Acerca de la autoridad del plano de control de GKE

---

En esta página, se describen las opciones que ofrece Google Kubernetes Engine (GKE) para mejorar tu visibilidad y control sobre la seguridad del plano de control administrado. Estas opciones se conocen en conjunto como autoridad del plano de control de GKE. Esta página está dirigida a los líderes de seguridad de la información, los administradores de cumplimiento y los analistas que desean satisfacer las estrictas necesidades de privacidad y seguridad para el manejo de datos sensibles.

Acerca de las funciones de autoridad del plano de control de GKE

En GKE, Google Cloud administra por completo la configuración de seguridad del plano de control, incluida la encriptación del almacenamiento en reposo y la configuración de las claves y las autoridades de certificación (AC) que firman y verifican las credenciales en tus clústeres. Los nodos del plano de control para los clústeres de GKE existen en proyectos que Google Cloud administra. Para obtener detalles sobre lo que hace Google Cloud , consulta Responsabilidad compartida de GKE.

La autoridad del plano de control de GKE es un conjunto opcional de capacidades de visibilidad y control que te permiten verificar y administrar aspectos específicos de estos nodos del plano de control completamente administrados. Estas capacidades son ideales si tienes requisitos como los siguientes:

• Operas en una industria muy regulada, como la financiera, la de atención médica o la gubernamental, con requisitos de cumplimiento específicos.
• Manejas datos sensibles que tienen requisitos estrictos de seguridad y encriptación.
• Deseas mejorar la visibilidad de GKE para aumentar tu confianza cuando ejecutas cargas de trabajo críticas.
• Debes cumplir con requisitos específicos de cumplimiento o auditoría relacionados con el registro, la integridad del software o la encriptación de datos.
• Tienes cargas de trabajo altamente sensibles que procesan datos críticos y deseas tener visibilidad de la encriptación y el acceso a esos datos.
• Deseas aplicar políticas de seguridad personalizadas que cumplan con requisitos organizacionales o reglamentarios específicos.
• Deseas un mayor nivel de transparencia y visibilidad en tus entornos de GKE, en especial en relación con las acciones queGoogle Cloud realiza en el plano de control.

Beneficios de la autoridad del plano de control de GKE

Las capacidades de la autoridad del plano de control de GKE son ideales en entornos altamente regulados que tienen políticas de seguridad o requisitos de auditoría estrictos. El uso de estas capacidades otorga beneficios como los siguientes:

• Visibilidad y control mejorados: Usa capacidades adicionales de visibilidad, control y encriptación para tu plano de control de GKE.
• Cumplimiento optimizado: Cumple con los requisitos reglamentarios y de la industria con registros de auditoría detallados y políticas de seguridad personalizables.
• Mayor confianza y transparencia: Obtén estadísticas sobre las acciones que realizaGoogle Cloud en el plano de control cuando resuelve casos de asistencia al cliente.
• Mitigación de riesgos: Detecta y responde de forma proactiva a las posibles amenazas al plano de control administrado con registros integrales.
• Administración estandarizada de CA y claves: Administra las CA de tu clúster de GKE con Certificate Authority Service, lo que te permite delegar la administración de certificados en equipos específicos y aplicar de forma integral las políticas de CA. Además, administra tus claves de encriptación de disco del plano de control con Cloud KMS para una delegación de administración similar.

Disponibilidad de la autoridad del plano de control de GKE

Las regiones y zonas en las que puedes usar la autoridad del plano de control de GKE dependen de si también deseas usar funciones específicas, como se indica a continuación:

• Para encriptar los discos de arranque del plano de control con una clave de encriptación administrada por el cliente, tu clúster debe estar en una de las siguientes regiones:
  • asia-east1
  • asia-northeast1
  • asia-southeast1
  • europe-west1
  • europe-west4
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west3
  • us-west4
• Para usar Confidential GKE Nodes con la autoridad del plano de control de GKE, tu clúster debe estar en una región que admita el modo confidencial para Hyperdisk Balanced.

Si no usas estas funciones, puedes usar la autoridad del plano de control de GKE en cualquier ubicación de Google Cloud .

Cómo funciona la autoridad del plano de control de GKE

Las capacidades que puedes usar con el plano de control se clasifican según el tipo de control que deseas, de la siguiente manera. Puedes usar una o más de estas capacidades según tus requisitos específicos.

• Administración de claves y credenciales: Controla las claves que usa GKE para encriptar los datos en reposo en el plano de control y para emitir y verificar identidades en el clúster.
• Registros de acceso y de emisión de identidades: Usa los registros de la red, la VM y la Transparencia de acceso para verificar el acceso al plano de control de GKE con múltiples fuentes. Usa los registros de emisión de identidades en Cloud KMS y el servicio de CA para ver cuándo se crean identidades con las claves y las AC que administras. Usa registros detallados del uso de la API de Kubernetes para hacer un seguimiento de lo que hacen esas identidades en el clúster.

Administración de claves y credenciales

De forma predeterminada, Google Cloud administra las claves y las entidades de certificación en tus clústeres de GKE por ti. De manera opcional, puedes usar Cloud KMS y el servicio de AC para configurar tus propias claves y AC, que luego usarás cuando crees un clúster nuevo.

GKE usa estas claves y entidades de certificación en lugar de los valores predeterminados para emitir y verificar identidades en tu clúster, y para encriptar datos en las VMs de tu plano de control. Google CloudMantener el control sobre la emisión de tu identidad y las claves de encriptación de datos puede ayudarte a hacer lo siguiente:

• Cumplir con las reglamentaciones de soberanía y privacidad de los datos que exigen el control exclusivo de las claves
• Controla la encriptación de datos sensibles críticos en Kubernetes administrando tus propias claves de encriptación
• Personaliza tu estrategia de encriptación de datos según las políticas y los requisitos de tu organización, como los requisitos para usar claves respaldadas por hardware.

AC autoadministradas y claves de cuentas de servicio

Puedes configurar el plano de control de GKE para que use claves de Cloud KMS y AC de CA Service que administres. GKE usa estos recursos para emitir y verificar identidades en tu clúster. Por ejemplo, GKE usa CA y claves para emitir certificados de cliente de Kubernetes y tokens del portador de la cuenta de servicio de Kubernetes.

Creas los siguientes recursos para que GKE los use cuando emita identidades:

1. Claves de firma de cuentas de servicio: Firman los tokens de portador de ServiceAccount de Kubernetes para las cuentas de servicio en el clúster. Estos tokens de portador son tokens web JSON (JWT) que facilitan la comunicación del Pod con el servidor de la API de Kubernetes.
2. Claves de verificación de la cuenta de servicio: Verifican los JWT de la cuenta de servicio de Kubernetes. Por lo general, esta clave es la misma que la clave de firma, pero se configura por separado para que puedas rotar tus claves de forma más segura.
3. CA del clúster: Emite certificados firmados para fines como solicitudes de firma de certificados (CSR) y comunicación de kubelet.
4. CA de pares de etcd: Emite certificados firmados para la comunicación entre instancias de etcd en el clúster.
5. CA de la API de etcd: Emite certificados firmados para la comunicación con el servidor de la API de etcd.
6. CA de agregación: Emite certificados firmados para habilitar la comunicación entre el servidor de la API de Kubernetes y los servidores de extensión.

Cuando GKE emite identidades en el clúster, verás los registros de auditoría correspondientes en Cloud Logging, que puedes usar para hacer un seguimiento de las identidades emitidas durante su ciclo de vida.

Para obtener más información, consulta Ejecuta tus propias entidades certificadoras y claves de firma en GKE.

Encriptación del disco de arranque y de etcd del plano de control

De forma predeterminada, GKE encripta el disco de arranque de una VM del plano de control. Si el plano de control ejecuta instancias de la base de datos etcd, GKE también encripta lo siguiente:

• Es el disco que almacena los datos de etcd.
• Es la copia de seguridad operativa interna de Google Cloud etcd.

Esta encriptación predeterminada usa claves de encriptación que Google Cloud administra. Para obtener detalles sobre esta encriptación predeterminada, consulta Encriptación en reposo predeterminada.

Opcionalmente, puedes usar tus propias claves de encriptación que administras con Cloud KMS para encriptar los siguientes recursos:

• Disco de arranque del plano de control: Es el disco de Compute Engine que usa cada VM del plano de control para arrancar.
• Disco de etcd: Es el disco de Compute Engine que se conecta a cada VM del plano de control y almacena datos para las instancias de etcd en el clúster.

• Copia de seguridad operativa interna de etcd: Es la copia de seguridad interna de Google Cloud etcd que se usa para fines operativos, como la recuperación ante desastres.

  Esta copia de seguridad es una medida de emergencia interna de Google Cloud. Si deseas crear copias de seguridad de tus clústeres y restablecerlos, usa Copia de seguridad para GKE.

Para obtener instrucciones, consulta Cómo encriptar los discos de arranque de etcd y del plano de control.

Esta encriptación adicional opcional es ideal si debes cumplir con requisitos específicos de cumplimiento o reglamentarios relacionados con el control de los medios de encriptación en el plano de control de tu clúster. Puedes usar tus propias claves por separado para encriptar los discos de arranque y los discos de almacenamiento de los nodos trabajadores de tu clúster. Para obtener más información, consulta Usa claves de encriptación administradas por el cliente (CMEK).

Cuando usas la autoridad del plano de control de GKE para encriptar los discos de arranque del plano de control, las VMs del plano de control de GKE usan automáticamente el modo confidencial para Hyperdisk Balanced en los discos de arranque. Esta configuración no cambia los discos de arranque predeterminados de tus nodos trabajadores.

Registros de acceso y registros de emisión de identidades

Puedes ver los registros en Logging de todos los eventos relacionados con el acceso y la identidad en el plano de control, incluidos los siguientes eventos:

• Acceso directo: Los registros relacionados con los intentos de acceso directo (como SSH) a los nodos del plano de control de GKE te permiten verificar que los registros de SSH de la VM y las conexiones de red de la VM coincidan con los registros de SSH en los registros de Transparencia de acceso.
• Emisión y verificación de identidades: Registros relacionados con las identidades que se emitieron con las AC y las claves que administras en el servicio de AC y Cloud KMS.
• Uso de identidades en Kubernetes: Registros relacionados con las acciones que identidades específicas realizan en el servidor de la API de Kubernetes.
• Transparencia de acceso: Registros relacionados con las conexiones realizadas al plano de control y las acciones que realiza el personal Google Cloud en el plano de control.

Estos registros pueden ayudarte a hacer lo siguiente:

• Mantener registros de auditoría integrales de todos los eventos de identidad y acceso al plano de control para el cumplimiento y la seguridad
• Además de las protecciones integradas de Google, puedes crear tu propio sistema de supervisión para identificar e investigar cualquier actividad sospechosa dentro del plano de control.
• Verifica que solo las entidades autorizadas accedan a tu clúster de GKE y que interactúen con él, lo que mejora tu postura de seguridad.
• Consulta cuándo se crean identidades con claves y ACs que administras a través de los registros de emisión de identidades en Cloud KMS y CA Service. Usa registros detallados del uso de la API de Kubernetes para hacer un seguimiento de lo que hacen esas identidades en el clúster.

En los siguientes documentos, se muestra cómo ver y procesar los distintos tipos de registros del plano de control:

• Verifica las operaciones de emisión y verificación de credenciales en clústeres de GKE
• Verificación de las conexiones por parte del personal de Google en el plano de control del clúster

Recursos adicionales sobre la seguridad del plano de control

En esta sección, se describen otros métodos que puedes usar para mejorar tu confianza en la seguridad del plano de control. No es necesario que uses la autoridad del plano de control de GKE para usar los siguientes recursos:

• Integridad de la imagen de VM del plano de control: GKE agrega registros detallados de los eventos de creación y arranque de la VM del nodo a Cloud Logging. Además, publicamos VSA de SLSA en GitHub que corresponden a imágenes de máquinas de nodos de plano de control y de trabajador. Puedes verificar que tus VMs usen imágenes del SO que tengan VSA correspondientes y verificar la integridad de inicio de cada VM del plano de control.

  Para realizar la verificación de integridad de la VM, consulta Cómo verificar la integridad de la VM del plano de control de GKE.

• Medidas de seguridad integradas en el plano de control: GKE aplica varias medidas de protección en el plano de control administrado. Para obtener más información, consulta Seguridad del plano de control.

¿Qué sigue?

• Ejecuta tus propias autoridades certificadoras y claves de firma en GKE
• Encripta los datos en reposo del plano de control de GKE con tus claves
• Verifica la integridad de la VM del plano de control de GKE
• Verifica la emisión y el uso de credenciales en clústeres de GKE
• Verificación de las conexiones por parte del personal de Google en el plano de control del clúster