フリートを保護する

Google Cloud には、フリートとフリートで実行されるアプリケーションを保護するための幅広い機能が用意されています。このページでは、フリートのセキュリティ機能の概要について説明し、詳細情報へのリンクを示します。

ID を管理する

Google Cloud には、クラスタが存在する場所を問わず、シンプルで一貫した安全な方法でフリート クラスタに対する認証を行うための次のオプションが用意されています。認証を設定したら、Kubernetes ロールベースアクセス制御(RBAC)を使用して、クラスタに対してより詳細なアクセス制御を構成できます。

Google Cloud で認証する

Google Cloud 上のすべての GKE クラスタは、Google Cloud ユーザー ID とサービス アカウント ID をデフォルトで受け入れるように構成されています。フリートに複数の環境のクラスタが含まれている場合は、Connect Gateway を構成して、ユーザーとサービス アカウントが Google Cloud ID を使用して登録済みのクラスタに対して認証できるようにすることができます。

Google Cloud での認証の設定と使用について詳しくは、次のガイドをご覧ください。

サードパーティ プロバイダで認証する

既存のサードパーティの ID プロバイダを使用してフリート クラスタに対する認証を行う場合は、GKE Identity Service が既存の ID ソリューションを複数の環境に導入できるようにする認証サービスです。Okta や Microsoft AD FS などすべての OpenID Connect(OIDC)プロバイダと、一部の環境における LDAP プロバイダのプレビュー サポートをサポートしています。GKE Identity Service は、クラスタ単位で設定できます。また、サポートされている場合は、フリート全体に対して 1 つの構成で設定できます。

サポートされている環境とプロバイダなど、サードパーティ認証の設定と使用について詳しくは、次のガイドをご覧ください。

署名なしトークンを使用して認証する

上記の Google 提供のソリューションが組織に適していない場合は、Kubernetes サービス アカウントとログインする署名なしトークンを使用して認証を設定できます。詳細については、署名なしトークンを使用して設定するをご覧ください。

フリートのセキュリティを管理する

Google Cloud には、フリートとワークロードのセキュリティを向上させる、次のような幅広い機能と製品が用意されています。

  • 信頼できるイメージのみがフリート クラスタにデプロイされるようにする Binary Authorization
  • Pod 間の接続を制御する Kubernetes ネットワーク ポリシー
  • Cloud Service Mesh のきめ細かいサービス アクセス制御
  • クラスタのセキュリティ ポスチャーをモニタリングする GKE セキュリティ ポスチャー ダッシュボード。

フリートのセキュリティ ポスチャーをモニタリングする

GKE セキュリティ ポスチャー ダッシュボードは、セキュリティ上の懸念についてフリートの GKE クラスタを評価および管理し、それらを修正するための実行可能な推奨事項を入手するのに役立ちます。次の機能が含まれています。

  • 構成の監査: 過剰な権限のある Pod などのワークロード仕様の構成ミス。
  • 脆弱性スキャン: コンテナ オペレーティング システムまたは言語パッケージの実行可能な脆弱性。
  • Policy Controller によるコンプライアンス監査(GKE Enterprise が有効なプロジェクトのみ)

ダッシュボードには、選択したフリート内のすべてのクラスタと、選択したプロジェクト内のスタンドアロン GKE クラスタで検出された懸念事項が表示されます。

フリートレベルでセキュリティ対策ダッシュボードの機能を構成する

GKE Enterprise を有効にしている場合は、フリートレベルでセキュリティ ダッシュボード機能の一部を管理できます。これにより、フリート内のすべてのクラスタでセキュリティ オブザーバビリティに同じデフォルト設定を使用できます。

フリート セキュリティ リソース

フリートのセキュリティ機能について詳しくは、次のガイドをご覧ください。

業界標準に従ってクラスタのコンプライアンスをモニタリングする

GKE コンプライアンス ダッシュボードには、CIS GKE Benchmark や Kubernetes Pod Security Standards などの業界標準に対するクラスタのコンプライアンスの概要が表示されます。このダッシュボードでは、コンプライアンス レポートが自動化され、検出された懸念事項と具体的な推奨事項の詳細なリストが表示されます。

クラスタ ポリシーを管理する

Policy Controller を使用すると、フリート クラスタに対して完全にプログラム可能なポリシーを適用できます。こうしたポリシーは「ガードレール」として機能し、Kubernetes API の構成に対する変更がセキュリティ、運用、コンプライアンスの管理に違反することを防止します。

Policy Controller の機能について詳しくは、Policy Controller のドキュメントをご覧ください。