Ringkasan keamanan

Halaman ini memberikan pengantar untuk menerapkan praktik keamanan yang baik untuk Google Distributed Cloud. Panduan di halaman ini tidak dimaksudkan untuk memberikan daftar praktik terbaik yang komprehensif.

Menggunakan praktik terbaik untuk keamanan di Google Distributed Cloud melibatkan penerapan konsep dari Kubernetes dan Google Kubernetes Engine (GKE), serta konsep yang unik untuk Google Distributed Cloud.

Keamanan Kubernetes

Sebaiknya ikuti panduan Kubernetes umum untuk keamanan saat Anda menggunakan Google Distributed Cloud.

Untuk pengantar panduan keamanan Kubernetes, lihat Checklist Keamanan dan Ringkasan Keamanan Native Cloud dalam dokumentasi Kubernetes.

Keamanan GKE

Google Distributed Cloud memperluas GKE agar Anda dapat membuat cluster GKE di server Linux Anda sendiri di lokasi Anda sendiri. Untuk mempelajari keamanan GKE lebih lanjut, lihat ringkasan keamanan GKE. Saat membaca, perlu diingat bahwa karena bidang kontrol dan node Anda berjalan di lokal, saran untuk keamanan bidang kontrol dan keamanan node tidak berlaku.

Keamanan Google Distributed Cloud

Bagian berikut memberikan panduan untuk menerapkan praktik keamanan yang baik untuk Google Distributed Cloud.

Keamanan hardware

• Amankan pusat data on-premise Anda dengan fitur keamanan dan keselamatan fisik standar industri.

• Pastikan akses ke workstation admin Anda sangat dibatasi. Workstation admin menyimpan data sensitif seperti file kubeconfig, kunci SSH, dan kunci akun layanan.

Keamanan node

• Pastikan sistem operasi Anda selalu yang terbaru dengan mengupdate paket software dan menginstal patch keamanan.

• Untuk kontrol tambahan atas pengambilan image workload dan manfaat keamanan terkait, Anda dapat mengonfigurasi node pekerja untuk mengautentikasi ke registry pribadi. Dukungan registry pribadi untuk node tersedia untuk Pratinjau untuk cluster versi 1.29.

• Secara default, Google Distributed Cloud menambahkan repositori apt Docker dan kunci GPG yang diperlukan ke node cluster Anda. Sebagai alternatif untuk menambahkan repositori paket ke setiap node cluster dalam deployment, Anda dapat mengonfigurasi cluster untuk menggunakan repositori paket pribadi untuk image container.

Keamanan cluster

• Perkuat keamanan cluster Google Distributed Cloud Anda.

• Isolasi traffic dan data Anda menggunakan penempatan cluster admin dan pengguna. Jenis deployment ini membantu Anda mencapai jenis isolasi berikut:

  • Traffic workload diisolasi dari traffic platform manajemen atau administratif.
  • Akses cluster diisolasi menurut grup atau peran.
  • Workload produksi diisolasi dari workload pengembangan.

• Upgrade cluster Anda ke versi yang didukung. Menggunakan versi yang didukung akan memberi Anda manfaat keamanan berikut:

  • Perbaikan untuk kerentanan keamanan.
  • Fitur dan fungsi baru yang memanfaatkan postur dan teknologi keamanan terbaru.
  • Update untuk software dan komponen yang dipaketkan.

• Untuk mengurangi eksposur eksternal dan manfaat keamanan lainnya, Anda dapat mengonfigurasi mirror registry untuk menginstal komponen Google Distributed Cloud dari salinan lokal registry publik.

Keamanan workload

• Amankan penampung Anda menggunakan Security-Enhanced Linux (SELinux).

• Amankan workload Anda dengan Otorisasi Biner. Otorisasi Biner adalah layanan di Google Cloud yang menyediakan keamanan supply chain software untuk aplikasi yang berjalan di cloud. Dengan Otorisasi Biner, Anda dapat memastikan bahwa proses internal yang menjaga kualitas dan integritas software telah berhasil diselesaikan sebelum aplikasi di-deploy ke lingkungan produksi.

• Gunakan Workload Identity Federation for GKE untuk memberi Pod akses ke resource Google Cloud . Workload Identity Federation untuk GKE memungkinkan akun layanan Kubernetes berjalan sebagai akun layanan IAM. Pod yang berjalan sebagai akun layanan Kubernetes memiliki izin akun layanan IAM.

• Ikuti praktik terbaik untuk RBAC GKE.

Keamanan jaringan

• Pilih koneksi aman antara Google Distributed Cloud dan Google Cloud. Setelah koneksi dasar Anda diterapkan, tambahkan fitur yang meningkatkan keamanan koneksi Anda.

• Batasi eksposur cluster Anda ke internet publik dengan menginstalnya di balik proxy dan membuat aturan firewall. Gunakan juga kontrol yang sesuai di lingkungan jaringan Anda untuk membatasi akses publik ke cluster.

Keamanan autentikasi

• Mengelola identitas dengan GKE Identity Service. Identity Service GKE adalah layanan autentikasi yang memungkinkan Anda membawa solusi identitas yang ada untuk autentikasi ke beberapa lingkungan edisi Enterprise Google Kubernetes Engine (GKE). Anda dapat login ke dan menggunakan cluster Google Distributed Cloud dari command line (semua penyedia) atau dari konsol Google Cloud (khusus OIDC), semuanya menggunakan penyedia identitas yang ada.

• Hubungkan ke cluster terdaftar dengan gateway Connect. Gateway Connect dibuat berdasarkan kemampuan fleet untuk memungkinkan pengguna GKE Enterprise terhubung dan menjalankan perintah terhadap cluster terdaftar dengan cara yang konsisten dan aman.

Keamanan kredensial

• Merotasikan otoritas sertifikat. Google Distributed Cloud menggunakan sertifikat dan kunci pribadi untuk mengautentikasi dan mengenkripsi koneksi antar-komponen sistem dalam cluster. Untuk mempertahankan komunikasi cluster yang aman, rotasi otoritas sertifikat cluster pengguna secara berkala dan setiap kali ada kemungkinan pelanggaran keamanan.

• Merotasikan kunci akun layanan. Untuk mengurangi risiko keamanan yang disebabkan oleh kebocoran kunci, sebaiknya Anda merotasi kunci layanan secara rutin.

Memantau keamanan Anda

• Gunakan logging audit Kubernetes. Logging audit memungkinkan administrator menyimpan, membuat kueri, memproses, dan memberi tahu peristiwa yang terjadi di lingkungan Google Distributed Cloud Anda.

Untuk mengetahui informasi selengkapnya tentang cara memantau keamanan cluster, lihat Memantau postur keamanan armada.