Flotten schützen

Google Cloud bietet eine Reihe von Features zum Schutz Ihrer Flotte und der Anwendungen, die darauf ausgeführt werden. Diese Seite bietet einen Überblick über die Sicherheitsfunktionen der Flotte und Links zu weiteren Informationen.

Identität verwalten

Google Cloud bietet die folgenden Optionen zur Authentifizierung bei Flottenclustern auf einfache, konsistente und sichere Weise, unabhängig davon, wo sich die Cluster befinden. Nachdem Sie die Authentifizierung eingerichtet haben, können Sie mithilfe der rollenbasierten Zugriffssteuerung (RBAC) in Kubernetes eine detailliertere Zugriffssteuerung für Ihre Cluster konfigurieren.

Mit Google Cloud authentifizieren

Alle GKE-Cluster in Google Cloud sind standardmäßig so konfiguriert, dass sie Identitäten von Google Cloud-Nutzern und -Dienstkonten akzeptieren. Wenn Ihre Flotte Cluster in mehreren Umgebungen enthält, können Sie das Connect-Gateway so konfigurieren, dass sich Nutzer und Dienstkonten mit ihrer Google Cloud-ID bei jedem registrierten Cluster authentifizieren können.

Weitere Informationen zum Einrichten und Verwenden der Authentifizierung mit Google Cloud finden Sie in den folgenden Anleitungen:

• Clusterzugriff für kubectl konfigurieren
• Verbindung zu registrierten Clustern mit dem Connect-Gateway
• Connect-Gateway einrichten
• Connect-Gateway verwenden

Authentifizieren bei Drittanbietern

Wenn Sie Ihren vorhandenen externen Identitätsanbieter zum Authentifizieren Ihrer Flottencluster verwenden möchten, ist der GKE Identity Service ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen in mehrere Umgebungen übertragen können. Er unterstützt alle OpenID Connect-(OIDC)-Anbieter wie Okta und Microsoft AD FS sowie in einigen Umgebungen eine Vorschau auf LDAP-Anbietern. Sie können GKE Identity Service auf Clusterbasis oder mit einer einzigen Konfiguration für Ihre gesamte Flotte einrichten, falls unterstützt.

In den folgenden Anleitungen erfahren Sie mehr über die Einrichtung und Verwendung der Authentifizierung von Drittanbietern, einschließlich der unterstützten Umgebungen und Anbieter:

• Einführung in GKE Identity Service
• Mit GKE Identity Service auf Cluster zugreifen

Mit einem Inhabertoken authentifizieren

Wenn die oben von Google bereitgestellten Lösungen für Ihre Organisation nicht geeignet sind, können Sie die Authentifizierung mit einem Kubernetes-Dienstkonto einrichten und sich mit dessen Inhabertoken anmelden. Weitere Informationen finden Sie unter Mit einem Inhabertoken einrichten.

Flottensicherheit verwalten

Google Cloud bietet eine Reihe von Features und Produkten, die die Sicherheit Ihrer Flotten und Arbeitslasten verbessern. Dazu gehören:

• Binärautorisierung, um sicherzustellen, dass nur vertrauenswürdige Images auf Ihren Flottenclustern bereitgestellt werden
• Kubernetes-Netzwerkrichtlinien zur Steuerung von Verbindungen zwischen Pods
• Detaillierte Dienstzugriffssteuerung für Anthos Service Mesh
• Das GKE-Sicherheitsstatus-Dashboard, um den Sicherheitsstatus Ihrer Cluster zu überwachen.

Flottensicherheitsstatus überwachen

Mit dem GKE-Sicherheitsstatus-Dashboard können Sie die GKE-Cluster Ihrer Flotte im Hinblick auf Sicherheitsbedenken bewerten und verwalten sowie umsetzbare Empfehlungen zur Behebung erhalten. Zu den Funktionen gehören:

• Konfigurationsprüfung: Fehlkonfigurationen in Arbeitslastspezifikationen, z. B. überprivilegierte Pods.
• Scannen auf Sicherheitslücken: Umsetzbare Sicherheitslücken in Container-Betriebssystemen oder Sprachpaketen.
• Compliance-Auditing mit Policy Controller (nur für Projekte mit aktiviertem GKE Enterprise)

Im Dashboard werden die erkannten Bedenken für alle Cluster in der ausgewählten Flotte und für alle eigenständigen GKE-Cluster im ausgewählten Projekt angezeigt.

• Weitere Informationen und eine vollständige Liste der Funktionen finden Sie unter Informationen zum Sicherheitsstatus-Dashboard.
• Preisinformationen finden Sie unter Preise für das GKE-Sicherheitsstatus-Dashboard.

Features des Sicherheitsstatus-Dashboards auf Flottenebene konfigurieren

Wenn Sie GKE Enterprise aktiviert haben, können Sie einige Sicherheitsdashboard-Funktionen auf Flottenebene verwalten, sodass alle Cluster in Ihrer Flotte dieselben Standardeinstellungen für die Beobachtbarkeit der Sicherheit verwenden können.

• Features des Sicherheitsstatus-Dashboards für Ihre Flotte konfigurieren.

Sicherheitsressourcen für Flotten

Weitere Informationen zu den Flotten-Sicherheitsfunktionen finden Sie in den folgenden Anleitungen:

• Binärautorisierung
• Kubernetes-Netzwerkrichtlinien
• Anwendungssicherheit in Anthos Service Mesh:
  • Übersicht über Autorisierungsrichtlinien
  • Transportsicherheit konfigurieren
  • Mesh-Sicherheit überwachen
• Informationen zum Sicherheitsstatus-Dashboard

Clustercompliance mit Branchenstandards überwachen

Das GKE-Compliance-Dashboard bietet Ihnen einen Überblick über die Compliance Ihres Clusters mit Branchenstandards wie CIS GKE Benchmark und den Kubernetes-Pod-Sicherheitsstandards. Das Dashboard automatisiert die Compliance-Berichterstellung und bietet eine detaillierte Liste aller gefundenen Probleme sowie umsetzbare Empfehlungen.

• Weitere Informationen zum Aktivieren der Complianceprüfung finden Sie unter Cluster für Compliance-Standards prüfen.
• Weitere Informationen zum Compliance-Dashboard finden Sie unter GKE-Compliance-Dashboard.

Clusterrichtlinien verwalten

Policy Controller ermöglicht das Erzwingen vollständig programmierbarer Richtlinien für Ihre Flotten-Cluster. Diese Richtlinien dienen als „Leitlinien” und verhindern, dass Änderungen an der Konfiguration der Kubernetes API gegen Sicherheits-, Betriebs- oder Compliancekontrollen verstoßen.

Weitere Informationen dazu, was Sie mit Policy Controller tun können, finden Sie in der Dokumentation zu Policy Controller.