Google Cloud には、フリートとフリートで実行されるアプリケーションを保護するための幅広い機能が用意されています。このページでは、フリートのセキュリティ機能の概要について説明し、詳細情報へのリンクを示します。
ID の管理
Google Cloud には、クラスタが存在する場所を問わず、シンプルで一貫した安全な方法でフリート クラスタに対する認証を行うための次のオプションが用意されています。認証を設定したら、Kubernetes ロールベースのアクセス制御(RBAC)を使用して、クラスタに対してより詳細なアクセス制御を構成できます。
Google Cloud での認証
Google Cloud 上のすべての GKE クラスタは、デフォルトで Google Cloud ユーザー ID とサービス アカウント ID を受け入れるように構成されています。フリートに複数の環境のクラスタが含まれている場合は、Connect ゲートウェイを構成して、ユーザーとサービス アカウントが Google Cloud ID を使用して登録済みのクラスタに対して認証できるようにすることができます。
Google Cloud での認証の設定と使用の詳細については、次のガイドをご覧ください。
サードパーティ プロバイダで認証する
既存のサードパーティの ID プロバイダを使用してフリート クラスタに対する認証を行う場合は、GKE Identity Service が既存の ID ソリューションを複数の環境に導入できるようにする認証サービスです。Okta や Microsoft AD FS などのすべての OpenID Connect(OIDC)プロバイダと、一部の環境における LDAP プロバイダのプレビュー サポートをサポートしています。 GKE Identity Service は、クラスタ単位で設定できます。また、サポートされている場合は、フリート全体に対して 1 つの構成で設定できます。
サポートされている環境やプロバイダなどのサードパーティ認証の設定と使用の詳細については、次のガイドをご覧ください。
署名なしトークンを使用して認証する
上記の Google 提供のソリューションが組織に適していない場合は、Kubernetes サービス アカウントとログインする署名なしトークンを使用して認証を設定できます。詳細については、署名なしトークンを使用して設定するをご覧ください。
クラスタ ポリシーを管理する
Policy Controller を使用すると、フリートのクラスタに対して完全にプログラム可能なポリシーが適用できるようになります。こうしたポリシーは「ガードレール」として機能し、Kubernetes API の構成に対する変更がセキュリティ、運用、コンプライアンスの管理に違反することを防止します。
Policy Controller の機能について詳しくは、Policy Controller のドキュメントをご覧ください。
フリートのセキュリティを管理する
Google Cloud には、フリートとワークロードのセキュリティを向上させる、次のような幅広い機能と製品が用意されています。
- 信頼できるイメージのみがフリート クラスタにデプロイされるようにする Binary Authorization
- Pod 間の接続を制御する Kubernetes ネットワーク ポリシー
- Anthos Service Mesh のきめ細かいサービス アクセス制御
- クラスタのセキュリティ対策をモニタリングする GKE セキュリティ対策ダッシュボード。
フリートのセキュリティ対策をモニタリングする
GKE セキュリティ対策ダッシュボードは、セキュリティ上の懸念についてフリートの GKE クラスタを評価および管理し、それらを修正するための実行可能な推奨事項を入手するのに役立ちます。以下のような機能があります。
- 構成の監査: 過剰な権限のある Pod などのワークロード仕様の構成ミス。
- 脆弱性スキャン: コンテナ オペレーティング システムまたは言語パッケージの実行可能な脆弱性。
- Policy Controller によるコンプライアンス監査(GKE Enterprise が有効なプロジェクトのみ)
ダッシュボードには、選択したフリート内のすべてのクラスタと、選択したプロジェクト内のスタンドアロン GKE クラスタについて検出された懸念事項が表示されます。
- 機能の詳細と完全な一覧については、セキュリティ対策ダッシュボードについてをご覧ください。
- 料金情報については、GKE セキュリティ対策ダッシュボードの料金をご覧ください。
フリートレベルでセキュリティ対策ダッシュボードの機能を構成する
GKE Enterprise を有効にしている場合は、一部のセキュリティ ダッシュボード機能をフリートレベルで管理して、フリート内のすべてのクラスタでセキュリティ オブザーバビリティのために同じデフォルト設定を使用できます。
- フリートのセキュリティ対策ダッシュボード機能を構成する方法について学びます。
フリートのセキュリティ リソース
フリートのセキュリティ機能について詳しくは、次のガイドをご覧ください。
- Binary Authorization
- Kubernetes ネットワーク ポリシー
- Anthos Service Mesh でのアプリケーション セキュリティ:
- セキュリティ対策ダッシュボードについて