Sécuriser votre parc

Google Cloud offre plusieurs fonctionnalités pour sécuriser votre parc et les applications qui y sont exécutées. Cette page présente les fonctionnalités de sécurité du parc et contient des liens pour en savoir plus.

Gérer l'identité

Google Cloud offre les options suivantes pour l'authentification des clusters de parc de manière simple, cohérente et sécurisée, où qu'ils se trouvent. Une fois l'authentification configurée, vous pouvez configurer un contrôle d'accès plus précis pour vos clusters à l'aide du contrôle des accès basé sur les rôles Kubernetes (RBAC).

Authentification avec Google Cloud

Tous les clusters GKE sur Google Cloud sont configurés pour accepter par défaut les comptes d'utilisateur et de service Google Cloud. Si votre parc contient des clusters dans plusieurs environnements, vous pouvez configurer la passerelle Connect pour que les utilisateurs et les comptes de service puissent également s'authentifier auprès de n'importe quel cluster enregistré à l'aide de leur ID Google Cloud.

Pour en savoir plus sur la configuration et l'utilisation de l'authentification avec Google Cloud, consultez les guides suivants :

S'authentifier auprès de fournisseurs tiers

Si vous souhaitez utiliser votre fournisseur d'identité tiers existant pour vous authentifier auprès des clusters de votre parc, GKE Identity Service est un service d'authentification qui vous permet de transférer vos solutions d'identité existantes dans plusieurs environnements. Il est compatible avec tous les fournisseurs OpenID Connect (OIDC), tels que Okta et Microsoft AD FS, et offre également la compatibilité bêta des fournisseurs LDAP dans certains environnements. Le cas échéant, vous pouvez configurer GKE Identity Service cluster par cluster ou avec une configuration unique pour l'ensemble de votre parc.

Pour en savoir plus sur la configuration et l'utilisation de l'authentification tierce, y compris les environnements et les fournisseurs acceptés, consultez les guides suivants :

S'authentifier avec un jeton de support

Si les solutions fournies par Google ci-dessus ne conviennent pas à votre organisation, vous pouvez configurer l'authentification à l'aide d'un compte de service Kubernetes et de son jeton de support pour vous connecter. Pour en savoir plus, consultez la page Configurer à l'aide d'un jeton de support.

Gérer les règles de cluster

Policy Controller permet d'appliquer des règles entièrement programmables pour vos clusters du parc. Ces règles servent de "garde-fous" et empêchent toute modification de la configuration de l'API Kubernetes de contrevenir aux contrôles de sécurité, opérationnels ou de conformité.

Pour en savoir plus sur Policy Controller, consultez la documentation sur Policy Controller.

Gérer la sécurité du parc

Google Cloud fournit une gamme de fonctionnalités et de produits qui améliorent la sécurité de vos parcs et de vos charges de travail. Par exemple:

  • L'autorisation binaire pour garantir que seules les images de confiance sont déployées sur les clusters de votre parc
  • Les règles de réseau Kubernetes pour contrôler les connexions entre les pods
  • Contrôle précis des accès aux services pour Anthos Service Mesh

Pour surveiller la sécurité des clusters de votre parc, utilisez les tableaux de bord suivants dans la console Google Cloud:

  • Tableau de bord de sécurité de GKE Enterprise: affichez les fonctionnalités de sécurité de vos clusters de parc sur Google Cloud, VMware et bare metal. Fournit une vue détaillée d'audit des stratégies permettant de modifier les configurations et d'améliorer la sécurité. Pour en savoir plus, consultez la page Surveiller la sécurité des applications dans GKE Enterprise.
  • Tableau de bord de stratégie de sécurité GKE: surveillez la sécurité des clusters GKE de votre parc et obtenez des recommandations exploitables pour résoudre les problèmes détectés. Parmi les fonctionnalités disponibles figurent l'analyse des failles, l'audit de configuration et l'affichage des bulletin de sécurité. Pour en savoir plus et obtenir la liste complète des fonctionnalités, consultez À propos du tableau de bord de stratégie de sécurité.

Surveiller les parcs de clusters GKE

Le tableau de bord de stratégie de sécurité GKE vous aide à évaluer et à gérer les clusters GKE de votre parc pour détecter les problèmes de sécurité tels que les suivants:

  • Audit de configuration : erreurs de configuration dans les spécifications des charges de travail, telles que les pods bénéficiant de privilèges trop élevés.
  • Analyse des failles : failles exploitables dans les systèmes d'exploitation de conteneurs ou les packages de langages.

Le tableau de bord affiche les problèmes détectés pour tous les clusters du parc sélectionné et pour tous les clusters GKE autonomes du projet sélectionné. Pour en savoir plus, consultez la page Vue du parc.

Pour en savoir plus sur la tarification, consultez la page Tarifs du tableau de bord de stratégie de sécurité GKE.

Configurer des fonctionnalités de tableau de bord de stratégie de sécurité au niveau du parc

Google Cloud vous permet de gérer la sécurité de vos parcs au niveau du parc, de sorte que tous les clusters de votre parc puissent utiliser les mêmes paramètres pour l'observabilité de la sécurité. Vous pouvez activer GKE Enterprise et configurer les fonctionnalités du tableau de bord de stratégie de sécurité de GKE pour vos parcs à l'aide de la gcloud CLI.

Découvrez comment configurer les fonctionnalités du tableau de bord de stratégie de sécurité pour votre parc.

Ressources pour la sécurité du parc

Pour en savoir plus sur les fonctionnalités de sécurité du parc, consultez les guides suivants: