Panoramica della sicurezza

Questa pagina descrive l'architettura di sicurezza di GKE su AWS, inclusa la crittografia e la configurazione dei nodi.

I cluster GKE offrono funzionalità per proteggere i tuoi workload, inclusi i contenuti dell'immagine del container, il runtime del container, la rete del cluster e l'accesso al server API del cluster.

Quando utilizzi i cluster GKE, accetti di assumerti determinate responsabilità per i tuoi cluster. Per saperne di più, consulta Responsabilità condivise dei cluster GKE.

Crittografia AWS KMS

GKE su AWS utilizza chiavi simmetriche di AWS Key Management Service (KMS) gestite dal cliente per criptare:

• Dati dello stato di Kubernetes in etcd
• Dati utente dell'istanza EC2
• Volumi EBS per la crittografia dei dati at-rest dei dati del piano di controllo e del pool di nodi

Per gli ambienti di produzione, consigliamo di utilizzare chiavi diverse per la configurazione e la crittografia dei volumi. Per ridurre ulteriormente i rischi in caso di compromissione di una chiave, puoi anche creare chiavi diverse per ciascuno dei seguenti elementi:

• Configurazione del piano di controllo del cluster
• Database del piano di controllo del cluster
• Volume principale del piano di controllo del cluster
• Volume principale del piano di controllo del cluster
• Configurazione del node pool
• Volume root del node pool

Per una maggiore sicurezza, puoi creare un criterio per le chiavi AWS KMS che assegna solo l'insieme minimo di autorizzazioni richieste. Per ulteriori informazioni, consulta la sezione Creare chiavi KMS con autorizzazioni specifiche.

Crittografia dei dati at-rest

La crittografia dei dati at-rest è la crittografia dei dati archiviati, a differenza dei dati in transito. Per impostazione predefinita, GKE su AWS cripta i dati at-rest nei volumi etcd e di archiviazione utilizzando le chiavi gestite dalla piattaforma AWS.

I cluster GKE su AWS archiviano i dati nei volumi AWS Elastic Block Store (EBS). Questi volumi EBS sono sempre criptati a riposo con le chiavi AWS Key Management System (AWS KMS). Quando crei cluster e pool di nodi, puoi fornire una chiave KMS gestita dal cliente (CMK) per criptare i volumi EBS sottostanti. Se non specifichi una chiave, AWS utilizza la chiave gestita da AWS predefinita nella regione AWS in cui viene eseguito il cluster.

Inoltre, tutti i cluster GKE attivano la crittografia dei secret a livello di applicazione per i dati sensibili, come gli oggetti Secret di Kubernetes, che vengono archiviati in etcd. Anche se gli utenti malintenzionati ottengono l'accesso al volume sottostante in cui sono archiviati i dati etcd, questi dati sono criptati.

Quando crei un cluster, devi passare una chiave AWS KMS al campo --database-encryption-kms-key-arn. Questa chiave viene utilizzata per la crittografia con envelope dei dati dell'applicazione. Poiché questo campo della risorsa è immutabile e non può essere modificato dopo la creazione del cluster, ti consigliamo di utilizzare un alias della chiave KMS. Puoi utilizzare gli alias chiave per ruotare le chiavi utilizzate per la crittografia at-rest durante il ciclo di vita del cluster.

Come funziona la crittografia a livello di applicazione

Kubernetes offre la crittografia a livello di applicazione con una tecnica nota come crittografia dell'involucro. Per criptare un segreto viene utilizzata una chiave locale, comunemente chiamata chiave di crittografia dei dati (DEK). La DEK stessa viene poi criptata con una seconda chiave chiamata chiave di crittografia della chiave (KEK). La KEK non viene archiviata da Kubernetes. Quando crei un nuovo secret Kubernetes, il tuo cluster:

1. Il server API Kubernetes genera un DEK univoco per il secret utilizzando un generatore di numeri casuali.

2. Il server dell'API Kubernetes cripta il segreto localmente con la chiave DEK.

3. Il server API Kubernetes invia la DEK ad AWS KMS per la crittografia.

4. AWS KMS utilizza una KEK pregenerata per criptare la DEK e restituisce la DEK criptata al plug-in AWS KMS del server API Kubernetes.

5. Il server API Kubernetes salva il segreto criptato e il DEK criptato in etcd. Il DEK in testo non viene salvato sul disco.

6. Il server API Kubernetes crea una voce della cache in memoria per mappare il DEK criptato al DEK in testo normale. In questo modo, il server API decripta i secret a cui è stato eseguito l'accesso di recente senza eseguire query su AWS KMS.

Quando un client richiede un segreto dal server dell'API Kubernetes, accade quanto segue:

1. Il server API Kubernetes recupera il secret criptato e il DEK criptato da etcd.

2. Il server dell'API Kubernetes controlla se nella cache è presente una voce di mappa esistente e, se la trova, decripta il secret.

3. Se non esiste una voce della cache corrispondente, il server API invia la DEK a AWS KMS per la decrittografia utilizzando la KEK. La DEK decriptata viene poi utilizzata per decriptare il secret.

4. Infine, il server API Kubernetes restituisce il secret decriptato al client.

Rotazione chiavi

A differenza della rotazione dei certificati, la rotazione della chiave consiste nell'atto di modificare il materiale di crittografia sottostante contenuto in una chiave di crittografia della chiave (KEK). Può essere attivata automaticamente nell'ambito di una rotazione pianificata o manualmente, solitamente dopo un incidente di sicurezza in cui le chiavi potrebbero essere state compromesse. La rotazione della chiave sostituisce solo il singolo campo della chiave contenente i dati non elaborati della chiave di crittografia/decrittografia.

Rotazione delle chiavi KMS

AWS KMS supporta la rotazione automatica delle chiavi KMS. Se questa opzione è attivata, AWS genera automaticamente nuovo materiale per le chiavi di crittografia per la tua chiave una volta all'anno. Non sono richieste azioni manuali.

Per ulteriori informazioni, consulta la sezione Rotazione delle chiavi.

Attendibilità cluster

Tutte le comunicazioni del cluster utilizzano Transport Layer Security (TLS). Per ogni cluster viene eseguito il provisioning delle seguenti autorità di certificazione (CA) radice autofirmate principali:

• La CA radice del cluster viene utilizzata per convalidare le richieste inviate al server API.
• La CA radice etcd viene utilizzata per convalidare le richieste inviate alle repliche etcd.

Ogni cluster ha una CA radice univoca. Se la CA di un cluster viene compromessa, la CA di nessun altro cluster viene interessata. Tutte le CA radice hanno un periodo di validità di 30 anni.

Sicurezza dei nodi

GKE su AWS esegue il deployment dei carichi di lavoro nei pool di nodi delle istanze AWS EC2. La sezione seguente illustra le funzionalità di sicurezza dei nodi.

Ubuntu

I nodi eseguono una versione ottimizzata del sistema operativo Ubuntu per eseguire il piano di controllo e i nodi Kubernetes. Per ulteriori informazioni, consulta le funzionalità di sicurezza nella documentazione di Ubuntu.

I cluster GKE implementano diverse funzionalità di sicurezza, tra cui:

• Set di pacchetti ottimizzato

• Kernel Linux personalizzatoGoogle Cloud

• Account utente con limitazioni e accesso come utente root disabilitato

Per Ubuntu sono disponibili altre guide sulla sicurezza, ad esempio:

• CIS Benchmark

• DISA STIG

• FIPS 140-2

Proteggi i tuoi carichi di lavoro

Kubernetes consente agli utenti di eseguire il provisioning, scalare e aggiornare rapidamente i carichi di lavoro basati su container. Questa sezione descrive le tattiche che puoi utilizzare per limitare gli effetti collaterali dell'esecuzione di contenitori sui cluster e sui servizi. Google Cloud

Limita i privilegi dei processi dei container di pod

Limitare i privilegi dei processi in container è importante per la sicurezza del tuo cluster. Puoi impostare le opzioni relative alla sicurezza con un contesto di sicurezza. Queste impostazioni ti consentono di modificare le impostazioni di sicurezza delle tue procedure, ad esempio:

• Utente e gruppo che eseguono il processo
• Funzionalità Linux disponibili
• Escalation dei privilegi

Il sistema operativo del nodo GKE su AWS predefinito, Ubuntu, utilizza criteri di sicurezza Docker AppArmor predefiniti per tutti i container. Puoi visualizzare il modello del profilo su GitHub. Tra le altre cose, questo profilo nega ai contenitori le seguenti funzionalità:

• Scrittura in file direttamente in una directory dell'ID processo (/proc/)
• Scrittura in file non in /proc/
• Scrittura in file in /proc/sys diversi da /proc/sys/kernel/shm*
• Montaggio dei file system

Limitare la capacità dei carichi di lavoro di automodificarsi

Alcuni carichi di lavoro Kubernetes, in particolare quelli di sistema, hanno l'autorizzazione per automodificarsi. Ad esempio, alcuni carichi di lavoro eseguono la scalabilità automatica verticale. Sebbene sia comodo, questo può consentire a un malintenzionato che ha già compromesso un nodo di eseguire un'ulteriore riassegnazione nel cluster. Ad esempio, un malintenzionato potrebbe modificare un carico di lavoro sul nodo in modo che venga eseguito come account di servizio con privilegi maggiori esistente nello stesso spazio dei nomi.

Idealmente, non dovrebbe essere concessa l'autorizzazione ai workload per modificarsi. Quando è necessaria l'automodifica, puoi limitare le autorizzazioni installando Policy Controller o Gatekeeper nel cluster e applicando vincoli, ad esempio NoUpdateServiceAccount dalla libreria open source Gatekeeper, che fornisce diversi criteri di sicurezza utili.

Quando esegui il deployment dei criteri, in genere è necessario consentire ai controller che gestiscono il ciclo di vita del cluster di aggirarli. Questo è necessario affinché i controller possano apportare modifiche al cluster, ad esempio applicare gli upgrade del cluster. Ad esempio, se esegui il deployment del criterio NoUpdateServiceAccount su GKE su AWS, devi impostare i seguenti parametri in Constraint:

parameters:
  allowedGroups: []
  allowedUsers:
  - service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com

Sostituisci PROJECT_NUMBER con il numero (non l'ID) del progetto che ospita il cluster.

Utilizzare l'autorizzazione binaria

Un altro modo per proteggere i carichi di lavoro è attivare l'autorizzazione binaria. L'autorizzazione binaria è una funzionalità di sicurezza che garantisce che venga eseguito il deployment su cluster GKE solo di immagini container attendibili.

Ecco come funziona la procedura:

1. Gli amministratori creano un criterio che definisce i requisiti per il deployment di un'immagine. Ciò include la specifica delle persone giuridiche attendibili e autorizzate (attestatori) che possono firmare le immagini e potrebbe includere altri criteri che un'immagine deve soddisfare per essere considerata sicura per il deployment.

2. Un attestatore (ad esempio uno sviluppatore o un sistema automatico) utilizza un algoritmo crittografico per generare una coppia di chiavi (chiavi private e pubbliche).

3. La chiave privata, che viene mantenuta segreta, viene utilizzata per generare una firma digitale (ovvero un insieme univoco di caratteri) per un'immagine. Questa firma funge da sigillo di approvazione: è un segno che l'immagine ha superato tutti i controlli e le convalide necessari.

4. La firma digitale viene quindi "allegata" all'immagine. In altre parole, la firma viene archiviata nei metadati dell'immagine, in genere nel registry dell'immagine.

5. La chiave pubblica viene poi registrata nel sistema di Autorizzazione binaria in modo che il sistema possa utilizzarla per la verifica della firma.

6. Quando viene effettuata una richiesta di deployment di un container, il sistema di Autorizzazione binaria recupera la firma digitale associata all'immagine nel registry.

7. Il sistema di autorizzazione binaria utilizza la chiave pubblica registrata per verificare la firma digitale associata all'immagine. Controlla inoltre se l'immagine soddisfa tutti gli altri criteri definiti nelle norme. Se la firma digitale può essere verificata correttamente utilizzando la chiave pubblica e i dati dell'immagine e l'immagine soddisfa tutti gli altri criteri definiti nelle norme, il sistema di autorizzazione binaria consente il deployment del contenitore. Se la firma digitale non può essere verificata correttamente utilizzando la chiave pubblica e i dati dell'immagine o se l'immagine non soddisfa altri criteri definiti nel criterio, il sistema di autorizzazione binaria nega il deployment del contenitore.

Per ulteriori informazioni su come funziona Autorizzazione binaria, consulta Panoramica di Autorizzazione binaria.

Per abilitare l'autorizzazione binaria su un cluster esistente o durante la creazione di un cluster, consulta Come abilitare l'autorizzazione binaria.

Isolare i carichi di lavoro in pool di nodi dedicati

Puoi utilizzare le incompatibilità e le tolleranze di Kubernetes per designare pool di nodi specifici per eseguire tipi specifici di carichi di lavoro. Ad esempio, puoi chiedere a GKE su AWS di pianificare i carichi di lavoro degli utenti lontano dalla maggior parte dei carichi di lavoro gestiti dal sistema oppure posizionare i carichi di lavoro con livelli di attendibilità diversi in pool di nodi diversi.

L'isolamento dei carichi di lavoro mediante incompatibilità e tolleranze non è una misura di sicurezza garantita. Utilizzalo solo insieme alle altre misure di rafforzamento offerte da GKE su AWS.

Per scoprire di più, consulta Isolare i workload in pool di nodi dedicati.

Passaggi successivi

• Scopri di più sulla rotazione delle chiavi.