Acerca de la autoridad del plano de control de GKE


En esta página, se describen las opciones que ofrece Google Kubernetes Engine (GKE) para mejorar tu visibilidad y control sobre la seguridad del plano de control administrado. Estas opciones se denominan, en conjunto, autoridad del plano de control de GKE. Esta página está dirigida a líderes de seguridad de la información, administradores de cumplimiento y analistas que deseen satisfacer necesidades estrictas de privacidad y seguridad para el manejo de datos sensibles.

Acerca de las funciones de autoridad del plano de control de GKE

En GKE, Google Cloud administra por completo la configuración de seguridad del plano de control, incluida la encriptación del almacenamiento en reposo y la configuración de las claves y las autoridades certificadoras (AC) que firman y verifican las credenciales en tus clústeres. Los nodos del plano de control para los clústeres de GKE existen en proyectos que administran Google Cloud . Para obtener detalles sobre lo que hace Google Cloud , consulta Responsabilidad compartida de GKE.

La autoridad del plano de control de GKE es un conjunto opcional de funciones de visibilidad y control que te permiten verificar y administrar aspectos específicos de estos nodos de plano de control completamente administrados. Estas funciones son ideales si tienes requisitos como los siguientes:

  • Operas en una industria altamente regulada, como finanzas, atención médica o gubernamental, con requisitos de cumplimiento específicos.
  • Si administras datos sensibles que tienen requisitos estrictos de seguridad y encriptación
  • Quieres mejorar la visibilidad de GKE para aumentar tu confianza cuando ejecutas cargas de trabajo críticas.
  • Debes cumplir con requisitos específicos de cumplimiento o auditoría relacionados con la encriptación de datos, la integridad del software o el registro.
  • Tienes cargas de trabajo muy sensibles que procesan datos críticos y deseas visibilizar la encriptación de esos datos y el acceso a ellos.
  • Quieres aplicar políticas de seguridad personalizadas que cumplan con requisitos regulatorios o organizativos específicos.
  • Quieres un nivel mejorado de transparencia y visibilidad en tus entornos de GKE, en especial en relación con las acciones que Google Cloud realiza en el plano de control

Beneficios de la autoridad del plano de control de GKE

Las capacidades de autoridad del plano de control de GKE son ideales en entornos altamente regulados que tienen políticas de seguridad o requisitos de auditoría estrictos. El uso de estas funciones otorga beneficios como los siguientes:

  • Control y visibilidad mejorados: Usa capacidades adicionales de visibilidad, control y encriptación para tu plano de control de GKE.
  • Cumplimiento optimizado: Cumple con los requisitos regulatorios y de la industria con registros de auditoría detallados y políticas de seguridad personalizables.
  • Mayor confianza y transparencia: Obtén estadísticas sobre las acciones queGoogle Cloud realiza en el plano de control cuando resuelve casos de asistencia al cliente.
  • Mitigación de riesgos: Detecta y responde de forma proactiva a posibles amenazas al plano de control administrado con registros exhaustivos.
  • Administración estandarizada de AC y claves: Administra las AC de tu clúster de GKE con Certificate Authority Service, lo que te permite delegar la administración de certificados a equipos específicos y aplicar de forma integral las políticas de AC. Además, administra las claves de encriptación del disco del plano de control con Cloud KMS para una delegación de administración similar.

Cómo funciona la autoridad del plano de control de GKE

Las funciones que puedes usar con el plano de control se clasifican según el tipo de control que desees, como se indica a continuación. Puedes usar una o más de estas funciones según tus requisitos específicos.

  • Administración de claves y credenciales: Controla las claves que usa GKE para encriptar los datos en reposo en el plano de control y emitir y verificar identidades en el clúster.
  • Registros de acceso y registros de emisión de identidad: Usa registros de la red, la VM y la transparencia de acceso para verificar el acceso al plano de control de GKE con varias fuentes. Usa los registros de emisión de identidades en Cloud KMS y el servicio de AC para ver cuándo se crean identidades con las claves y las AC que administras. Usa registros de uso detallados de la API de Kubernetes para hacer un seguimiento de lo que hacen esas identidades en el clúster.

Administración de claves y credenciales

De forma predeterminada, Google Cloud administra las claves y las AC en tus clústeres de GKE por ti. De manera opcional, puedes usar Cloud KMS y el servicio de AC para configurar tus propias claves y AC, que luego usarás cuando crees un clúster nuevo.

GKE usa estas claves y AC en lugar de las predeterminadas de Google Cloudpara emitir y verificar identidades en tu clúster y encriptar datos en tus VMs de plano de control. Mantener el control sobre la emisión de tu identidad y las claves de encriptación de datos puede ayudarte a hacer lo siguiente:

  • Cumple con las reglamentaciones de privacidad y soberanía de los datos que exigen el control exclusivo sobre las claves
  • Controla la encriptación de datos sensibles críticos en Kubernetes administrando tus propias claves de encriptación.
  • Personaliza tu estrategia de encriptación de datos según las políticas y los requisitos de tu organización, como los requisitos para usar claves con copia de seguridad de hardware.

AC autoadministradas y claves de cuenta de servicio

Puedes configurar el plano de control de GKE para que use las claves de Cloud KMS y las AC de Certificate Authority Service que administras. GKE usa estos recursos para emitir y verificar identidades en tu clúster. Por ejemplo, GKE usa AC y claves para emitir certificados de cliente de Kubernetes y tokens del portador de la cuenta de servicio de Kubernetes.

Crea los siguientes recursos para que GKE los use cuando emita identidades:

  1. Claves de firma de la cuenta de servicio: Firma los tokens de portador de la cuenta de servicio de Kubernetes para las cuentas de servicio en el clúster. Estos tokens de portador son tokens web JSON (JWT) que facilitan la comunicación del Pod con el servidor de la API de Kubernetes.
  2. Claves de verificación de la cuenta de servicio: Verifica los JWT de la cuenta de servicio de Kubernetes. Por lo general, esta clave es la misma que la clave de firma, pero se configura por separado para que puedas rotar las claves de forma más segura.
  3. AC del clúster: Emite certificados firmados para fines como solicitudes de firma de certificados (CSR) y comunicación de kubelet.
  4. AC de par de etcd: Emite certificados firmados para la comunicación entre instancias de etcd en el clúster.
  5. AC de la API de etcd: Emite certificados firmados para la comunicación con el servidor de la API de etcd.
  6. AC de agregación: Emite certificados firmados para habilitar la comunicación entre el servidor de la API de Kubernetes y los servidores de extensión.

Cuando GKE emite identidades en el clúster, ves los registros de auditoría correspondientes en Cloud Logging, que puedes usar para hacer un seguimiento de las identidades emitidas durante su ciclo de vida.

Para obtener más información, consulta Ejecuta tus propias autoridades certificadoras y claves de firma en GKE.

Encriptación del disco de arranque y etcd del plano de control

De forma predeterminada, GKE encripta el disco de inicio de una VM del plano de control, el disco que almacena datos en etcd y la copia de seguridad operativa interna de etcd de Google Cloud con claves de encriptación que administra Google Cloud. Para obtener detalles sobre esta encriptación predeterminada, consulta Encriptación en reposo predeterminada.

De forma opcional, puedes usar tus propias claves de encriptación que administras con Cloud KMS para encriptar los siguientes recursos:

  • Disco de arranque del plano de control: Es el disco de Compute Engine que usa cada VM del plano de control para iniciarse.
  • Disco etcd: Es el disco de Compute Engine que se conecta a cada VM del plano de control y almacena datos de las instancias de etcd en el clúster.
  • Copia de seguridad operativa interna de etcd: Es la copia de seguridad interna de Google Cloud de etcd que se usa con fines operativos, como la recuperación ante desastres.

    Esta copia de seguridad es una medida de emergencia interna de Google Cloud. Si deseas crear copias de seguridad de tus clústeres y restablecerlas, usa Copia de seguridad para GKE en su lugar.

Para obtener instrucciones, consulta Cómo encriptar etcd y los discos de arranque del plano de control.

Esta encriptación opcional adicional es ideal si debes cumplir con requisitos regulatorios o de cumplimiento específicos relacionados con el control de los medios de encriptación en el plano de control de tu clúster. Puedes usar tus propias claves por separado para encriptar los discos de arranque y los discos de almacenamiento de los nodos de trabajo de tu clúster. Para obtener más información, consulta Usa claves de encriptación administradas por el cliente (CMEK).

Cuando usas la autoridad del plano de control de GKE para encriptar los discos de arranque del plano de control, las VMs del plano de control de GKE usan automáticamente el modo Confidencial para Hyperdisk Balanced en los discos de arranque. Esta configuración no cambia los discos de inicio predeterminada de tus nodos de trabajo.

Registros de acceso y registros de emisión de identidad

Puedes ver los registros en Logging de todos los eventos relacionados con el acceso y la identidad en el plano de control, incluidos los siguientes:

  • Acceso directo: Los registros relacionados con los intentos de acceso directo (como SSH) a los nodos del plano de control de GKE te permiten verificar que los registros SSH de la VM y las conexiones de red de la VM coincidan con los registros de SSH en los registros de transparencia de acceso.
  • Emisión y verificación de identidades: Registros relacionados con las identidades que se emitieron con AC y claves que administras en el servicio de AC y Cloud KMS.
  • Uso de identidades en Kubernetes: Registros relacionados con las acciones que realizan identidades específicas en el servidor de la API de Kubernetes.
  • Transparencia de acceso: Registros relacionados con las conexiones establecidas con el plano de control y las acciones que realiza el personal de Google Cloud en el plano de control.

Estos registros pueden ayudarte a hacer lo siguiente:

  • Mantén registros de auditoría integrales de todos los eventos de acceso y identidad del plano de control para garantizar el cumplimiento y la seguridad.
  • Además de las protecciones integradas de Google, puedes crear tu propio sistema de supervisión para identificar e investigar cualquier actividad sospechosa dentro del plano de control.
  • Verifica que solo las entidades autorizadas accedan a tu clúster de GKE y que interactúen con él, lo que mejora tu postura de seguridad.
  • Consulta cuándo se crean identidades con las claves y las AC que administras mediante los registros de emisión de identidades en Cloud KMS y el servicio de AC. Usa registros de uso detallados de la API de Kubernetes para hacer un seguimiento de lo que hacen esas identidades en el clúster.

En los siguientes documentos, se muestra cómo ver y procesar los diferentes tipos de registros del plano de control:

Recursos adicionales sobre la seguridad del plano de control

En esta sección, se describen otros métodos que puedes usar para mejorar tu confianza en la seguridad del plano de control. No necesitas usar la autoridad del plano de control de GKE para usar los siguientes recursos:

  • Integridad de la imagen de la VM del plano de control: GKE agrega registros detallados para la creación de VMs de nodos y los eventos de inicio a Cloud Logging. Además, publicamos VSAs de SLSA en GitHub que corresponden a imágenes de máquinas de nodos de plano de control y trabajador. Puedes verificar que tus VMs usen imágenes del SO que tengan las VSAs correspondientes y verificar la integridad de inicio de cada VM del plano de control.

    Para realizar la verificación de integridad de la VM, consulta Cómo verificar la integridad de la VM del plano de control de GKE.

  • Medidas de seguridad integradas en el plano de control: GKE realiza varias medidas de endurecimiento en el plano de control administrado. Para obtener más información, consulta Seguridad del plano de control.

¿Qué sigue?