Anthos セキュリティ

Anthos Config Management を使用して、ハイブリッド クラウドとマルチクラウドの大規模な Kubernetes Deployment 全体でポリシーを定義し、適用します。Anthos Config Management は、オンプレミスとクラウドの両方で RBAC、リソース割り当て、名前空間などのアクセス制御ポリシーを管理する一元的な Git リポジトリです。

サービス間で一貫性のあるネットワーク ポリシーを実装し、適用します。Anthos Service Mesh を使用すると、サービスで発生している状況を明確に把握できます。そのためには、サービスレベル目標（SLO）を実装し、サービスとのあらゆる通信が必ず暗号化、相互認証、認可の手順を踏むようにポリシーをインテリジェントに設定します。これらのすべてを、アプリケーション コードを変更せずに実現できます。 

Binary Authorization を使用して、信頼できるコンテナのみをデプロイします。検証プロセスを適用することで、適切であると認められたイメージのみがビルドとリリースのプロセスに組み込まれるため、コンテナの環境をより厳密に管理できます。

Anthos は、構成ミスの発見と修正およびリアルタイムでのセキュリティ アラート受け取りに必要な各種ツールを提供します。Anthos は、Google Cloud のセキュリティ ソリューションおよび ID ソリューションとシームレスに連携するので、既知の不正ドメイン / IP へのトラフィックなどの不審なイベントを一元的に可視化できます。

Config Connector には、カスタム リソース定義（CRD）が用意されています。CRD は、Kubernetes のツールと API を使用して Google Cloud の数多くのサービスとリソースを構成する、宣言型の一貫した方法を提供します。

Google Cloud は、PCI、ISO/IEC 27001、HIPAA、SOC、FedRAMP をはじめとする数多くの規制遵守に対応するインフラストラクチャを構築しています。Google では、Google Cloud とオンプレミスの両方で、安全なマネージド Kubernetes サービスに加え、規制に適合したアプリケーションも容易に構築できるようにしています。これは、PCI などの一般的なコンプライアンス基準を対象としてソリューション ガイドを提供することで実現しています。

オープンソースの gVisor に基づく GKE Sandbox で安全なマルチテナントをサポートし、アプリケーションの変更、新しいアーキテクチャモデル、複雑性の追加なしに、多層防御のセキュリティ原則をコンテナに提供します。

Policy Controller は、Kubernetes の動的アドミッション コントローラであり、Open Policy Agent の Gatekeeper プロジェクトに基づいています。セキュリティ、各種の規制、任意のビジネスルールに関連したポリシーに対するクラスタのコンプライアンスを監査し、適用します。

Anthos Service Mesh は、モニタリングの 4 つのゴールデン シグナルのうち、レイテンシ、トラフィック、エラーの 3 つの重要なサービスレベルの指標を提供し、サービスの健全性とパフォーマンスのオブザーバビリティを提供します。