本頁面簡介如何為 Google Distributed Cloud 建立良好的安全做法。本頁面的指引並未詳盡列出所有最佳做法。
在 Google Distributed Cloud 上採用安全防護最佳做法,需要套用 Kubernetes 和 Google Kubernetes Engine (GKE) 的概念,以及 Google Distributed Cloud 獨有的概念。
Kubernetes 安全性
使用 Google Distributed Cloud 時,建議您遵循一般 Kubernetes 安全性指南。
如要瞭解 Kubernetes 安全性指南簡介,請參閱 Kubernetes 說明文件中的「安全性檢查清單」和「雲端原生安全性總覽」。
GKE 安全性
Google Distributed Cloud 會擴大 GKE 的使用範圍,讓您在自己的地端部署 Linux 伺服器建立 GKE 叢集。如要進一步瞭解 GKE 安全性,請參閱 GKE 安全性總覽。請注意,由於控制層和節點是在地端執行,因此控制層安全性和節點安全性的建議不適用。
Google Distributed Cloud 安全性
以下各節提供指南,協助您為 Google Distributed Cloud 建立良好的安全做法。
硬體安全
運用業界標準的實體安全防護和安全功能,保護您的地端資料中心。
確保管理工作站的存取權受到嚴格限制。管理員工作站會儲存機密資料,例如
kubeconfig
檔案、SSH 金鑰和服務帳戶金鑰。
節點安全性
更新軟體套件並安裝安全性修補程式,確保作業系統維持在最新狀態。
如要進一步控管工作負載映像檔提取作業,並享有相關安全優勢,可以設定工作站節點,向私人登錄檔進行驗證。節點的私有登錄檔支援功能適用於 1.29 版叢集的預先發布版。
根據預設,Google Distributed Cloud 會將 Docker
apt
存放區和所需的 GPG 金鑰新增至叢集節點。除了在部署作業的每個叢集節點中新增套件存放區,您也可以設定叢集使用私人套件存放區來存放容器映像檔。
叢集安全性
使用管理員和使用者叢集部署作業,隔離流量和資料。這種部署類型可協助您達成下列類型的隔離:
- 工作負載流量與管理或管理層流量隔離。
- 叢集存取權會依群組或角色隔離。
- 生產工作負載與開發工作負載隔離。
-
- 修正安全漏洞。
- 善用最新安全防護措施和技術的新功能。
- 更新隨附軟體和元件。
為減少外部曝光並享有其他安全性優勢,您可以設定登錄檔鏡像,從公開登錄檔的本機副本安裝 Google Distributed Cloud 元件。
工作負載安全性
使用二進位授權保護工作負載。二進位授權是 Google Cloud 上的一項服務,可為雲端執行的應用程式提供軟體供應鏈安全防護。有了二進位授權,即可確保應用程式會在內部完成保謢軟體品質與完整性的程序後,才部署到實際工作環境。
使用 Workload Identity Federation for GKE 授予 Pod Google Cloud 資源的存取權。透過 GKE 適用的 Workload Identity Federation,Kubernetes 服務帳戶可以 IAM 服務帳戶的身分執行。以 Kubernetes 服務帳戶執行的 Pod 會具備 IAM 服務帳戶的權限。
網路安全
選擇 Google Distributed Cloud 與Google Cloud 之間的連線方式,確保連線安全。建立基本連線後,請新增可提升連線安全性的功能。
在 Proxy 後方安裝叢集並建立防火牆規則,避免叢集曝露在公開網路上。此外,請在網路環境中使用適當的控制項,限制叢集的公開存取權。
驗證安全性
使用 GKE Identity Service 管理身分。GKE Identity Service 是一項驗證服務,可讓您在多個 Google Kubernetes Engine (GKE) Enterprise 版環境中,使用現有的身分識別解決方案進行驗證。您可以透過指令列 (所有供應商) 或 Google Cloud 控制台 (僅限 OIDC),使用現有的身分識別供應商登入及使用 Google Distributed Cloud 叢集。
使用 Connect 閘道連線至已註冊的叢集。Connect 閘道以機群為基礎,讓 GKE Enterprise 使用者以一致且安全的方式,連線至已註冊的叢集並執行指令。
憑證安全
輪替憑證授權單位。 Google Distributed Cloud 會使用憑證和私密金鑰,驗證叢集中系統元件之間的連線並加密。為維持安全的叢集通訊,請定期輪替使用者叢集憑證授權單位,並在發生可能的安全漏洞時進行輪替。
輪替服務帳戶金鑰。為降低金鑰外洩造成的安全風險,建議您定期輪替服務金鑰。
監控安全性
- 使用 Kubernetes 稽核記錄。稽核記錄可讓管理員保留、查詢、處理 Google Distributed Cloud 環境中發生的事件,並建立快訊。
如要進一步瞭解如何監控叢集安全性,請參閱「監控車隊安全防護機制」。