Keamanan

Konsep-konsep untuk menjaga cloud-native workload tetap aman.

Bagian dokumentasi Kubernetes ini memiliki tujuan untuk membantu anda menjalankan workloads lebih aman, dan aspek-aspek mendasar dalam menjaga klaster Kubernetes tetap aman.

Kubernetes berbasiskan arsitektur cloud-native dan mengambil saran dari CNCF mengenai praktik yang baik dari cloud native information security.

Baca Cloud Native Security and Kubernetes untuk konteks yang lebih luas mengenai bagaimana cara mengamankan klaster anda dan aplikasi yang berjalan di atasnya.

Mekanisme keamanan Kubernetes

Proteksi control plane

Kunci penting pada apapun varian klaster Kubernetes adalah kontrol akses ke Kubernetes API.

Kubernetes menyarankan anda untuk mengkonfigurasi dan menggunakan TLS dalam menyediakan enkripsi data saat transit di dalam control plane, dan di antara control plane dengan client. Anda juga bisa mengaktifkan encryption at rest untuk data yang tersimpan di dalam Kubernetes control plane; hal ini terpisah dari menggunanakan encryption at rest untuk data anda di workload.

Secrets

Secret API menyediakan perlindungan dasar untuk variabel konfigurasi yang konfidensial.

Perlindungan Workload

Terapkan Pod security standards untuk memastikan Pods dan containers terisolasi dengan baik. Anda juga dapat menggunakan RuntimeClasses untuk mendefinisikan isolasi custom jika dibutuhkan.

Network policies memungkinkan anda mengendalikan trafik jaringan di antara Pods, atau antara Pods dengan jaringan di luar klaster.

Anda dapat men-deploy security controls dari ekosistem yang lebih besar untuk mengimplementasikan kontrol pencegahan atau pendeteksian di sekitar Pods, kontainer dan images yang berjalan.

Audit

Kubernetes audit logging menyediakan sebuah set catatan yang berurutan terkait dengan keamanan, mendokumentasikan urutan aktivitas dalam suatu cluster. Aktivitas cluster audit dihasilkan oleh pengguna, aplikasi yang menggunakan Kubernetes API dan control plane.

Keamanan penyedia cloud

Jika anda menjalankan klaster Kubernetes pada perangkat keras anda sendiri atau pada penyedia layanan komputasi awan, silakan kunjungi halaman dokumentasi untuk melihat saran/tips dalam keamanan. Berikut ini beberapa tautan ke halaman dokumentasi keamanan dari beberapa penyedia jasa komputasi awan:

Keamanan cloud provider
Penyedia IaaSTautan
Alibaba Cloudhttps://www.alibabacloud.com/trust-center
Amazon Web Serviceshttps://aws.amazon.com/security
Google Cloud Platformhttps://cloud.google.com/security
Huawei Cloudhttps://www.huaweicloud.com/intl/en-us/securecenter/overallsafety
IBM Cloudhttps://www.ibm.com/cloud/security
Microsoft Azurehttps://docs.microsoft.com/en-us/azure/security/azure-security
Oracle Cloud Infrastructurehttps://www.oracle.com/security
Tencent Cloudhttps://www.tencentcloud.com/solutions/data-security-and-information-protection
VMware vSpherehttps://www.vmware.com/solutions/security/hardening-guides

Policies

Anda dapat mendefinisikan security policies menggunakan mekanisme Kubernetes-native seperti NetworkPolicy (kontrol deklaratif atas network packet filtering) atau ValidatingAdmissionPolicy (larangan deklaratif atas perubahan apa yang bisa dibuat seseorang menggunakan Kubernetes API).

Bagaimanapun juga, anda dapat mengandalkan dari implementasi policy dari ekosistem yang lebih besar di sekitar Kubernetes. Kubernetes menyediakan mekanisme ekstensi untuk membiarkan ekosistem proyek tersebut mengimplementasikan policy controls mereka pada peninjauan kode sumber, persetujuan image container, akses kontrol API, jaringan dan lain-lain.

Untuk informasi lebih lanjut mengenai mekanisme policy dan Kubernetes, silakan baca Policies.

Selanjutnya

Pelajari lebih lanjut topik terkait keamanan Kubernetes:

Pelajari konteks:

Ambil sertifikasi:

Baca lebih lanjut dalam bagian ini:

Items on this page refer to third party products or projects that provide functionality required by Kubernetes. The Kubernetes project authors aren't responsible for those third-party products or projects. See the CNCF website guidelines for more details.

You should read the content guide before proposing a change that adds an extra third-party link.

Last modified March 17, 2025 at 2:57 PM PST: ID: small fixes including typos (0a4ce0a514)