Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Informazioni sull'autorità del control plane GKE

Autopilot Standard

Questo documento descrive le opzioni offerte da Google Kubernetes Engine (GKE) per migliorare la visibilità e il controllo della sicurezza del piano di controllo gestito. Queste opzioni sono collettivamente denominate GKE control plane authority. Questo documento è destinato a leader della sicurezza delle informazioni, amministratori della conformità e analisti che vogliono soddisfare esigenze rigorose di privacy e sicurezza per la gestione dei dati sensibili.

Informazioni sulle funzionalità di GKE control plane authority

In GKE, Cloud de Confiance by S3NS gestisce completamente la configurazione di sicurezza di il piano di controllo, inclusa la crittografia dell'archiviazione a riposo e la configurazione delle chiavi e delle autorità di certificazione (CA) che firmano e verificano le credenziali nei cluster. I nodi del piano di controllo per i cluster GKE esistono in progetti che Cloud de Confiance gestisce. Per i dettagli su cosafa Cloud de Confiance , consulta Responsabilità condivisa di GKE.

GKE control plane authority è un insieme facoltativo di funzionalità di visibilità e controllo che ti consentono di verificare e gestire aspetti specifici di questi nodi del piano di controllo completamente gestiti. Queste funzionalità sono ideali se hai requisiti come i seguenti:

Operi in un settore altamente regolamentato come la finanza, l'assistenza sanitaria o l'amministrazione pubblica con requisiti di conformità specifici
Gestisci dati sensibili con requisiti rigorosi di sicurezza e crittografia
Vuoi una maggiore visibilità su GKE per migliorare la tua fiducia durante l'esecuzione di carichi di lavoro critici
Devi soddisfare requisiti di conformità o audit specifici relativi alla crittografia dei dati, all'integrità del software o al logging
Hai carichi di lavoro altamente sensibili che elaborano dati critici e vuoi visibilità sulla crittografia e sull'accesso a questi dati
Vuoi applicare criteri di sicurezza personalizzati che soddisfino requisiti organizzativi o normativi specifici
Vuoi un livello maggiore di trasparenza e visibilità nei tuoi ambienti GKE, in particolare in relazione alle azioni che Cloud de Confiance vengono intraprese nel control plane

Vantaggi di GKE control plane authority

Le funzionalità di GKE control plane authority sono ideali in ambienti altamente regolamentati con criteri di sicurezza rigorosi o requisiti di audit rigorosi. L'utilizzo di queste funzionalità offre vantaggi come i seguenti:

Visibilità e controllo avanzati: utilizza funzionalità aggiuntive di visibilità, controllo e crittografia per il piano di controllo GKE.
Conformità semplificata: soddisfa i requisiti normativi e di settore con audit log granulari e criteri di sicurezza personalizzabili.
Maggiore fiducia e trasparenza: ottieni informazioni dettagliate sulle azioni intraprese nel piano di controllo quando risolvi le richieste di assistenza clienti.Cloud de Confiance
Mitigazione del rischio: rileva e rispondi in modo proattivo alle potenziali minacce al control plane gestito con log completi.
Gestione standardizzata di CA e chiavi: gestisci le CA dei cluster GKE utilizzando Certificate Authority Service, che ti consente di delegare la gestione dei certificati a team specifici e di applicare in modo completo i criteri delle CA. Inoltre, gestisci le chiavi di crittografia dei dischi del piano di controllo utilizzando Cloud KMS per una delega di gestione simile.

Disponibilità di GKE control plane authority

GKE control plane authority è disponibile in qualsiasi Cloud de Confiance regione. Tuttavia, per criptare i dischi di avvio del piano di controllo e i dischi etcd con le tue chiavi, devi creare il cluster in una delle seguenti regioni:

asia-east1
asia-northeast1
asia-southeast1
europe-west1
europe-west4
us-central1
us-central2
us-east1
us-east4
us-east5
us-south1
us-west1
us-west3
us-west4

Come funziona GKE control plane authority

Le funzionalità che puoi utilizzare con il piano di controllo sono classificate in base al tipo di controllo che vuoi, come segue. Puoi utilizzare una o più di queste funzionalità in base ai tuoi requisiti specifici.

Gestione di chiavi e credenziali: controlla le chiavi utilizzate da GKE per criptare i dati at-rest nel piano di controllo e per emettere e verificare le identità nel cluster.
Log di accesso e log di emissioni delle identità: utilizza i log della rete, delle VM, e di Access Transparency per verificare l'accesso al piano di controllo GKE utilizzando più origini. Utilizza i log di emissione delle identità in Cloud KMS e CA Service per vedere quando vengono create le identità utilizzando le chiavi e le CA che gestisci. Utilizza i log dettagliati di utilizzo dell'API Kubernetes per monitorare le azioni eseguite da queste identità nel cluster.

Gestione di chiavi e credenziali

Per impostazione predefinita, Cloud de Confiance gestisce le chiavi e le CA nei cluster GKE. Facoltativamente, puoi utilizzare Cloud KMS e CA Service per configurare le tue chiavi e CA, che poi utilizzerai durante la creazione di un nuovo cluster.

GKE utilizza queste chiavi e CA anziché quelle Cloud de Confiance predefinite per emettere e verificare le identità nel cluster e per criptare i dati nelle VM del piano di controllo. Mantenere il controllo sulle chiavi di emissione delle identità e di crittografia dei dati può aiutarti a:

Rispettare le normative sulla sovranità e la privacy dei dati che impongono il controllo esclusivo delle chiavi
Controllare la crittografia dei dati sensibili critici in Kubernetes gestendo le tue chiavi di crittografia
Personalizzare la strategia di crittografia dei dati in base ai criteri e ai requisiti della tua organizzazione, ad esempio i requisiti per l'utilizzo di chiavi supportate dall'hardware.

CA e chiavi degli account di servizio autogestite

Puoi configurare il piano di controllo GKE in modo che utilizzi le chiavi Cloud KMS e le CA di CA Service che gestisci. GKE utilizza queste risorse per emettere e verificare le identità nel cluster. Ad esempio, GKE utilizza CA e chiavi per emettere certificati client Kubernetes e token di autenticazione degli account di servizio Kubernetes.

Crea le seguenti risorse da utilizzare per GKE durante l'emissione delle identità:

Chiavi di firma degli account di servizio: firma i token di autenticazione ServiceAccount di Kubernetes per gli account di servizio nel cluster. Questi token di autenticazione sono token web JSON (JWT) che facilitano la comunicazione dei pod con il server dell'API Kubernetes.
Chiavi di verifica degli account di servizio: verifica i JWT degli account di servizio Kubernetes. Questa chiave è in genere la stessa della chiave di firma, ma viene configurata separatamente in modo da poter ruotare le chiavi in modo più sicuro.
CA del cluster: emetti certificati firmati per scopi come le richieste di firma del certificato (CSR) e la comunicazione kubelet.
CA peer etcd: emetti certificati firmati per la comunicazione tra le istanze etcd nel cluster.
CA dell'API etcd: emetti certificati firmati per la comunicazione con il server dell'API etcd.
CA di aggregazione: emetti certificati firmati per abilitare la comunicazione tra il server dell'API Kubernetes e i server di estensione.

Quando GKE emette identità nel cluster, vengono visualizzati gli audit log corrispondenti in Cloud Logging, che puoi utilizzare per monitorare le identità emesse durante il loro ciclo di vita.

Per scoprire di più, consulta Eseguire le tue Certificate Authority e le tue chiavi di firma in GKE.

Crittografia del disco di avvio e di etcd del piano di controllo

Per impostazione predefinita, GKE cripta il disco di avvio di una VM del piano di controllo. Se il piano di controllo esegue istanze del database etcd, GKE cripta anche quanto segue:

Il disco che archivia i dati etcd.
Il Cloud de Confiance by S3NS backup operativo interno di etcd.

Questa crittografia predefinita utilizza chiavi di crittografia che Cloud de Confiance gestisce. Per i dettagli su questa crittografia predefinita, consulta Crittografia at-rest predefinita.

Puoi facoltativamente utilizzare le tue chiavi di crittografia gestite con Cloud KMS per criptare le seguenti risorse:

Disco di avvio del piano di controllo: il disco Compute Engine che ogni VM del piano di controllo utilizza per l'avvio.
Disco etcd: il disco Compute Engine collegato a ogni VM del piano di controllo e che archivia i dati per le istanze etcd nel cluster.
Backup operativo interno di etcd: il backup interno di etcd utilizzato per scopi operativi come il ripristino di emergenza. Cloud de Confiance

Questo backup è una misura di emergenza interna a Cloud de Confiance. Se vuoi eseguire il backup e il ripristino dei cluster, utilizza Backup per GKE invece.

Per istruzioni, consulta Criptare etcd e i dischi di avvio del piano di controllo.

Questa crittografia facoltativa aggiuntiva è ideale se devi soddisfare requisiti normativi o di conformità specifici relativi al controllo dei mezzi di crittografia nel piano di controllo del cluster. Puoi utilizzare separatamente le tue chiavi per criptare i dischi di avvio e i dischi di archiviazione dei nodi worker nel cluster. Per i dettagli, consulta Utilizzare le chiavi di crittografia gestite dal cliente (CMEK).

Quando utilizzi GKE control plane authority per criptare i dischi di avvio del piano di controllo, le VM del piano di controllo GKE utilizzano automaticamente la modalità Confidential per Hyperdisk Balanced nei dischi di avvio. Questa configurazione non modifica i dischi di avvio predefiniti dei nodi worker.

Rotazione delle credenziali gestite dal cliente

Con GKE control plane authority, puoi configurare i cluster in modo che utilizzino CA e chiavi gestite dal cliente anziché le risorse gestite da Google utilizzate da GKE per impostazione predefinita. Una rotazione delle credenziali è un'operazione che esegui per aggiornare una o più di queste risorse in un cluster. Potresti eseguire una rotazione delle credenziali per motivi come evitare la scadenza della CA o rispettare i requisiti di gestione delle credenziali della tua organizzazione.

Per eseguire una rotazione delle credenziali per un cluster che utilizza GKE control plane authority, crea nuove CA, chiavi di firma e chiavi di crittografia. Poi aggiorna il cluster in modo che utilizzi queste nuove risorse.

Per saperne di più, consulta le pagine seguenti:

Log di accesso e log di emissione delle identità

Puoi visualizzare i log in Logging per tutti gli eventi relativi all'accesso e all'identità nel control plane, inclusi i seguenti eventi:

Accesso diretto: i log relativi ai tentativi di accesso diretto (ad esempio SSH) ai nodi del piano di controllo GKE ti consentono di verificare che i log SSH delle VM e le connessioni di rete delle VM corrispondano ai record SSH nei log di Access Transparency
Emissione e verifica delle identità: log relativi alle identità emesse utilizzando le CA e le chiavi gestite in CA Service e Cloud KMS.
Utilizzo delle identità in Kubernetes: log relativi alle azioni eseguite da identità specifiche sul server dell'API Kubernetes.
Access Transparency: log relativi alle connessioni stabilite con il piano di controllo e alle azioni intraprese sul piano di controllo dal Cloud de Confiance personale. Quando l'approvazione dell'accesso aumentato è abilitata, ottieni una granularità maggiore per il controllo dell'accesso, inclusi i dettagli dei comandi SSH nei log di Access Transparency e per le richieste di approvazione dell'accesso. Per ulteriori informazioni su idoneità e registrazione, contatta il tuo Cloud de Confiance by S3NS team dedicato all'account.

Questi log possono aiutarti a:

Mantenere audit trail completi di tutti gli eventi di accesso e identità del piano di controllo per la conformità e la sicurezza.
Oltre alle protezioni integrate di Google, puoi creare il tuo monitoraggio per identificare e analizzare qualsiasi attività sospetta all'interno del piano di controllo.
Verificare che solo le entità autorizzate accedano e interagiscano con il cluster GKE, migliorando così la postura di sicurezza.
Visualizzare quando vengono create le identità utilizzando le chiavi e le CA gestite utilizzando i log di emissione delle identità in Cloud KMS e CA Service. Utilizzare i log dettagliati di utilizzo dell'API Kubernetes per monitorare le azioni eseguite da queste identità nel cluster.

I seguenti documenti mostrano come visualizzare ed elaborare i vari tipi di log del piano di controllo:

Risorse aggiuntive sulla sicurezza del piano di controllo

Questa sezione descrive altri metodi che puoi utilizzare per migliorare la tua fiducia nella sicurezza del piano di controllo. Non è necessario utilizzare GKE control plane authority per utilizzare le seguenti risorse:

Integrità dell'immagine VM del piano di controllo: GKE aggiunge log dettagliati per la creazione e gli eventi di avvio delle VM dei nodi a Cloud Logging. Inoltre, pubblichiamo VSA SLSA su GitHub che corrispondono alle immagini macchina del piano di controllo e dei nodi worker. Puoi verificare che le VM utilizzino immagini del sistema operativo con VSA corrispondenti e verificare l'integrità di avvio di ogni VM del piano di controllo.

Per eseguire la verifica dell'integrità della VM, consulta Verificare l'integrità della VM del piano di controllo GKE.
Misure di sicurezza integrate del piano di controllo: GKE esegue varie misure di hardening sul piano di controllo gestito. Per scoprire di più, consulta Sicurezza del piano di controllo.