Keamanan
Bagian dokumentasi Kubernetes ini memiliki tujuan untuk membantu anda menjalankan workloads lebih aman, dan aspek-aspek mendasar dalam menjaga klaster Kubernetes tetap aman.
Kubernetes berbasiskan arsitektur cloud-native dan mengambil saran dari CNCF mengenai praktik yang baik dari cloud native information security.
Baca Cloud Native Security and Kubernetes untuk konteks yang lebih luas mengenai bagaimana cara mengamankan klaster anda dan aplikasi yang berjalan di atasnya.
Mekanisme keamanan Kubernetes
Proteksi control plane
Kunci penting pada apapun varian klaster Kubernetes adalah kontrol akses ke Kubernetes API.
Kubernetes menyarankan anda untuk mengkonfigurasi dan menggunakan TLS dalam menyediakan enkripsi data saat transit di dalam control plane, dan di antara control plane dengan client. Anda juga bisa mengaktifkan encryption at rest untuk data yang tersimpan di dalam Kubernetes control plane; hal ini terpisah dari menggunanakan encryption at rest untuk data anda di workload.
Secrets
Secret API menyediakan perlindungan dasar untuk variabel konfigurasi yang konfidensial.
Perlindungan Workload
Terapkan Pod security standards untuk memastikan Pods dan containers terisolasi dengan baik. Anda juga dapat menggunakan RuntimeClasses untuk mendefinisikan isolasi custom jika dibutuhkan.
Network policies memungkinkan anda mengendalikan trafik jaringan di antara Pods, atau antara Pods dengan jaringan di luar klaster.
Anda dapat men-deploy security controls dari ekosistem yang lebih besar untuk mengimplementasikan kontrol pencegahan atau pendeteksian di sekitar Pods, kontainer dan images yang berjalan.
Audit
Kubernetes audit logging menyediakan sebuah set catatan yang berurutan terkait dengan keamanan, mendokumentasikan urutan aktivitas dalam suatu cluster. Aktivitas cluster audit dihasilkan oleh pengguna, aplikasi yang menggunakan Kubernetes API dan control plane.
Keamanan penyedia cloud
Jika anda menjalankan klaster Kubernetes pada perangkat keras anda sendiri atau pada penyedia layanan komputasi awan, silakan kunjungi halaman dokumentasi untuk melihat saran/tips dalam keamanan. Berikut ini beberapa tautan ke halaman dokumentasi keamanan dari beberapa penyedia jasa komputasi awan:
| Penyedia IaaS | Tautan |
|---|---|
| Alibaba Cloud | https://www.alibabacloud.com/trust-center |
| Amazon Web Services | https://aws.amazon.com/security |
| Google Cloud Platform | https://cloud.google.com/security |
| Huawei Cloud | https://www.huaweicloud.com/intl/en-us/securecenter/overallsafety |
| IBM Cloud | https://www.ibm.com/cloud/security |
| Microsoft Azure | https://docs.microsoft.com/en-us/azure/security/azure-security |
| Oracle Cloud Infrastructure | https://www.oracle.com/security |
| Tencent Cloud | https://www.tencentcloud.com/solutions/data-security-and-information-protection |
| VMware vSphere | https://www.vmware.com/solutions/security/hardening-guides |
Policies
Anda dapat mendefinisikan security policies menggunakan mekanisme Kubernetes-native seperti NetworkPolicy (kontrol deklaratif atas network packet filtering) atau ValidatingAdmissionPolicy (larangan deklaratif atas perubahan apa yang bisa dibuat seseorang menggunakan Kubernetes API).
Bagaimanapun juga, anda dapat mengandalkan dari implementasi policy dari ekosistem yang lebih besar di sekitar Kubernetes. Kubernetes menyediakan mekanisme ekstensi untuk membiarkan ekosistem proyek tersebut mengimplementasikan policy controls mereka pada peninjauan kode sumber, persetujuan image container, akses kontrol API, jaringan dan lain-lain.
Untuk informasi lebih lanjut mengenai mekanisme policy dan Kubernetes, silakan baca Policies.
Selanjutnya
Pelajari lebih lanjut topik terkait keamanan Kubernetes:
- Securing your cluster
- Known vulnerabilities in Kubernetes (dan tautan untuk informasi lebih lanjut)
- Data encryption in transit untuk control plane
- Data encryption at rest
- Controlling Access to the Kubernetes API
- Network policies untuk Pods
- Secrets in Kubernetes
- Pod security standards
- RuntimeClasses
Pelajari konteks:
Ambil sertifikasi:
- Certified Kubernetes Security Specialist sertifikasi dan kursus pelatihan resmi.
Baca lebih lanjut dalam bagian ini:
Items on this page refer to third party products or projects that provide functionality required by Kubernetes. The Kubernetes project authors aren't responsible for those third-party products or projects. See the CNCF website guidelines for more details.
You should read the content guide before proposing a change that adds an extra third-party link.