Mengamankan fleet Anda

Google Cloud menyediakan berbagai fitur untuk mengamankan perangkat Anda dan aplikasi yang berjalan di dalamnya. Halaman ini memberikan ringkasan fitur keamanan perangkat, dengan link untuk mencari tahu lebih lanjut.

Kelola identitas

Google Cloud menyediakan opsi berikut untuk melakukan autentikasi ke cluster fleet dengan cara yang mudah, konsisten, dan aman, di mana pun cluster berada. Setelah menyiapkan autentikasi, Anda dapat mengonfigurasi kontrol akses yang lebih mendetail ke cluster menggunakan Kubernetes role-based access control (RBAC).

Melakukan autentikasi dengan Google Cloud

Semua cluster GKE di Google Cloud dikonfigurasi untuk menerima identitas pengguna dan akun layanan Google Cloud secara default. Jika fleet Anda terdiri dari cluster di beberapa lingkungan, Anda dapat mengonfigurasi Connect gateway agar pengguna dan akun layanan juga dapat melakukan autentikasi ke cluster yang terdaftar menggunakan ID Google Cloud mereka.

Pelajari lebih lanjut cara menyiapkan dan menggunakan autentikasi dengan Google Cloud dalam panduan berikut:

• Mengonfigurasi akses cluster untuk kubectl
• Menghubungkan ke cluster terdaftar dengan gateway Connect
• Menyiapkan gateway Connect
• Menggunakan gateway Connect

Mengautentikasi dengan penyedia pihak ketiga

Jika Anda ingin menggunakan penyedia identitas pihak ketiga yang ada untuk mengautentikasi ke cluster fleet Anda, GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda membawa solusi identitas yang sudah ada ke beberapa lingkungan. Layanan ini mendukung semua penyedia OpenID Connect (OIDC) seperti Okta dan Microsoft AD FS, serta dukungan pratinjau untuk penyedia LDAP di beberapa lingkungan. Anda dapat menyiapkan GKE Identity Service berdasarkan tiap-tiap cluster atau dengan satu konfigurasi untuk seluruh fleet Anda, jika didukung.

Pelajari lebih lanjut cara menyiapkan dan menggunakan autentikasi pihak ketiga, termasuk lingkungan dan penyedia yang didukung, dalam panduan berikut:

• Memperkenalkan GKE Identity Service
• Mengakses cluster dengan GKE Identity Service

Mengautentikasi dengan token pemilik

Jika solusi yang disediakan Google sebelumnya tidak sesuai untuk organisasi Anda, Anda dapat menyiapkan autentikasi menggunakan akun layanan Kubernetes dan menggunakan token pemilik untuk login. Untuk mengetahui detailnya, lihat Menyiapkan menggunakan token pemilik.

Mengelola keamanan perangkat

Google Cloud menyediakan berbagai fitur dan produk yang meningkatkan keamanan fleet dan workload Anda, seperti berikut:

• Otorisasi Biner untuk memastikan bahwa hanya image tepercaya yang di-deploy di cluster fleet Anda
• Kebijakan jaringan Kubernetes untuk mengontrol koneksi antar-Pod
• Kontrol akses layanan yang mendetail untuk Anthos Service Mesh
• Dasbor postur keamanan GKE untuk memantau postur keamanan cluster Anda.

Memantau postur keamanan perangkat

Dasbor postur keamanan GKE membantu Anda menilai dan mengelola cluster GKE fleet untuk masalah keamanan, serta mendapatkan rekomendasi yang dapat ditindaklanjuti untuk memperbaikinya. Kapabilitas meliputi:

• Audit konfigurasi: Kesalahan konfigurasi pada spesifikasi beban kerja, seperti Pod dengan hak istimewa berlebih.
• Pemindaian kerentanan: Kerentanan yang dapat ditindaklanjuti dalam sistem operasi container atau paket bahasa.
• Audit kepatuhan dengan Pengontrol Kebijakan (khusus project dengan GKE Enterprise yang diaktifkan)

Layar dasbor menemukan masalah untuk semua cluster pada fleet yang dipilih, dan cluster GKE mandiri dalam project yang dipilih.

• Untuk mengetahui detail dan daftar lengkap kemampuan, lihat Tentang dasbor postur keamanan.
• Untuk mengetahui informasi harga, lihat Harga dasbor postur keamanan GKE.

Mengonfigurasi fitur dasbor postur keamanan di tingkat perangkat

Jika telah mengaktifkan GKE Enterprise, Anda dapat mengelola beberapa fitur dasbor keamanan di level fleet, sehingga semua cluster dalam fleet Anda dapat menggunakan setelan default yang sama untuk kemampuan observasi keamanan.

• Pelajari cara mengonfigurasi fitur dasbor postur keamanan untuk perangkat Anda.

Referensi keamanan perangkat

Pelajari fitur keamanan perangkat lebih lanjut dalam panduan berikut:

• Otorisasi Biner
• Kebijakan jaringan Kubernetes
• Keamanan aplikasi di Anthos Service Mesh:
  • Ringkasan kebijakan otorisasi
  • Mengonfigurasi keamanan transport
  • Memantau keamanan mesh
• Tentang dasbor postur keamanan

Memantau kepatuhan cluster terhadap standar industri

Dasbor Kepatuhan GKE menyajikan ringkasan kepatuhan cluster Anda terhadap standar industri, seperti CIS GKE Benchmark dan Standar Keamanan Pod Kubernetes. Dasbor ini mengotomatiskan pelaporan kepatuhan, memberikan daftar mendetail tentang setiap masalah yang ditemukan serta rekomendasi yang dapat ditindaklanjuti.

• Untuk mengetahui detail tentang cara mengaktifkan audit kepatuhan, lihat Mengaudit cluster untuk standar kepatuhan.
• Untuk mengetahui detail tentang dasbor kepatuhan, lihat Tentang dasbor Kepatuhan GKE.

Mengelola kebijakan cluster

Pengontrol Kebijakan memungkinkan penerapan kebijakan yang dapat diprogram sepenuhnya untuk cluster fleet Anda. Kebijakan ini berfungsi sebagai "pengaman" dan mencegah perubahan pada konfigurasi Kubernetes API dari pelanggaran keamanan, operasional, atau kontrol kepatuhan.

Pelajari lebih lanjut hal-hal yang dapat Anda lakukan dengan Pengontrol Kebijakan dalam dokumentasi Pengontrol Kebijakan.