Containerbeveiliging

Beveilig uw containeromgeving in GCP.

Overzicht

Door indeling in containers kunnen ontwikkelteams snel werken, software efficiënt implementeren en op een eerder ongekende schaal opereren. Nu bedrijven steeds meer productietaken in containers maken, moet beveiliging worden geïntegreerd in elke fase van de ontwerp- en implementatiecyclus. Ontdek hoe u uw containeromgeving in GCP kunt beveiligen op drie belangrijke gebieden.

Infrastructuurbeveiliging

Met infrastructuurbeveiliging zorgt u dat uw containerbeheerplatform de juiste beveiligingsfuncties biedt. Kubernetes bevat beveiligingsfuncties om uw identiteiten, geheimen en netwerk te beschermen. Kubernetes Engine maakt bovendien gebruik van GCP-eigen functionaliteit, zoals Cloud IAM, Cloud-controlelogboekregistratie en Virtual Private Clouds om uw productietaken de beste Google-beveiliging te bieden.

Softwaretoeleveringsketen

In een beveiligde softwaretoeleveringsketen kunt u containerimages veilig implementeren. Zo zorgt u ervoor dat uw containerimages geen kwetsbaarheden bevatten en de images niet kunnen worden gewijzigd voordat ze worden geïmplementeerd.

Runtimebeveiliging

Met runtimebeveiliging kunt u schadelijke containers in productie opsporen en actie ondernemen om uw productietaken te beschermen.

Met containers kunt u een fundamenteel ander beveiligingsmodel inzetten

Onveranderlijkheid en eenvoudiger patchbeheer

Onveranderlijkheid en eenvoudiger patchbeheer

Containers zijn onveranderlijk, dus als u wijzigingen wilt aanbrengen implementeert u een nieuwe image. U kunt het patchbeheer vereenvoudigen door uw images regelmatig opnieuw te ontwerpen. De patch wordt dan meegenomen tijdens de volgende keer dat een container wordt geïmplementeerd. Met regelmatige beveiligingsbeoordelingen van images krijgt u een volledig overzicht van uw omgeving.

Minder ruimte voor aanvallen

Minder ruimte voor aanvallen

Containers worden op een veel kleiner host-OS uitgevoerd dan bij een VM, doordat er meer rechtstreeks in de app wordt verpakt. Dit minimale host-OS verkleint de potentiële oppervlakte voor aanvallen op uw productietaken.

Isolatie van resources en productietaken

Isolatie van resources en productietaken

Containers bieden een eenvoudige manier om resources zoals opslagvolumes te isoleren voor bepaalde processen met cgroups en naamruimten. U kunt met technologieën zoals gVisor productietaken logisch isoleren in een sub-VM-sandbox, los van andere apps.

Infrastructuurbeveiliging

Bij containerinfrastructuurbeveiliging gaat het erom dat uw ontwikkelaars de juiste tools hebben om op een veilige manier services in containers te ontwerpen. Deze mogelijkheden zijn meestal ingebouwd in de tool voor containerindeling, zoals Kubernetes. Als u Kubernetes Engine gebruikt, wordt deze functionaliteit door het systeem zelf gebruikt, naast de andere functies van Google Cloud.

Identiteit en machtigingen

Maak op Kubernetes Engine gebruik van Cloud IAM om de toegang tot uw projecten te beheren en van toegangsbeheer op basis van rollen (role-based access control, RBAC) om de toegang tot uw clusters en naamruimten te beheren.

Controlelogboeken

In Kubernetes worden API-controlelogboeken automatisch vastgelegd. Op Kubernetes Engine legt Cloud-controlelogboekregistratie automatisch API-controlelogboeken voor u vast.

Networking

Maak op Kubernetes Engine een netwerkbeleid om de communicatie tussen pods in uw cluster te beheren. Gebruik privéclusters voor privé-IP's en neem Kubernetes Engine-resources op in een gedeelde VPC.

Naleving

Kubernetes Engine biedt veel certificeringen op het gebied van naleving, waaronder ISO 27001, ISO 27017, ISO 27108, HIPAA en PCI-DSS.

Minimaal host-OS

Kubernetes Engine maakt standaard gebruik van Container-Optimized OS (COS), een OS dat speciaal is ontworpen en geoptimaliseerd voor het uitvoeren van containers. COS is open source en wordt door Google beheerd.

Up-to-date componenten

Op Kubernetes Engine worden hoofdcomponenten automatisch gepatcht naar de nieuwste Kubernetes-versie en kunt u uw knooppunten automatisch upgraden.

Softwaretoeleveringsketen

Bij de softwaretoeleveringsketen gaat het erom dat u precies weet wat er in uw omgeving wordt geïmplementeerd: u heeft controle over uw apps, van code tot image en implementatie. Deze functies zijn meestal ingebouwd in uw CI/CD-pipeline, in uw containerregister, zoals Google Container Registry, en als toelatingscontrole voordat u containers in productie implementeert.

Veilige basisimages

Google Container Registry biedt zowel een Debian- als een Ubuntu-basisimage. Google onderhoudt deze met regelmatige patches en tests.

Scannen op kwetsbaarheden

Google Container Registry biedt scans op kwetsbaarheden om uw images en pakketten op bekende kwetsbaarheden uit de CVE-database te scannen.

Implementatiebeleid

Gebruik binaire machtigingen op Kubernetes Engine om op basis van de attesten van een image te beperken wat u in uw omgeving implementeert.

Regelmatige builds

Containers kunnen regelmatig opnieuw worden ontworpen en geïmplementeerd, zodat u gebruik kunt maken van de nieuwste patches voor uw omgeving.

Runtimebeveiliging

Bij runtimebeveiliging van containers gaat het erom dat uw beveiligingsteam beveiligingsrisico's voor containers in uw omgeving kan detecteren en hierop kan reageren. Deze functies zijn meestal ingebouwd in uw tools voor beveiligingsactiviteiten.

Monitoring

Kubernetes Engine is geïntegreerd met Stackdriver voor eenvoudige logboekanalyse. U kunt ook beveiligingsgebeurtenissen schrijven naar Cloud Security Command Center (Cloud SCC).

Detectie van afwijkende activiteiten

Detecteer aanvallen en bekijk resultaten in Cloud SCC met oplossingen van onze partners, waaronder Aqua Security, Capsule8, StackRox, Sysdig Secure en Twistlock.

Isolatie

Voorkom dat één schadelijke container invloed heeft op andere containers. Gebruik gVisor, een runtimesandbox voor containers, om containers veilig te isoleren.

Resources

Bekijk meer informatie over containerbeveiliging.

Beveiligingsoverzicht voor Kubernetes Engine

Handleiding voor een sterkere beveiliging van Kubernetes Engine

Blogserie over containerbeveiliging

NIST SP 800-190: Application Container Security Guide

Lezing op KubeCon 2017: Shipping in pirate-infested waters

Google Cloud

Aan de slag

Leren en ontwerpen

Nieuw bij GCP? Ga kosteloos aan de slag met een GCP-product met een tegoed van $ 300.

Heeft u meer hulp nodig?

Onze experts helpen u om de juiste oplossing te ontwerpen of de juiste partner te vinden.