Google Cloud bietet eine Reihe von Features zum Schutz Ihrer Flotte und der Anwendungen, die darauf ausgeführt werden. Diese Seite bietet einen Überblick über die Sicherheitsfunktionen der Flotte und Links zu weiteren Informationen.
Identität verwalten
Google Cloud bietet die folgenden Optionen zur Authentifizierung bei Flottenclustern auf einfache, konsistente und sichere Weise, unabhängig davon, wo sich die Cluster befinden. Nachdem Sie die Authentifizierung eingerichtet haben, können Sie mithilfe der rollenbasierten Zugriffssteuerung (RBAC) in Kubernetes eine detailliertere Zugriffssteuerung für Ihre Cluster konfigurieren.
Mit Google Cloud authentifizieren
Alle GKE-Cluster in Google Cloud sind standardmäßig so konfiguriert, dass sie Identitäten von Google Cloud-Nutzern und -Dienstkonten akzeptieren. Wenn Ihre Flotte Cluster in mehreren Umgebungen enthält, können Sie das Connect-Gateway so konfigurieren, dass sich Nutzer und Dienstkonten mit ihrer Google Cloud-ID bei jedem registrierten Cluster authentifizieren können.
Weitere Informationen zum Einrichten und Verwenden der Authentifizierung mit Google Cloud finden Sie in den folgenden Anleitungen:
- Clusterzugriff für
kubectlkonfigurieren - Verbindung zu registrierten Clustern mit dem Connect-Gateway
- Connect-Gateway einrichten
- Connect-Gateway verwenden
Authentifizieren bei Drittanbietern
Wenn Sie Ihren vorhandenen externen Identitätsanbieter zum Authentifizieren Ihrer Flottencluster verwenden möchten, ist der GKE Identity Service ein Authentifizierungsdienst, mit dem Sie Ihre vorhandenen Identitätslösungen in mehrere Umgebungen übertragen können. Er unterstützt alle OpenID Connect-(OIDC)-Anbieter wie Okta und Microsoft AD FS sowie in einigen Umgebungen eine Vorschau auf LDAP-Anbietern. Sie können GKE Identity Service auf Clusterbasis oder mit einer einzigen Konfiguration für Ihre gesamte Flotte einrichten, falls unterstützt.
In den folgenden Anleitungen erfahren Sie mehr über die Einrichtung und Verwendung der Authentifizierung von Drittanbietern, einschließlich der unterstützten Umgebungen und Anbieter:
Mit einem Inhabertoken authentifizieren
Wenn die oben von Google bereitgestellten Lösungen für Ihre Organisation nicht geeignet sind, können Sie die Authentifizierung mit einem Kubernetes-Dienstkonto einrichten und sich mit dessen Inhabertoken anmelden. Weitere Informationen finden Sie unter Mit einem Inhabertoken einrichten.
Flottensicherheit verwalten
Google Cloud bietet eine Reihe von Funktionen und Produkten zur Verbesserung der Sicherheit Ihrer Flotten und Arbeitslasten, z. B.:
- Binärautorisierung, um dafür zu sorgen, dass nur vertrauenswürdige Images in Ihrem Flotten-Cluster bereitgestellt werden
- Kubernetes-Netzwerkrichtlinien zum Steuern von Verbindungen zwischen Pods
- Detaillierte Dienstzugriffssteuerung für Cloud Service Mesh
- Das GKE-Dashboard für den Sicherheitsstatus zum Überwachen des Sicherheitsstatus des Clusters.
Sicherheitsstatus der Flotte überwachen
Das GKE-Dashboard für den Sicherheitsstatus hilft Ihnen, GKE-Cluster Ihrer Flotte für Sicherheitsbedenken zu verwalten und umsetzbare Empfehlungen zur Behebung dieser Probleme zu erhalten. Zu den Funktionen gehören:
- Konfigurationsprüfung: Fehlkonfigurationen in Arbeitslastspezifikationen, z. B. überprivilegierte Pods.
- Scannen auf Sicherheitslücken: Bearbeitbare Sicherheitslücken in Containerbetriebssystemen oder Sprachpaketen.
- Complianceprüfung mit Policy Controller (nur für Projekte mit aktiviertem GKE Enterprise)
Das Dashboard zeigt erkannte Bedenken für alle Cluster in der ausgewählten Flotte und für alle eigenständigen GKE-Cluster im ausgewählten Projekt.
- Weitere Informationen und eine vollständige Liste der Funktionen finden Sie unter Das Dashboard für den Sicherheitsstatus
- Preisinformationen finden Sie unter Preise für das GKE-Sicherheitsstatus-Dashboard.
Features des Sicherheitsstatus-Dashboards auf Flottenebene konfigurieren
Wenn Sie GKE Enterprise aktiviert haben, können Sie einige Funktionen des Sicherheitsdashboards auf Flottenebene verwalten, sodass alle Cluster in Ihrer Flotte dieselben Standardeinstellungen für die Beobachtbarkeit der Sicherheit verwenden können.
- Informationen zum Konfigurieren der Features des Dashboards für den Sicherheitsstatus für Ihre Flotte
Ressourcen für die Flottensicherheit
Weitere Informationen zu den Flotten-Sicherheitsfunktionen finden Sie in den folgenden Anleitungen:
- Binärautorisierung
- Kubernetes-Netzwerkrichtlinien
- Anwendungssicherheit in Cloud Service Mesh:
- Informationen zum Sicherheitsstatus-Dashboard
Clustercompliance mit Branchenstandards im Blick behalten
Das GKE-Compliance-Dashboard bietet eine Übersicht über die Compliance Ihres Clusters mit Branchenstandards wie CIS-GKE-Benchmark und die Kubernetes-Pod-Sicherheitsstandards Das Dashboard automatisiert Complianceberichte, bietet eine detaillierte Liste aller gefundenen Bedenken sowie umsetzbare Empfehlungen.
- Weitere Informationen zum Aktivieren der Compliance-Prüfung finden Sie unter Audit-Cluster für Compliance-Standards.
- Weitere Informationen zum Compliance-Dashboard finden Sie unter Informationen zum GKE-Compliance-Dashboard.
Clusterrichtlinien verwalten
Policy Controller ermöglicht das Erzwingen vollständig programmierbarer Richtlinien für Ihre Flotten-Cluster. Diese Richtlinien dienen als „Leitlinien” und verhindern, dass Änderungen an der Konfiguration der Kubernetes API gegen Sicherheits-, Betriebs- oder Compliancekontrollen verstoßen.
Weitere Informationen dazu, was Sie mit Policy Controller tun können, finden Sie in der Dokumentation zu Policy Controller.