Tentang otoritas bidang kontrol GKE

---

Anda.

Halaman ini menjelaskan opsi yang ditawarkan Google Kubernetes Engine (GKE) untuk meningkatkan visibilitas dan kontrol Anda terhadap keamanan bidang kontrol terkelola. Opsi ini secara bersama-sama disebut sebagai otoritas bidang kontrol GKE. Halaman ini ditujukan untuk pemimpin keamanan informasi, administrator kepatuhan, dan analis yang ingin memenuhi kebutuhan privasi dan keamanan yang ketat untuk menangani data sensitif.

Tentang fitur otoritas bidang kontrol GKE

Di GKE, Google Cloud mengelola sepenuhnya konfigurasi keamanan bidang kontrol, termasuk enkripsi penyimpanan saat diam, dan mengonfigurasi kunci dan otoritas sertifikat (CA) yang menandatangani dan memverifikasi kredensial di cluster Anda. Node bidang kontrol untuk cluster GKE ada di project yang dikelola oleh Google Cloud . Untuk mengetahui detail tentang fungsi Google Cloud , lihat Tanggung jawab bersama GKE.

Otoritas bidang kontrol GKE adalah serangkaian kemampuan visibilitas dan kontrol opsional yang memungkinkan Anda memverifikasi dan mengelola aspek tertentu dari node bidang kontrol yang dikelola sepenuhnya ini. Kemampuan ini ideal jika Anda memiliki persyaratan seperti berikut:

• Anda beroperasi di industri yang diatur dengan ketat seperti keuangan, layanan kesehatan, atau pemerintah dengan persyaratan kepatuhan tertentu
• Anda menangani data sensitif yang memiliki persyaratan keamanan dan enkripsi yang ketat
• Anda menginginkan visibilitas yang lebih baik atas GKE untuk meningkatkan keyakinan Anda saat menjalankan workload penting
• Anda harus memenuhi persyaratan kepatuhan atau audit tertentu terkait enkripsi data, integritas software, atau logging
• Anda memiliki workload yang sangat sensitif yang memproses data penting, dan Anda menginginkan visibilitas terhadap enkripsi dan akses ke data tersebut
• Anda ingin menerapkan kebijakan keamanan kustom yang memenuhi persyaratan organisasi atau peraturan tertentu
• Anda menginginkan tingkat transparansi dan visibilitas yang lebih baik ke dalam lingkungan GKE Anda, terutama yang terkait dengan tindakan yangGoogle Cloud dilakukan di bidang kontrol

Manfaat otoritas bidang kontrol GKE

Kemampuan otoritas bidang kontrol GKE sangat ideal di lingkungan yang sangat diatur yang memiliki kebijakan keamanan yang ketat atau persyaratan audit yang ketat. Penggunaan kemampuan ini memberikan manfaat seperti berikut:

• Visibilitas dan kontrol yang ditingkatkan: Gunakan kemampuan visibilitas, kontrol, dan enkripsi tambahan untuk bidang kontrol GKE Anda.
• Kepatuhan yang disederhanakan: Penuhi persyaratan peraturan dan industri dengan log audit terperinci dan kebijakan keamanan yang dapat disesuaikan.
• Peningkatan kepercayaan dan transparansi: Dapatkan insight tentang tindakan yang dilakukanGoogle Cloud di bidang kontrol saat menyelesaikan kasus dukungan pelanggan.
• Mitigasi risiko: Mendeteksi dan merespons potensi ancaman secara proaktif terhadap bidang kontrol terkelola dengan log yang komprehensif.
• Pengelolaan kunci dan CA yang standar: Kelola CA cluster GKE Anda menggunakan Certificate Authority Service, sehingga Anda dapat mendelegasikan pengelolaan sertifikat ke tim tertentu dan menerapkan kebijakan CA secara komprehensif. Selain itu, kelola kunci enkripsi disk control plane Anda menggunakan Cloud KMS untuk delegasi pengelolaan yang serupa.

Ketersediaan otoritas bidang kontrol GKE

Region dan zona tempat Anda dapat menggunakan otoritas bidang kontrol GKE bergantung pada apakah Anda juga ingin menggunakan fitur tertentu, sebagai berikut:

• Untuk mengenkripsi boot disk bidang kontrol dengan kunci enkripsi yang dikelola pelanggan, cluster Anda harus berada di salah satu region berikut:
  • asia-east1
  • asia-northeast1
  • asia-southeast1
  • europe-west1
  • europe-west4
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west3
  • us-west4
• Untuk menggunakan Confidential GKE Node dengan otoritas bidang kontrol GKE, cluster Anda harus berada di region yang mendukung mode Confidential untuk Hyperdisk Balanced.

Jika Anda tidak menggunakan fitur ini, Anda dapat menggunakan otoritas bidang kontrol GKE di lokasi Google Cloud mana pun.

Cara kerja otoritas bidang kontrol GKE

Kemampuan yang dapat Anda gunakan dengan bidang kontrol dikategorikan berdasarkan jenis kontrol yang Anda inginkan, sebagai berikut. Anda dapat menggunakan satu atau beberapa kemampuan ini berdasarkan persyaratan spesifik Anda.

• Pengelolaan kunci dan kredensial: Kontrol kunci yang digunakan GKE untuk mengenkripsi data dalam penyimpanan di bidang kontrol serta untuk menerbitkan dan memverifikasi identitas di cluster.
• Log akses dan log penerbitan identitas: Gunakan log dari jaringan, VM, dan Transparansi Akses untuk memverifikasi akses bidang kontrol GKE menggunakan beberapa sumber. Gunakan log penerbitan identitas di Cloud KMS dan CA Service untuk melihat kapan identitas dibuat menggunakan kunci dan CA yang Anda kelola. Gunakan log penggunaan Kubernetes API yang mendetail untuk melacak tindakan yang dilakukan identitas tersebut di cluster.

Pengelolaan kunci dan kredensial

Secara default, Google Cloud mengelola kunci dan CA di cluster GKE Anda untuk Anda. Anda dapat secara opsional menggunakan Cloud KMS dan CA Service untuk menyiapkan kunci dan CA Anda sendiri, yang kemudian Anda gunakan saat membuat cluster baru.

GKE menggunakan kunci dan CA ini, bukan Google Cloud default untuk menerbitkan dan memverifikasi identitas di cluster Anda serta mengenkripsi data di VM control plane Anda. Mempertahankan kontrol atas penerbitan identitas dan kunci enkripsi data Anda dapat membantu Anda melakukan hal berikut:

• Mematuhi peraturan privasi dan kedaulatan data yang mewajibkan kontrol eksklusif atas kunci
• Mengontrol enkripsi data sensitif penting di Kubernetes dengan mengelola kunci enkripsi Anda sendiri
• Sesuaikan strategi enkripsi data Anda berdasarkan kebijakan dan persyaratan organisasi Anda, seperti persyaratan untuk menggunakan kunci yang didukung hardware.

CA yang dikelola sendiri dan kunci akun layanan

Anda dapat mengonfigurasi bidang kontrol GKE untuk menggunakan kunci Cloud KMS dan CA Service CA yang Anda kelola. GKE menggunakan resource ini untuk menerbitkan dan memverifikasi identitas di cluster Anda. Misalnya, GKE menggunakan CA dan kunci untuk menerbitkan sertifikat klien Kubernetes dan token pemilik akun layanan Kubernetes.

Anda membuat resource berikut untuk digunakan GKE saat menerbitkan identitas:

1. Kunci penandatanganan Akun Layanan: menandatangani token pembawa ServiceAccount Kubernetes untuk akun layanan di cluster. Token pembawa ini adalah Token Web JSON (JWT) yang memfasilitasi komunikasi Pod dengan server Kubernetes API.
2. Kunci verifikasi Akun Layanan: memverifikasi JWT Akun Layanan Kubernetes. Kunci ini biasanya sama dengan kunci penandatanganan, tetapi dikonfigurasi secara terpisah sehingga Anda dapat mengganti kunci dengan lebih aman.
3. CA Cluster: menerbitkan sertifikat yang ditandatangani untuk tujuan seperti permintaan penandatanganan sertifikat (CSR) dan komunikasi kubelet.
4. CA peer etcd: menerbitkan sertifikat bertanda tangan untuk komunikasi antara instance etcd dalam cluster.
5. CA API etcd: menerbitkan sertifikat bertanda tangan untuk komunikasi dengan server API etcd.
6. CA Agregasi: menerbitkan sertifikat bertanda tangan untuk mengaktifkan komunikasi antara server Kubernetes API dan server ekstensi.

Saat GKE menerbitkan identitas di cluster, Anda akan melihat log audit yang sesuai di Cloud Logging, yang dapat Anda gunakan untuk melacak identitas yang diterbitkan selama masa pakainya.

Untuk mempelajari lebih lanjut, lihat Menjalankan otoritas sertifikat dan kunci penandatanganan Anda sendiri di GKE.

Enkripsi etcd dan disk boot bidang kontrol

Secara default, GKE mengenkripsi boot disk VM bidang kontrol. Jika bidang kontrol menjalankan instance database etcd, GKE juga mengenkripsi hal berikut:

• Disk yang menyimpan data etcd.
• Pencadangan operasional internal etcd Google Cloud .

Enkripsi default ini menggunakan kunci enkripsi yang dikelola oleh Google Cloud . Untuk mengetahui detail tentang enkripsi default ini, lihat Enkripsi dalam penyimpanan default.

Anda dapat secara opsional menggunakan kunci enkripsi Anda sendiri yang Anda kelola menggunakan Cloud KMS untuk mengenkripsi resource berikut:

• Boot disk bidang kontrol: disk Compute Engine yang digunakan setiap VM bidang kontrol untuk melakukan booting.
• Disk etcd: disk Compute Engine yang terpasang ke setiap VM bidang kontrol dan menyimpan data untuk instance etcd di cluster.

• Pencadangan operasional internal etcd: pencadangan Google Cloud internal etcd yang digunakan untuk tujuan operasional seperti pemulihan dari bencana.

  Pencadangan ini adalah tindakan darurat internal untuk Google Cloud. Jika Anda ingin mencadangkan dan memulihkan cluster, gunakan Pencadangan untuk GKE sebagai gantinya.

Untuk mengetahui petunjuknya, lihat Mengenkripsi etcd dan disk booting bidang kontrol.

Enkripsi opsional tambahan ini ideal jika Anda harus memenuhi persyaratan peraturan atau kepatuhan tertentu terkait dengan mengontrol cara enkripsi di bidang kontrol cluster Anda. Anda dapat menggunakan kunci Anda sendiri secara terpisah untuk mengenkripsi boot disk dan disk penyimpanan worker node di cluster Anda. Untuk mengetahui detailnya, lihat Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

Saat Anda menggunakan otoritas bidang kontrol GKE untuk mengenkripsi disk boot bidang kontrol, VM bidang kontrol GKE akan otomatis menggunakan mode Rahasia untuk Hyperdisk Seimbang di disk boot. Konfigurasi ini tidak mengubah disk boot default node pekerja Anda.

Log akses dan log penerbitan identitas

Anda dapat melihat log di Logging untuk semua peristiwa yang terkait dengan akses dan identitas di bidang kontrol, termasuk peristiwa berikut:

• Akses langsung: Log yang terkait dengan upaya akses langsung (seperti SSH) ke node bidang kontrol GKE memungkinkan Anda memverifikasi bahwa log SSH VM dan koneksi jaringan VM cocok dengan catatan SSH dalam log Transparansi Akses.
• Penerbitan dan verifikasi identitas: Log terkait identitas yang diterbitkan menggunakan CA dan kunci yang Anda kelola di CA Service dan Cloud KMS.
• Penggunaan identitas di Kubernetes: Log yang terkait dengan tindakan yang dilakukan identitas tertentu terhadap server Kubernetes API.
• Transparansi Akses: Log terkait koneksi yang dibuat ke panel kontrol dan tindakan yang dilakukan pada panel kontrol oleh personel Google Cloud .

Log ini dapat membantu Anda melakukan hal berikut:

• Pertahankan jalur audit komprehensif dari semua akses bidang kontrol dan peristiwa identitas untuk kepatuhan dan keamanan.
• Selain perlindungan Google bawaan, Anda dapat membuat pemantauan sendiri untuk mengidentifikasi dan menyelidiki aktivitas mencurigakan apa pun dalam bidang kontrol.
• Pastikan hanya entitas yang diberi otorisasi yang mengakses dan berinteraksi dengan cluster GKE Anda, sehingga meningkatkan postur keamanan Anda.
• Lihat kapan identitas dibuat menggunakan kunci dan CA yang Anda kelola dengan menggunakan log penerbitan identitas di Cloud KMS dan CA Service. Gunakan log penggunaan Kubernetes API yang mendetail untuk melacak tindakan yang dilakukan identitas tersebut di cluster.

Dokumen berikut menunjukkan cara melihat dan memproses berbagai jenis log bidang kontrol:

• Memverifikasi operasi penerbitan dan verifikasi kredensial di cluster GKE
• Memverifikasi koneksi oleh personel Google di bidang kontrol cluster

Referensi tambahan tentang keamanan bidang kontrol

Bagian ini menjelaskan metode lain yang dapat Anda gunakan untuk meningkatkan keyakinan Anda terhadap keamanan bidang kontrol Anda. Anda tidak perlu menggunakan otoritas bidang kontrol GKE untuk menggunakan resource berikut:

• Integritas image VM bidang kontrol: GKE menambahkan log mendetail untuk peristiwa pembuatan dan booting VM node ke Cloud Logging. Selain itu, kami memublikasikan VSA SLSA di GitHub yang sesuai dengan image mesin bidang kontrol dan worker node. Anda dapat memverifikasi bahwa VM Anda menggunakan image OS yang memiliki VSA yang sesuai dan memverifikasi integritas booting setiap VM bidang kontrol.

  Untuk melakukan verifikasi integritas VM, lihat Memverifikasi integritas VM bidang kontrol GKE.

• Tindakan keamanan bidang kontrol bawaan: GKE melakukan berbagai tindakan penguatan pada bidang kontrol terkelola. Untuk mempelajari lebih lanjut, lihat Keamanan bidang kontrol.

Langkah berikutnya

• Menjalankan otoritas sertifikat dan kunci penandatanganan Anda sendiri di GKE
• Mengenkripsi data perangkat kontrol GKE dalam penyimpanan dengan kunci Anda
• Memverifikasi integritas VM bidang kontrol GKE
• Memverifikasi penerbitan dan penggunaan kredensial di cluster GKE
• Memverifikasi koneksi oleh personel Google di bidang kontrol cluster