Containerbeveiliging

Beveilig uw containeromgeving op GCP, GKE of Anthos.

Overzicht

Door gebruik te maken van containerisatie kunnen ontwikkelteams snel werken, software efficiënt implementeren en op een ongekende schaal opereren. Nu bedrijven steeds meer productietaken in containers maken, moet beveiliging in elke fase van de ontwerp- en implementatiecyclus worden geïntegreerd. Ontdek hoe u elke containeromgeving kunt beveiligen die u op GCP uitvoert, of dat nu Google Kubernetes Engine of Anthos is. Dit gebeurt op drie belangrijke gebieden.

Infrastructuurbeveiliging

Met infrastructuurbeveiliging zorgt u dat uw containerbeheerplatform de juiste beveiligingsfuncties biedt. Kubernetes bevat beveiligingsfuncties om uw identiteiten, geheimen en netwerk te beschermen. Google Kubernetes Engine maakt bovendien gebruik van GCP-eigen functionaliteit (zoals Cloud IAM, Cloud-controlelogboekregistratie en Virtual Private Clouds) en GKE-specifieke functies (zoals geheimversleuteling voor app-laag en Workload Identity) om uw productietaken de beste Google-beveiliging te bieden.

Softwaretoeleveringsketen

In een beveiligde softwaretoeleveringsketen kunt u containerimages veilig implementeren. Zo zorgt u dat uw containerimages geen kwetsbaarheden bevatten en niet gewijzigd kunnen worden voordat ze worden geïmplementeerd.

Runtimebeveiliging

Met runtimebeveiliging kunt u schadelijke containers in een productieomgeving opsporen en actie ondernemen om uw productietaken te beveiligen.

Met containers kunt u een totaal ander beveiligingsmodel toepassen

Onveranderlijkheid en eenvoudiger patchbeheer

Onveranderlijkheid en eenvoudiger patchbeheer

Aangezien containers onveranderlijk zijn, moet u een nieuwe image implementeren als u wijzigingen wilt aanbrengen. U kunt het patchbeheer vereenvoudigen door uw images regelmatig te herontwerpen. De patch wordt dan meegenomen als een container opnieuw wordt geïmplementeerd. Met regelmatige beveiligingsbeoordelingen van images krijgt u een volledig overzicht van uw omgeving.

Kleinere oppervlakte voor aanvallen

Kleinere oppervlakte voor aanvallen

Containers kunnen op een veel kleiner host-OS worden uitgevoerd dan VM's, omdat er meer direct in de app wordt verpakt. Dit minimale host-OS verkleint de potentiële oppervlakte voor aanvallen op uw productietaken.

Isolatie van resources en productietaken

Isolatie van resources en productietaken

Containers bieden een makkelijke manier om resources, zoals opslagvolumes, te isoleren voor bepaalde processen met cgroups en naamruimten. Met technologieën zoals GKE Sandbox kunt u productietaken logisch isoleren in een sub-VM-sandbox, los van andere apps.

Infrastructuurbeveiliging

Bij containerinfrastructuurbeveiliging gaat het erom dat uw ontwikkelaars de juiste tools hebben om veilig services op basis van containers te ontwerpen. Deze mogelijkheden zijn meestal ingebouwd in de tool voor containerindeling, zoals Kubernetes. Als u werkt met Google Kubernetes Engine, wordt deze functionaliteit door het systeem zelf gebruikt, naast de andere functies van Google Cloud.

Identiteit en machtigingen

Gebruik Cloud IAM in Google Kubernetes Engine om de toegang tot uw projecten te beheren en gebruik toegangsbeheer op basis van rollen (role-based access control, RBAC) om de toegang tot uw clusters en naamruimten te beheren.

Controlelogboeken

Automatisch vastgelegde API-controlelogboeken in Kubernetes. In Google Kubernetes Engine worden API-controlelogboeken automatisch vastgelegd in Cloud-controlelogboekregistratie.

Networking

Maak op Google Kubernetes Engine een netwerkbeleid om de communicatie tussen pods in uw cluster te beheren. Gebruik privéclusters voor privé-IP's en neem Google Kubernetes Engine-resources op in een gedeelde VPC.

Naleving

Google Kubernetes Engine biedt veel certificeringen op het gebied van naleving, waaronder ISO 27001, ISO 27017, ISO 27108, HIPAA en PCI-DSS.

Minimaal host-OS

Google Kubernetes Engine maakt standaard gebruik van Container-Optimized OS (COS), een OS dat speciaal is ontworpen en geoptimaliseerd voor het uitvoeren van containers. COS is open source en wordt door Google beheerd.

Automatisch opgewaardeerde componenten

Op Google Kubernetes Engine worden hoofdcomponenten automatisch gepatcht naar de nieuwste Kubernetes-versie. U houdt uw beveiliging actueel met automatisch upgraden van uw nodes zodat vanzelf de nieuwste patches worden toegepast.

Door de klant beheerde versleutelingssleutels

Gebruikers in gereguleerde branches moeten mogelijk controle hebben over de sleutels waarmee de gegevens worden versleuteld die zijn opgeslagen in GKE. Met klantbeheerde versleutelingssleutels kunt u een sleutel uit Cloud KMS kiezen om uw GKE-persistente schijf te beschermen.

Geheimversleuteling voor app-laag

Standaard worden de geheimen van Kubernetes opgeslagen in niet-versleutelde tekst. GKE versleutelt deze geheimen op schijf en bewaakt deze gegevens voor insidertoegang. Maar dat alleen is misschien niet genoeg om die geheimen te beschermen tegen een schadelijke app in uw omgeving. Versleuteling van geheimen in de app-laag beschermt geheimen met envelopversleuteling, met een sleutel die u beheert in Cloud KMS.

Identiteit voor productietaken

Uw containerapp moet waarschijnlijk verbinding maken met andere services, zoals een database, om zijn taken uit te kunnen voeren. Hiervoor moet uw app deze services eerst verifiëren. Workload Identity gebruikt een door Google beheerd serviceaccount om inloggegevens te delen voor verificatie, volgens de principes van minimale rechten voor app-verificatie.

Beheerde SSL-certificaten

In GKE moeten HTTPS-load balancers worden gekoppeld aan een SSL-certificaat. U kunt zelf deze certificaten ophalen, beheren en verlengen, of Google dat allemaal voor u laten doen, waarmee u zich al die lasten bespaart (of zelfs het vergeten ervan).

Softwaretoeleveringsketen

Bij de softwaretoeleveringsketen gaat het erom dat u precies weet wat er in uw omgeving wordt geïmplementeerd: u heeft controle over uw apps, van code tot image en implementatie. Deze functies zijn meestal ingebouwd in uw CI/CD-pipeline, in uw containerregister (zoals Google Container Registry) en als toelatingscontrole voordat u containers in productie implementeert.

Beveiligde en beheerde basisimages

Google Container Registry biedt een basisimage voor zowel Debian als Ubuntu. Google onderhoudt deze met regelmatige patches en tests. Op deze door Google beheerde images zijn de meest recent beschikbare upstreampatches toegepast. U houdt uw images zo makkelijk up-to-date zonder dat u ze uit een onbekende opslagplaats hoeft te halen of zelf moet onderhouden.

Scannen op kwetsbaarheden

Google Container Registry biedt scannen op kwetsbaarheden om uw images en pakketten op bekende kwetsbaarheden uit de CVE-database te scannen.

Implementatiebeleid

Gebruik binaire machtigingen op Google Kubernetes Engine om op basis van de attesten van een image te beperken wat u in uw omgeving implementeert. U kunt zorgen dat images voldoen aan door u gedefinieerde vereisten in de vorm van attesten of handtekeningen voordat ze worden geïmplementeerd. Een mogelijke vereiste is het scannen van de image op kwetsbaarheden of verificatie door het QA-team.

Regelmatige builds

Containers kunnen regelmatig opnieuw worden ontworpen en geïmplementeerd, zodat u gebruik kunt maken van de nieuwste patches die geleidelijk in uw omgeving worden uitgerold.

Runtimebeveiliging

Met runtimebeveiliging van containers kan uw beveiligingsteam beveiligingsrisico's detecteren voor containers die in uw omgeving worden uitgevoerd en daarop reageren. Deze functies zijn meestal ingebouwd in uw tools voor beveiligingsactiviteiten.

Controle

Google Kubernetes Engine is geïntegreerd met Cloud Logging voor makkelijke logboekanalyse. U kunt ook beveiligingsgebeurtenissen schrijven naar Cloud Security Command Center (Cloud SCC).

Detectie van afwijkende activiteiten

Detecteer aanvallen en bekijk resultaten in Security Command Center met oplossingen van onze partners, waaronder: Aqua Security, Capsule8, StackRox, Sysdig Secure en Twistlock.

Handhaving van beveiligingsbeleid

PodSecurityPolicy is een functie van opensource-Kubernetes en helpt u bij het afbakenen van uw containers door voor het uitvoeren van uw pods beperkingen, zoals AppArmor en seccomp, in te stellen.

Isolatie

Voorkom dat één schadelijke container invloed heeft op andere containers. GKE Sandbox gebruikt een gebruikersruimte-kernel om syscalls te onderscheppen en af te handelen, waarmee diepteverdediging wordt toegevoegd aan uw containers zonder dat er wijzigingen worden aangebracht in hoe ontwikkelaars omgaan met hun apps. GKE Sandbox is gebaseerd op gVisor, een opensource-project gemaakt bij Google.

Bronnen

Bekijk meer informatie over containerbeveiliging.

Google Cloud

Aan de slag

Leren en ontwerpen

Gebruikt u GCP voor het eerst? Ga kosteloos aan de slag met een GCP-product en een tegoed van $ 300.

Meer hulp nodig?

Onze experts helpen u de juiste oplossing te ontwerpen of de juiste partner te vinden.