フリートを保護する

Google Cloud には、フリートとフリートで実行されるアプリケーションを保護するための幅広い機能が用意されています。このページでは、フリートのセキュリティ機能の概要について説明し、詳細情報へのリンクを示します。

ID を管理する

Google Cloud には、クラスタが存在する場所を問わず、シンプルで一貫した安全な方法でフリート クラスタに対する認証を行うための次のオプションが用意されています。認証を設定したら、Kubernetes ロールベースアクセス制御（RBAC）を使用して、クラスタに対してより詳細なアクセス制御を構成できます。

Google Cloud で認証する

Google Cloud 上のすべての GKE クラスタは、Google Cloud ユーザー ID とサービス アカウント ID をデフォルトで受け入れるように構成されています。フリートに複数の環境のクラスタが含まれている場合は、Connect Gateway を構成して、ユーザーとサービス アカウントが Google Cloud ID を使用して登録済みのクラスタに対して認証できるようにすることができます。

Google Cloud での認証の設定と使用について詳しくは、次のガイドをご覧ください。

• kubectl 用のクラスタ アクセスの構成
• Connect Gateway による登録済みクラスタへの接続
• Connect Gateway の設定
• Connect Gateway の使用

サードパーティ プロバイダで認証する

既存のサードパーティの ID プロバイダを使用してフリート クラスタに対する認証を行う場合は、GKE Identity Service が既存の ID ソリューションを複数の環境に導入できるようにする認証サービスです。Okta や Microsoft AD FS などすべての OpenID Connect（OIDC）プロバイダと、一部の環境における LDAP プロバイダのプレビュー サポートをサポートしています。GKE Identity Service は、クラスタ単位で設定できます。また、サポートされている場合は、フリート全体に対して 1 つの構成で設定できます。

サポートされている環境とプロバイダなど、サードパーティ認証の設定と使用について詳しくは、次のガイドをご覧ください。

• GKE Identity Service の導入
• GKE Identity Service によるクラスタへのアクセス

署名なしトークンを使用して認証する

上記の Google 提供のソリューションが組織に適していない場合は、Kubernetes サービス アカウントとログインする署名なしトークンを使用して認証を設定できます。詳細については、署名なしトークンを使用して設定するをご覧ください。

フリートのセキュリティを管理する

Google Cloud には、フリートとワークロードのセキュリティを向上させる、次のような幅広い機能と製品が用意されています。

• 信頼できるイメージのみがフリート クラスタにデプロイされるようにする Binary Authorization
• Pod 間の接続を制御する Kubernetes ネットワーク ポリシー
• Cloud Service Mesh のきめ細かいサービス アクセス制御
• クラスタのセキュリティ ポスチャーをモニタリングする GKE セキュリティ ポスチャー ダッシュボード。

フリートのセキュリティ ポスチャーをモニタリングする

GKE セキュリティ ポスチャー ダッシュボードは、セキュリティ上の懸念についてフリートの GKE クラスタを評価および管理し、それらを修正するための実行可能な推奨事項を入手するのに役立ちます。次の機能が含まれています。

• 構成の監査: 過剰な権限のある Pod などのワークロード仕様の構成ミス。
• 脆弱性スキャン: コンテナ オペレーティング システムまたは言語パッケージの実行可能な脆弱性。
• Policy Controller によるコンプライアンス監査（GKE Enterprise が有効なプロジェクトのみ）

ダッシュボードには、選択したフリート内のすべてのクラスタと、選択したプロジェクト内のスタンドアロン GKE クラスタで検出された懸念事項が表示されます。

• 機能の詳細と完全な一覧については、セキュリティ対策ダッシュボードについてをご覧ください。
• 料金情報については、GKE の [セキュリティ対策] ダッシュボードの料金をご覧ください。

フリートレベルでセキュリティ対策ダッシュボードの機能を構成する

GKE Enterprise を有効にしている場合は、フリートレベルでセキュリティ ダッシュボード機能の一部を管理できます。これにより、フリート内のすべてのクラスタでセキュリティ オブザーバビリティに同じデフォルト設定を使用できます。

• フリートのセキュリティ対策ダッシュボード機能を構成する方法について学びます。

フリート セキュリティ リソース

フリートのセキュリティ機能について詳しくは、次のガイドをご覧ください。

• Binary Authorization
• Kubernetes ネットワーク ポリシー
• Cloud Service Mesh のアプリケーション セキュリティ:
  • 認可ポリシーの概要
  • トランスポートのセキュリティの構成
  • メッシュ セキュリティのモニタリング
• セキュリティ ポスチャー ダッシュボードについて

業界標準に従ってクラスタのコンプライアンスをモニタリングする

GKE コンプライアンス ダッシュボードには、CIS GKE Benchmark や Kubernetes Pod Security Standards などの業界標準に対するクラスタのコンプライアンスの概要が表示されます。このダッシュボードでは、コンプライアンス レポートが自動化され、検出された懸念事項と具体的な推奨事項の詳細なリストが表示されます。

• コンプライアンス監査を有効にする方法の詳細については、コンプライアンス標準に対するクラスタの監査に関する記事をご覧ください。
• コンプライアンス ダッシュボードの詳細については、GKE コンプライアンス ダッシュボードについてをご覧ください。

クラスタ ポリシーを管理する

Policy Controller を使用すると、フリート クラスタに対して完全にプログラム可能なポリシーを適用できます。こうしたポリシーは「ガードレール」として機能し、Kubernetes API の構成に対する変更がセキュリティ、運用、コンプライアンスの管理に違反することを防止します。

Policy Controller の機能について詳しくは、Policy Controller のドキュメントをご覧ください。