש-Kf תספק את זה, אפשר להשתמש ב-RBAC.
• מפתח שמפרסם אפליקציה עם Kf יכול גם ליצור פודים (עם kubectl) שיכולים להשתמש ב-kf-builder KSA עם ההרשאות של ה-GSA המשויך.
• כדי לבצע פריסה ב-Kf, נדרשת גישת כתיבה למאגר תמונות של קונטיינרים.
  • פריסת Kf בפרויקט ייעודי ללא גישה למשאבי הייצור.
  • נותנים למפתחים גישה להעלאת קוד למאגר Artifact על ידי הענקת להם roles/storage.admin בפרויקט או בדליים שבהם נעשה שימוש במאגר Artifact.
• ‫Kf משתמש באותו Pod כדי לאחזר, ליצור ולאחסן תמונות.
  • חשוב להניח שפרטי הכניסה שאתם מספקים יכולים להיות ידועים למחברים ולמפרסמים של חבילות ה-buildpack שבהן אתם משתמשים.
• ‫Kf לא תומך במכסות כדי להגן מפני שכנים רועשים.
  • שימוש במכסות משאבים ב-Kubernetes.

משאבים אחרים

כללי

• סקירה כללית בנושא אבטחה ב-GKE
• ריבוי דיירים (multitenancy) באשכול GKE
• Workload Identity
• GKE וכללי מדיניות של IAM

אמצעי הגנה מומלצים

• הגנה על מטא-נתונים של אשכול
• בקרת גישה מבוססת-תפקידים

אמצעי הגנה מתקדמים

• GKE Sandbox
• כללי מדיניות הרשת