O Google Cloud tem vários recursos para proteger sua frota e os aplicativos executados nela. Nesta página, você encontra uma visão geral dos recursos de segurança da frota com links para mais informações.
Gerenciar identidade
O Google Cloud oferece as seguintes opções de autenticação para clusters de frotas de maneira simples, consistente e segura em qualquer lugar. Depois de configurar a autenticação, é possível configurar um controle de acesso mais refinado para seus clusters usando o controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Kubernetes.
Autenticar com o Google Cloud
Todos os clusters do GKE no Google Cloud estão configurados para aceitar, por padrão, identidades de usuário e de contas de serviço do Google Cloud. Se a frota tiver clusters em vários ambientes, configure o gateway do Connect para que os usuários e as contas de serviço também possam se autenticar em qualquer cluster registrado usando o Google Cloud ID.
Saiba mais sobre como configurar e usar a autenticação com o Google Cloud nos seguintes guias:
- Como configurar o acesso ao cluster para
kubectl
- Como se conectar a clusters registrados com o gateway do Connect
- Como configurar o gateway do Connect
- Como usar o gateway do Connect
Autenticar com provedores de terceiros
Quando você quer usar um provedor de identidade de terceiros atual para autenticar os clusters da sua frota, o serviço de identidade do GKE é um serviço de autenticação que permite usar suas soluções de identidade atuais em vários ambientes. Ele é compatível com todos os provedores de OpenID Connect (OIDC), como o Okta e o Microsoft AD FS, além de oferecer compatibilidade com a visualização de provedores LDAP em alguns ambientes. É possível configurar o serviço de identidade do GKE com base em cada cluster ou com uma única configuração para toda a frota, quando compatível.
Saiba mais sobre como configurar e usar a autenticação de terceiros, incluindo ambientes e provedores compatíveis, nos seguintes guias:
Autenticar com um token do portador
Se as soluções apresentadas anteriormente pelo Google não forem adequadas para sua organização, configure a autenticação usando uma conta de serviço do Kubernetes e o token do portador para fazer login. Para mais detalhes, consulte Configurar usando um token do portador.
Gerenciar a segurança da frota
O Google Cloud fornece uma variedade de recursos e produtos que melhoram a segurança de suas frotas e cargas de trabalho, como os seguintes:
- Autorização binária para garantir que apenas imagens confiáveis sejam implantadas nos clusters da frota
- Políticas de rede do Kubernetes para controlar as conexões entre pods
- Controle de acesso a serviços refinado para o Anthos Service Mesh
- O painel de postura de segurança do GKE para monitorar a postura de segurança dos seus clusters.
Monitorar a postura de segurança da frota
O painel de postura de segurança do GKE ajuda a avaliar e gerenciar os clusters do GKE da sua frota em busca de problemas de segurança e receber recomendações acionáveis para corrigi-los. Os recursos incluem:
- Auditoria de configuração: configurações incorretas nas especificações da carga de trabalho, como pods com muitos privilégios.
- Verificação de vulnerabilidades: vulnerabilidades acionáveis em sistemas operacionais de contêiner ou pacotes de linguagens.
- Auditoria de conformidade com o Controlador de Políticas (apenas para projetos com o GKE Enterprise ativado)
O painel exibe problemas descobertos para todos os clusters na frota selecionada e para todos os clusters independentes do GKE no projeto selecionado.
- Para ver detalhes e uma lista completa de recursos, consulte Sobre o painel de postura de segurança.
- Para informações sobre preços, consulte Preços do painel de postura de segurança do GKE
Configurar os recursos do painel de postura de segurança no nível da frota
Se você ativou o GKE Enterprise, será possível gerenciar alguns recursos do painel de segurança no nível da frota. Assim, todos os clusters nela poderão usar as mesmas configurações padrão de observabilidade da segurança.
- Saiba como configurar recursos do painel de postura de segurança para seus dispositivos.
Recursos de segurança da frota
Saiba mais sobre os recursos de segurança para aplicativos de frota nos seguintes guias:
- Autorização binária
- Políticas de rede do Kubernetes
- Segurança de aplicativos no Anthos Service Mesh:
- Sobre o painel de postura de segurança
Monitorar a conformidade do cluster com padrões do setor
O painel do GKE Compliance apresenta uma visão geral da conformidade do cluster com padrões do setor, como o comparativo de mercado CIS do GKE e os padrões de segurança de pods do Kubernetes. O painel automatiza os relatórios de conformidade e fornece uma lista detalhada de todos os problemas encontrados, bem como recomendações práticas.
- Para detalhes sobre como ativar a auditoria de conformidade, consulte Auditar clusters em relação a padrões de conformidade.
- Para detalhes sobre o painel de conformidade, consulte Sobre o painel do GKE Compliance.
Gerenciar políticas de cluster
O Policy Controller permite a aplicação de políticas totalmente programáveis nos clusters. Essas políticas atuam como uma "guarda" e impedem que qualquer alteração na configuração da API Kubernetes viole os controles de segurança, operação ou de conformidade.
Saiba mais sobre o que você pode fazer com o Policy Controller na documentação do Policy Controller.