Dengan cepatnya ritme pengembangan di Kubernetes, akan sering diperkenalkan fitur keamanan baru yang dapat Anda gunakan. Dokumen ini menjelaskan cara memperkuat cluster Google Distributed Cloud Anda.
Dokumen ini memprioritaskan mitigasi keamanan penting yang memerlukan tindakan Anda saat pembuatan cluster. Fitur yang kurang penting, setelan yang aman secara default, dan fitur yang dapat diaktifkan setelah pembuatan cluster akan dibahas nanti dalam dokumen ini. Untuk membaca ringkasan umum tentang topik keamanan, tinjau Keamanan.
Checklist
Checklist deployment berikut menyoroti praktik terbaik untuk memperkuat deployment platform cluster GKE Anda. Untuk mengetahui informasi selengkapnya tentang setiap praktik, lihat bagian dalam dokumen ini.
| Checklist deployment | Deskripsi |
|---|---|
| Kontrol akses dan identitas | Gunakan hak istimewa akun vSphere: Mengamankan Google Cloud akun layanan: Konfigurasi OpenID Connect (OIDC): Gunakan namespace dan RBAC Kubernetes untuk membatasi akses: |
| Perlindungan data | Enkripsi virtual machine vSphere: Mengelola secret: |
| Perlindungan jaringan | Membatasi akses jaringan ke bidang kontrol dan node: Menggunakan kebijakan jaringan untuk membatasi traffic: |
| Keamanan deklaratif | Gunakan Pengontrol Kebijakan: |
| Pemeliharaan | Upgrade: Pantau buletin keamanan: |
| Pemantauan dan logging | Tetapkan opsi untuk logging: |
Kontrol akses dan identitas
Bagian ini memberikan informasi tentang cara mengontrol akses ke cluster Anda.
Menggunakan hak istimewa akun vSphere
Akun pengguna vCenter yang Anda gunakan untuk menginstal Google Distributed Cloud harus memiliki hak istimewa yang memadai. Misalnya, akun pengguna yang diberi peran Administrator vCenter memiliki hak istimewa untuk akses lengkap ke semua objek vCenter dan memberikan akses penuh kepada administrator cluster Google Distributed Cloud.
Prinsip hak istimewa terendah direkomendasikan, dengan hanya memberikan hak istimewa yang diperlukan agar berhasil menginstal {product_name}. Kami telah menentukan serangkaian hak istimewa minimum yang diperlukan untuk melakukan penginstalan, serta perintah yang diperlukan untuk memberikan izin ini.
Mengamankan akun layanan Google Cloud
Google Distributed Cloud memerlukan beberapa Google Cloud akun layanan. Selama penginstalan, Anda mengikat peran Identity and Access Management ke akun layanan ini. Peran tersebut memberikan hak istimewa tertentu kepada akun layanan dalam project Anda. Beberapa akun layanan dapat dibuat untuk Anda selama penginstalan.
Mengonfigurasi autentikasi untuk pengguna cluster
Untuk mengonfigurasi autentikasi pengguna untuk cluster, Anda dapat menggunakan OpenID Connect (OIDC) atau Lightweight Directory Access Protocol (LDAP).
Untuk mengetahui informasi selengkapnya, lihat GKE Identity Service.
Menggunakan namespace dan RBAC Kubernetes untuk membatasi akses
Untuk memberi tim akses hak istimewa terendah ke Kubernetes, buat Namespace Kubernetes atau cluster khusus lingkungan. Tetapkan pusat biaya dan label yang sesuai ke setiap namespace untuk akuntabilitas dan penagihan balik. Hanya berikan tingkat akses secukupnya kepada developer agar dapat mengakses Namespace untuk men-deploy dan mengelola aplikasi mereka, terutama dalam produksi.
Petakan tugas yang perlu diselesaikan pengguna terhadap cluster dan tentukan izin yang diperlukan untuk menyelesaikan setiap tugas. Untuk memberikan izin di level cluster dan namespace, gunakan RBAC Kubernetes.
Selain izin untuk Google Cloud akun layanan yang digunakan untuk menginstal Google Distributed Cloud, IAM tidak berlaku untuk cluster Google Distributed Cloud.
Untuk informasi selengkapnya, lihat dokumentasi berikut:
Perlindungan data
Bagian ini memberikan informasi tentang cara melindungi data Anda.
Mengenkripsi mesin virtual vSphere
Node cluster Google Distributed Cloud berjalan di virtual machine (VM) di cluster vSphere Anda. Google sangat menyarankan agar Anda mengenkripsi semua data dalam penyimpanan. Untuk melakukannya di vSphere, ikuti Panduan Konfigurasi & Penguatan Keamanan VMware vSphere 7 dan panduan praktik terbaik untuk mengenkripsi VM.
Tindakan ini harus dilakukan sebelum penginstalan Google Distributed Cloud.
Mengelola secret
Untuk memberikan lapisan perlindungan tambahan bagi data sensitif, seperti Secret Kubernetes yang disimpan di etcd, konfigurasikan pengelola secret yang terintegrasi dengan cluster Google Distributed Cloud.
Jika menjalankan workload di beberapa lingkungan, Anda mungkin lebih memilih solusi yang berfungsi untuk Google Kubernetes Engine dan Google Distributed Cloud. Jika Anda memilih untuk menggunakan secret manager eksternal, seperti HashiCorp Vault, siapkan secret manager tersebut sebelum mengintegrasikan cluster Google Distributed Cloud Anda.
Anda memiliki beberapa opsi untuk pengelolaan secret:
- Anda dapat menggunakan Secret Kubernetes secara native di Google Distributed Cloud. Kami berharap cluster menggunakan enkripsi vSphere untuk VM seperti yang dijelaskan sebelumnya, yang memberikan perlindungan enkripsi dalam penyimpanan dasar untuk rahasia. Secara default, secret tidak dienkripsi lebih lanjut.
- Anda dapat menggunakan secret manager eksternal, seperti HashiCorp Vault. Anda dapat melakukan autentikasi ke HashiCorp menggunakan akun layanan Kubernetes atau akun layanan Google Cloud .
Perlindungan jaringan
Bagian ini memberikan informasi tentang cara melindungi jaringan Anda.
Membatasi akses jaringan ke bidang kontrol dan node
Batasi eksposur bidang kontrol dan node cluster Anda ke internet. Pilihan ini tidak dapat diubah setelah pembuatan cluster. Secara default, node cluster Google Distributed Cloud dibuat menggunakan alamat RFC 1918, dan sebaiknya jangan mengubahnya. Terapkan aturan firewall di jaringan lokal Anda untuk membatasi akses ke bidang kontrol.
Menggunakan kebijakan jaringan untuk membatasi traffic
Secara default, semua Layanan dalam cluster Google Distributed Cloud dapat berkomunikasi satu sama lain. Untuk mengetahui informasi tentang cara mengontrol komunikasi Antar-Layanan sesuai kebutuhan workload Anda, lihat bagian berikut.
Membatasi akses jaringan ke layanan dapat mempersempit ruang gerak penyerang dalam cluster Anda, dan juga memberikan perlindungan tambahan terhadap denial of service baik yang disengaja maupun tidak. Ada dua cara yang direkomendasikan untuk mengontrol traffic:
- Untuk mengontrol traffic L7 ke endpoint aplikasi Anda, gunakan Istio. Pilih opsi ini jika Anda tertarik dengan load balancing, otorisasi layanan, throttling, kuota, dan metrik.
- Untuk mengontrol traffic L4 antar-Pod, gunakan kebijakan jaringan Kubernetes. Pilih cara ini jika Anda memerlukan kemampuan kontrol akses dasar yang dikelola oleh Kubernetes.
Anda dapat mengaktifkan kebijakan jaringan Istio dan Kubernetes setelah membuat cluster Google Distributed Cloud. Anda dapat menggunakannya bersama-sama jika perlu.
Untuk informasi selengkapnya, lihat dokumentasi berikut:
Keamanan deklaratif
Bagian ini memberikan rekomendasi untuk mengamankan cluster Anda.
Menggunakan Pengontrol Kebijakan
Pengontrol penerimaan Kubernetes adalah plugin yang mengatur dan menerapkan cara penggunaan cluster Kubernetes. Pengontrol penerimaan adalah bagian penting dari pendekatan pertahanan yang mendalam untuk memperkuat cluster Anda.
Praktik terbaiknya adalah menggunakan Policy Controller. Pengontrol Kebijakan menggunakan Framework Batasan OPA untuk mendeskripsikan dan menerapkan kebijakan sebagai CRD. Batasan yang Anda terapkan ke cluster ditentukan dalam template batasan, yang di-deploy di cluster Anda.
Untuk mengetahui informasi tentang cara menggunakan batasan Pengontrol Kebijakan untuk mendapatkan banyak perlindungan yang sama seperti PodSecurityPolicies, dengan kemampuan tambahan untuk menguji kebijakan sebelum menerapkannya, lihat Menggunakan batasan untuk menerapkan keamanan Pod.
Untuk informasi selengkapnya, lihat dokumentasi berikut:
Membatasi kemampuan workload dalam modifikasi mandiri
Workload Kubernetes tertentu, terutama workload sistem, memiliki izin untuk menjalankan modifikasi mandiri Sebagai contoh, beberapa workload melakukan penskalaan otomatis secara vertikal. Meskipun berguna, ini akan memungkinkan penyerang yang telah menyusupi node untuk menjelajahi cluster lebih dalam lagi. Misalnya, penyerang dapat membuat workload pada node melakukan modifikasi mandiri untuk dijalankan sebagai akun layanan dengan hak istimewa yang berada di namespace yang sama.
Idealnya, workload seharusnya sejak awal tidak diizinkan untuk melakukan modifikasi mandiri. Jika memerlukan modifikasi mandiri, Anda dapat membatasi izin dengan menerapkan batasan Pemilah Komunikasi atau Pengontrol Kebijakan, seperti NoUpdateServiceAccount dari library open source Pemilah Komunikasi, yang memberikan beberapa solusi keamanan bermanfaat.
Saat Anda men-deploy kebijakan, biasanya Anda perlu mengizinkan pengontrol yang
mengelola siklus proses cluster untuk mengabaikan kebijakan dan pipeline logging dan
pemantauan. Hal ini diperlukan agar pengontrol dapat membuat perubahan pada cluster, seperti menerapkan upgrade cluster. Misalnya, jika Anda men-deploy
kebijakan NoUpdateServiceAccount di Google Distributed Cloud, Anda harus menetapkan
parameter berikut di Constraint:
parameters:
allowedGroups:
- system:masters
allowedUsers:
- system:serviceaccount:kube-system:monitoring-operator
- system:serviceaccount:kube-system:stackdriver-operator
- system:serviceaccount:kube-system:metrics-server-operator
- system:serviceaccount:kube-system:logmon-operator
Pemeliharaan
Bagian ini memberikan informasi tentang cara memelihara cluster Anda.
Mengupgrade Google Distributed Cloud
Kubernetes secara rutin memperkenalkan fitur keamanan baru dan menyediakan patch keamanan.
Anda bertanggung jawab untuk terus memperbarui cluster Google Distributed Cloud Anda. Untuk setiap rilis, tinjau catatan rilis. Selain itu, rencanakan untuk mengupdate ke rilis patch baru setiap bulan dan versi minor setiap tiga bulan. Pelajari cara mengupgrade cluster.
Anda juga bertanggung jawab untuk mengupgrade dan mengamankan infrastruktur vSphere:
- Buat proses untuk melakukan patching dan upgrade tepat waktu VM Anda
- Selalu dapatkan saran keamanan VMware terbaru
- Ikuti panduan tentang menerapkan patch ke host
Memantau buletin keamanan
Tim keamanan GKE memublikasikan buletin keamanan untuk kerentanan tingkat keparahan tinggi dan penting.
Buletin ini mengikuti skema penomoran kerentanan yang umum dan ditautkan dari halaman buletin utama dan catatan rilis Google Distributed Cloud. Google Cloud Google Cloud Setiap halaman buletin keamanan memiliki feed RSS tempat pengguna dapat berlangganan info terbaru.
Saat tindakan pelanggan diperlukan untuk mengatasi kerentanan tinggi dan penting ini, Google akan menghubungi pelanggan melalui email. Selain itu, Google juga dapat menghubungi pelanggan yang memiliki kontrak dukungan melalui saluran dukungan.
Untuk informasi selengkapnya, lihat dokumentasi berikut:
Monitoring dan logging
Google Distributed Cloud mencakup beberapa opsi untuk logging dan pemantauan cluster, termasuk layanan terkelola berbasis cloud, alat open source, dan kompatibilitas yang divalidasi dengan solusi komersial pihak ketiga:
- Cloud Logging dan Cloud Monitoring, yang diaktifkan oleh agen dalam cluster yang di-deploy dengan Google Distributed Cloud
- Konfigurasi yang divalidasi dengan solusi pihak ketiga
Apa pun solusi logging yang Anda pilih berdasarkan persyaratan bisnis, sebaiknya Anda mencatat peristiwa dan pemberitahuan yang relevan ke depan ke layanan manajemen informasi dan peristiwa keamanan (SIEM) terpusat untuk mengelola insiden keamanan.
Untuk informasi selengkapnya, lihat dokumentasi berikut:
- Logging dan pemantauan
- Menggunakan logging dan pemantauan
- Logging dan pemantauan aplikasi
- Memantau Google Distributed Cloud dengan Elastic Stack
- Mengalirkan log dari Google Cloud ke Splunk