Asset 15

Cách Google Cloud Giải Quyết Thách Thức Bảo Mật Với Google Kubernetes Engine (GKE)

Asset 15

Các doanh nghiệp thường lựa chọn Google Kubernetes Engine (GKE) để chạy compute workload của họ do sự linh hoạt, tính sẵn sàng và độ bảo mật cao của hệ thống. Tuy nhiên, các doanh nghiệp thường chậm cập nhật GKE do lo sợ trì hoãn có thể ảnh hưởng đến hoạt động kinh doanh. Hãy cùng Cloud Ace tìm hiểu về cách Google Cloud giải quyết thách thức của doanh nghiệp nhé.

Thách thức của doanh nghiệp

Doanh nghiệp thường quan tâm giữa tính khả dụng của Kubernetes và bản vá bảo mật. Workload các doanh nghiệp trong các dịp sale, lễ, tết là rất lớn. Việc vá lỗi bảo mật có thể ảnh hưởng đến tính khả dụng, vì các hệ thống có thể ngừng hoạt động trong quá trình vá lỗi – và thậm chí có thể xảy ra tình trạng ngừng hoạt động sau khi vá lỗi.

Qua khảo sát của Google Cloud, các thách thức mà họ nhận thấy là:

  • - Các doanh nghiệp về app cần duy trì “state” lo rằng các bản update đột xuất sẽ phá vỡ trạng thái, làm suy yếu quá trình thực thi của ứng dụng.
  • - Các doanh nghiệp thực thi các ứng dụng hàng loạt và AI/ML, lo rằng việc vá lỗi có thể làm gián đoạn công việc như “đào tạo ML”, vì workload chưa hoàn thành có thể được khởi động lại trong quá trình vá lỗi. 
  • -  Những nâng cấp có thể mang lại những thay đổi API không lường trước được, điều này có thể làm suy yếu chức năng ứng dụng của họ.
  • - Doanh nghiệp có node fleets lớn, việc vá lỗi mất nhiều thời gian, có thể duy trì trạng thái bảo mật yếu lâu hơn.
Thách thức doanh nghiệp

Tuy nhiên, việc kéo dài hoặc trì hoãn việc vá lỗi bảo mật có những thách thức riêng. Các cluster chạy trên các bản phát hành bản vá GKE cũ có CVE mở gấp 2, 3 lần hoặc nhiều hơn so với các cụm trên các bản phát hành mới. 

Các giải pháp cân bằng tính khả dụng và bảo mật GKE

  1. Đảm bảo các cluster nằm trong release channel , đây là các chính sách phát hành do Google quản lý cho phép khách hàng chọn lộ trình nâng cấp phù hợp. Trong số ba kênh phát hành có sẵn (Rapid, Regular, và Stable), Google Cloud đề xuất Regular channel để cân bằng giữa tốc độ và tính khả dụng của bản vá bảo mật.
  2.  Using Maintenance windows thường xuyên để đảm bảo rằng các node được vá khi quy trình sản xuất cho phép. (Thời gian bảo trì ngắn có thể không đủ cho các cụm lớn để hoàn tất việc vá lỗi trong một chu kỳ).
  3. Using maintenance exclusion windows để ngăn việc vá xảy ra trong khoảng thời gian làm việc. Khung thời gian cho việc loại trừ, cũng như phạm vi của nó, có thể được chỉ định.
  4. Phương pháp vá nhóm node mặc định là surge upgrade. Nếu sử dụng surge upgrade cho các cụm rất lớn, hãy cân nhắc tăng tham số maxSurge ngoài giá trị mặc định là 1. Nếu ứng dụng đã triển khai chịu được một số gián đoạn trong quá trình vá lỗi, hãy tăng tham số maxUnavailable vượt quá giá trị mặc định 0. Điều này có thể làm hỏng một số node sản xuất —  có thể chấp nhận được — nhưng sẽ hoàn thành quá trình vá lỗi nhanh hơn.
Solution

  • 5. Đối với các workload có trạng thái tương tự, hãy đặt Pod Disruption Budget  (PDB), giúp các ứng dụng tương tự  sẽ tiếp tục hoạt động trong khi quá trình vá đang diễn ra. Thời gian gia hạn chấm dứt có thể được tăng lên, để đảm bảo khi các nhóm tắt trong quá trình vá lỗi, vẫn đủ thời gian để tắt các workload cần thiết.

  • 6. Doanh nghiệp nên thiết lập regional cluster thay vì zonal cluster khi tạo môi trường GKE. Vì regional cluster không có giới hạn quyền truy cập API Kubernetes khi một cluster đang được vá.

  • 7. Sử dụng security posture dashboard(SPD), để tìm các vấn đề bảo mật khác nhau với các cluster. Thông qua SPD, doanh nghiệp có thể quét lỗ hổng để tìm cấu hình sai workload hoặc CVE trong hệ điều hành được sử dụng trên node.

  • 8. Sử dụng các dịch vụ thông báo khác nhau để có thêm nhận thức về bảo mật liên quan đến các cluster. Xem thông tin chi tiết về việc ngừng sử dụng và các đề xuất để xác định API nào hoặc các tính năng khác của GKE sẽ thay đổi trong tương lai. 

Tìm hiểu thêm về chương trình ưu đãi Google Cloud Platform tại Cloud Ace's Promotion

Cloud Ace - Managed Service Partner của Google Cloud

  • Trụ sở: Tòa Nhà H3, Lầu 1, 384 Hoàng Diệu, Phường 6, Quận 4, TP. HCM.
  • Văn phòng đại diện: Tầng 2, 25t2 Hoàng Đạo Thúy, Phường Trung Hoà, Quận Cầu Giấy, Thành phố Hà Nội.
  • Email: sales.vn@cloud-ace.com
  • Hotline: 028 6686 3323
  • Website: https://cloud-ace.vn/

Tin tức liên quan

Shopping Basket
en_USEnglish