Google Cloud offre una gamma di funzionalità per proteggere il parco risorse e le applicazioni eseguite al suo interno. Questa pagina fornisce una panoramica delle funzionalità di sicurezza del parco risorse, con link per saperne di più.
Gestione dell'identità
Google Cloud offre le seguenti opzioni per l'autenticazione nei cluster del parco risorse in modo semplice, coerente e sicuro, ovunque si trovino i cluster. Dopo hai impostato l'autenticazione, puoi configurare un controllo dell'accesso più granulare ai cluster mediante il controllo controllo dell'accesso basato su ruoli (RBAC) di Kubernetes.
Autenticazione con Google Cloud
Tutti i cluster GKE su Google Cloud sono configurati in modo da accettare le identità degli account utente e di servizio di Google Cloud per impostazione predefinita. Se il tuo parco risorse contiene cluster in più ambienti, puoi configurare il gateway di connessione in modo che gli utenti e gli account di servizio possano anche eseguire l'autenticazione in qualsiasi cluster registrato utilizzando il proprio ID Google Cloud.
Scopri di più sulla configurazione e sull'utilizzo dell'autenticazione con Google Cloud nelle seguenti guide:
- Configurazione dell'accesso al cluster per
kubectl
- Connessione a cluster registrati con il gateway Connect
- Configurare il gateway Connect
- Utilizzare il gateway Connect
Esegui l'autenticazione con provider di terze parti
Se vuoi utilizzare il tuo provider di identità di terze parti esistente per eseguire l'autenticazione nei cluster del parco risorse, GKE Identity Service è un servizio di autenticazione che ti consente di portare le tue soluzioni di identità esistenti in più ambienti. Supporta tutti i provider OpenID Connect (OIDC) come Okta e Microsoft AD FS, nonché il supporto in anteprima per i provider LDAP in alcuni ambienti. Puoi configurare GKE Identity Service solo cluster per cluster o con un'unica configurazione per l'intero parco risorse, se supportato.
Scopri di più sulla configurazione e sull'utilizzo dell'autenticazione di terze parti, inclusi gli ambienti e i provider supportati, nelle seguenti guide:
Autenticazione con un token di connessione
Se le soluzioni fornite da Google precedenti non sono adatte a organizzazione, puoi configurare l'autenticazione utilizzando un servizio Kubernetes e l'utilizzo del proprio token di connessione per accedere. Per maggiori dettagli, consulta la sezione Configurazione utilizzando un token di connessione.
Gestisci la sicurezza del parco risorse
Google Cloud offre una gamma di funzionalità e prodotti che migliorano la sicurezza dei parchi risorse e dei carichi di lavoro, come:
- Autorizzazione binaria per garantire che nel parco risorse venga eseguito il deployment solo di immagini attendibili cluster
- Criteri di rete di Kubernetes per controllare le connessioni tra i pod
- Controllo granulare dell'accesso ai servizi per Cloud Service Mesh
- La dashboard della strategia di sicurezza di GKE per monitorare i cluster strategia di sicurezza.
Monitora la security posture del parco risorse
La dashboard della strategia di sicurezza di GKE ti aiuta a valutare gestisci i cluster GKE del tuo parco risorse per i problemi di sicurezza e sfrutta l'opportunità consigli per correggerle. Le funzionalità includono:
- Controllo della configurazione: Errori di configurazione nelle specifiche dei carichi di lavoro, come i pod con privilegi in eccesso.
- Analisi delle vulnerabilità: Vulnerabilità attuabili nei sistemi operativi dei container o nei pacchetti di linguaggio.
- Controllo della conformità con Policy Controller (solo per progetti con GKE Enterprise abilitato)
La dashboard visualizza i problemi rilevati per tutti i cluster nella nel parco risorse selezionato e per qualsiasi cluster GKE autonomo nella progetto.
- Per maggiori dettagli e un elenco completo delle funzionalità, vedi Dashboard della postura di sicurezza.
- Per informazioni sui prezzi, vedi Prezzi della dashboard della strategia di sicurezza di GKE.
Configura le funzionalità della dashboard della security posture a livello di parco risorse
Se hai abilitato GKE Enterprise, puoi gestire alcune funzionalità della dashboard per la sicurezza a livello di parco risorse, in modo che tutti i cluster nel parco risorse possano utilizzare le stesse impostazioni predefinite per l'osservabilità della sicurezza.
- Scopri come configurare le funzionalità della dashboard della security posture per il tuo parco risorse.
Risorse per la sicurezza del parco risorse
Scopri di più sulle funzionalità di sicurezza del parco risorse nelle seguenti guide:
- Autorizzazione binaria
- Criteri di rete di Kubernetes
- Sicurezza delle applicazioni in Cloud Service Mesh:
- Dashboard della security posture
Monitora la conformità dei cluster agli standard di settore
La dashboard di conformità di GKE offre una panoramica della conformità del cluster agli standard di settore come CIS. Benchmark GKE e standard di sicurezza dei pod di Kubernetes. La dashboard automatizza conformità, fornisce un elenco dettagliato dei problemi rilevati, nonché consigli pratici.
- Per maggiori dettagli sull'abilitazione del controllo di conformità, vedi Cluster di controllo per standard di conformità.
- Per maggiori dettagli sulla dashboard per la conformità, vedi Informazioni sulla dashboard di conformità di GKE.
Gestisci i criteri del cluster
Policy Controller consente l'applicazione di criteri completamente programmabili per i cluster del parco risorse. Queste norme fungono da "barriere" e impedire che si verifichino modifiche alla configurazione dell'API Kubernetes in modo che non violino la sicurezza, operativi o di conformità.
Scopri di più su cosa puoi fare con Policy Controller nella documentazione di Policy Controller.