Informazioni sull'autorità del control plane GKE

---

.

Questa pagina descrive le opzioni offerte da Google Kubernetes Engine (GKE) per migliorare la visibilità e il controllo sulla sicurezza del control plane gestito. Queste opzioni sono denominate collettivamente GKE control plane authority. Questa pagina è destinata ai responsabili della sicurezza delle informazioni, agli amministratori della conformità e agli analisti che vogliono soddisfare esigenze rigorose di privacy e sicurezza per la gestione dei dati sensibili.

Informazioni sulle funzionalità di GKE control plane authority

In GKE, Google Cloud gestisce completamente la configurazione di sicurezza del piano di controllo, inclusa la crittografia dello spazio di archiviazione inattivo e la configurazione delle chiavi e delle autorità di certificazione (CA) che firmano e verificano le credenziali nei tuoi cluster. I nodi del control plane per i cluster GKE esistono in progetti gestiti da Google Cloud . Per informazioni dettagliate su cosa fa Google Cloud , vedi Responsabilità condivisa di GKE.

L'autorità del control plane GKE è un insieme facoltativo di funzionalità di visibilità e controllo che ti consentono di verificare e gestire aspetti specifici di questi nodi del control plane completamente gestiti. Queste funzionalità sono ideali se hai requisiti come i seguenti:

• Operi in un settore altamente regolamentato come quello finanziario, sanitario o pubblico con requisiti di conformità specifici
• Gestisci dati sensibili con requisiti rigorosi di sicurezza e crittografia
• Vuoi una maggiore visibilità su GKE per migliorare la tua confidenza durante l'esecuzione di carichi di lavoro critici
• Devi soddisfare requisiti specifici di conformità o controllo relativi a crittografia dei dati, integrità del software o logging
• Hai workload altamente sensibili che elaborano dati critici e vuoi visibilità sulla crittografia e sull'accesso a questi dati
• Vuoi applicare criteri di sicurezza personalizzati che soddisfino requisiti organizzativi o normativi specifici
• Vuoi un livello avanzato di trasparenza e visibilità nei tuoi ambienti GKE, in particolare in relazione alle azioni che Google Cloud vengono eseguite nel control plane

Vantaggi dell'autorità del control plane GKE

Le funzionalità di GKE control plane authority sono ideali in ambienti altamente regolamentati con criteri di sicurezza rigorosi o requisiti di audit rigorosi. L'utilizzo di queste funzionalità offre vantaggi come i seguenti:

• Visibilità e controllo migliorati: utilizza funzionalità aggiuntive di visibilità, controllo e crittografia per il control plane GKE.
• Conformità semplificata: soddisfa i requisiti normativi e di settore con audit log granulari e norme di sicurezza personalizzabili.
• Maggiore fiducia e trasparenza: ottieni informazioni sulle azioni che Google Cloud intraprende nel control plane durante la risoluzione delle richieste di assistenza clienti.
• Mitigazione dei rischi: rileva e rispondi in modo proattivo alle potenziali minacce al control plane gestito con log completi.
• Gestione standardizzata di CA e chiavi: gestisci le CA del cluster GKE utilizzando Certificate Authority Service, che ti consente di delegare la gestione dei certificati a team specifici e di applicare in modo completo i criteri CA. Inoltre, gestisci le chiavi di crittografia del disco del control plane utilizzando Cloud KMS per una delega di gestione simile.

Disponibilità dell'autorità del control plane GKE

Le regioni e le zone in cui puoi utilizzare l'autorità del piano di controllo GKE dipendono dall'eventuale utilizzo di funzionalità specifiche, come segue:

• Per criptare i dischi di avvio del piano di controllo con una chiave di crittografia gestita dal cliente, il cluster deve trovarsi in una delle seguenti regioni:
  • asia-east1
  • asia-northeast1
  • asia-southeast1
  • europe-west1
  • europe-west4
  • us-central1
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west3
  • us-west4
• Per utilizzare Confidential GKE Nodes con l'autorità del control plane GKE, il cluster deve trovarsi in una regione che supporta la modalità confidenziale per Hyperdisk bilanciato.

Se non utilizzi queste funzionalità, puoi utilizzare l'autorità del piano di controllo GKE in qualsiasi Google Cloud posizione.

Come funziona l'autorità del control plane GKE

Le funzionalità che puoi utilizzare con il control plane sono classificate in base al tipo di controllo che vuoi, come segue. Puoi utilizzare una o più di queste funzionalità in base ai tuoi requisiti specifici.

• Gestione di chiavi e credenziali: controlla le chiavi che GKE utilizza per criptare i dati at-rest nel control plane e per emettere e verificare le identità nel cluster.
• Log di accesso e log di emissione delle identità: utilizza i log della rete, della VM e di Access Transparency per verificare l'accesso al control plane GKE utilizzando più origini. Utilizza i log di emissione delle identità in Cloud KMS e nel servizio CA per vedere quando vengono create le identità utilizzando le chiavi e le CA che gestisci. Utilizza i log di utilizzo dettagliati dell'API Kubernetes per monitorare le azioni eseguite da queste identità nel cluster.

Gestione di chiavi e credenziali

Per impostazione predefinita, Google Cloud gestisce le chiavi e le CA nei tuoi cluster GKE. Se vuoi, puoi utilizzare Cloud KMS e CA Service per configurare le tue chiavi e le tue CA, che utilizzerai poi per creare un nuovo cluster.

GKE utilizza queste chiavi e CA anziché i valori predefiniti per emettere e verificare le identità nel cluster e per criptare i dati nelle VM del piano di controllo. Google CloudMantenere il controllo sull'emissione delle identità e sulle chiavi di crittografia dei dati può aiutarti a:

• Rispetta le normative sulla sovranità e la privacy dei dati che impongono il controllo esclusivo delle chiavi
• Controlla la crittografia dei dati sensibili critici in Kubernetes gestendo le tue chiavi di crittografia
• Personalizza la strategia di crittografia dei dati in base alle norme e ai requisiti della tua organizzazione, ad esempio i requisiti per l'utilizzo di chiavi supportate dall'hardware.

CA autogestite e chiavi account di servizio

Puoi configurare il control plane GKE in modo che utilizzi le chiavi Cloud KMS e le CA del servizio CA che gestisci. GKE utilizza queste risorse per emettere e verificare le identità nel tuo cluster. Ad esempio, GKE utilizza CA e chiavi per emettere certificati client Kubernetes e token di autenticazione dell'account di servizio Kubernetes.

Crea le seguenti risorse da utilizzare in GKE per l'emissione di identità:

1. Chiavi di firma del service account: firma i token di autenticazione del service account Kubernetes per i service account nel cluster. Questi token di autenticazione sono token web JSON (JWT) che facilitano la comunicazione dei pod con il server API Kubernetes.
2. Chiavi di verifica dell'account di servizio: verifica i JWT dell'account di servizio Kubernetes. Questa chiave è normalmente uguale alla chiave di firma, ma è configurata separatamente in modo da poter ruotare le chiavi in modo più sicuro.
3. CA cluster: emette certificati firmati per scopi quali richieste di firma del certificato (CSR) e comunicazione kubelet.
4. CA peer etcd: emette certificati firmati per la comunicazione tra le istanze etcd nel cluster.
5. CA API etcd: emette certificati firmati per la comunicazione con il server API etcd.
6. CA di aggregazione: emette certificati firmati per abilitare la comunicazione tra il server API Kubernetes e i server di estensione.

Quando GKE emette identità nel cluster, vengono visualizzati gli audit log corrispondenti in Cloud Logging, che puoi utilizzare per monitorare le identità emesse durante il loro ciclo di vita.

Per scoprire di più, consulta Esegui le tue autorità di certificazione e chiavi di firma in GKE.

Crittografia del disco di avvio del control plane e di etcd

Per impostazione predefinita, GKE cripta il disco di avvio di una VM del control plane. Se il control plane esegue istanze del database etcd, GKE cripta anche quanto segue:

• Il disco che archivia i dati etcd.
• Il Google Cloud backup operativo interno di etcd.

Questa crittografia predefinita utilizza chiavi di crittografia gestite da Google Cloud . Per informazioni dettagliate su questa crittografia predefinita, vedi Crittografia at-rest predefinita.

Facoltativamente puoi utilizzare le tue chiavi di crittografia gestite tramite Cloud KMS per criptare le seguenti risorse:

• Disco di avvio del control plane: il disco Compute Engine che ogni VM del control plane utilizza per l'avvio.
• Disco etcd: il disco Compute Engine collegato a ogni VM del piano di controllo e che archivia i dati per le istanze etcd nel cluster.

• Backup operativo interno di etcd: il backup interno di etcd utilizzato per scopi operativi come il ripristino di emergenza. Google Cloud

  Questo backup è una misura di emergenza interna a Google Cloud. Se vuoi eseguire il backup e il ripristino dei cluster, utilizza Backup per GKE.

Per le istruzioni, vedi Criptare i dischi di avvio di etcd e del control plane.

Questa crittografia facoltativa aggiuntiva è ideale se devi soddisfare requisiti normativi o di conformità specifici relativi al controllo dei mezzi di crittografia nel control plane del cluster. Puoi utilizzare separatamente le tue chiavi per criptare i dischi di avvio e i dischi di archiviazione dei nodi worker nel cluster. Per maggiori dettagli, vedi Utilizzare le chiavi di crittografia gestite dal cliente (CMEK).

Quando utilizzi l'autorità del piano di controllo GKE per criptare i dischi di avvio del piano di controllo, le VM del piano di controllo GKE utilizzano automaticamente la modalità confidenziale per Hyperdisk bilanciato nei dischi di avvio. Questa configurazione non modifica i dischi di avvio predefiniti dei nodi worker.

Log degli accessi e log di emissione delle identità

Puoi visualizzare i log in Logging per tutti gli eventi relativi all'accesso e all'identità nel piano di controllo, inclusi i seguenti eventi:

• Accesso diretto: i log relativi ai tentativi di accesso diretto (come SSH) ai nodi del control plane GKE ti consentono di verificare che i log SSH delle VM e le connessioni di rete delle VM corrispondano ai record SSH nei log di Access Transparency.
• Emissione e verifica dell'identità: log relativi alle identità emesse utilizzando CA e chiavi gestite nel servizio CA e in Cloud KMS.
• Utilizzo dell'identità in Kubernetes: log relativi alle azioni intraprese da identità specifiche sul server dell'API Kubernetes.
• Access Transparency: log relativi alle connessioni effettuate al control plane e alle azioni intraprese sul control plane dal personale di Google Cloud .

Questi log possono aiutarti a:

• Mantieni audit trail completi di tutti gli eventi di accesso e identità del control plane per la conformità e la sicurezza.
• Oltre alle protezioni Google integrate, puoi creare un tuo monitoraggio per identificare e analizzare qualsiasi attività sospetta all'interno del control plane.
• Verifica che solo le entità autorizzate accedano e interagiscano con il tuo cluster GKE, il che migliora la tua postura di sicurezza.
• Scopri quando vengono create le identità utilizzando chiavi e CA che gestisci utilizzando i log di emissione delle identità in Cloud KMS e CA Service. Utilizza i log di utilizzo dettagliati dell'API Kubernetes per monitorare le azioni eseguite da queste identità nel cluster.

I seguenti documenti mostrano come visualizzare ed elaborare i vari tipi di log del piano di controllo:

• Verificare le operazioni di emissione e verifica delle credenziali nei cluster GKE
• Verificare le connessioni da parte del personale di Google nel control plane del cluster

Risorse aggiuntive sulla sicurezza del control plane

Questa sezione descrive altri metodi che puoi utilizzare per migliorare la tua fiducia nella sicurezza del control plane. Non è necessario utilizzare l'autorità del control plane GKE per utilizzare le seguenti risorse:

• Integrità dell'immagine VM del control plane: GKE aggiunge log dettagliati per gli eventi di creazione e avvio delle VM dei nodi a Cloud Logging. Inoltre, pubblichiamo VSA SLSA su GitHub corrispondenti alle immagini macchina del control plane e dei nodi worker. Puoi verificare che le tue VM utilizzino immagini del sistema operativo con VSA corrispondenti e verificare l'integrità di avvio di ogni VM del control plane.

  Per eseguire la verifica dell'integrità della VM, consulta Verifica l'integrità della VM del control plane GKE.

• Misure di sicurezza del control plane integrate: GKE esegue varie misure di hardening sul control plane gestito. Per scoprire di più, consulta Sicurezza del control plane.

Passaggi successivi

• Esegui le tue autorità di certificazione e chiavi di firma in GKE
• Cripta i dati del control plane GKE inattivi con le tue chiavi
• Verifica dell'integrità della VM del control plane GKE
• Verifica l'emissione e l'utilizzo delle credenziali nei cluster GKE
• Verificare le connessioni da parte del personale di Google nel control plane del cluster