Google Cloud fornisce una gamma di funzionalità per proteggere il parco risorse e le applicazioni eseguite al suo interno. Questa pagina fornisce una panoramica delle funzionalità di sicurezza del parco risorse, con link per saperne di più.
Gestione dell'identità
Google Cloud offre le seguenti opzioni per l'autenticazione nei cluster del parco risorse in modo semplice, coerente e sicuro, ovunque si trovino i cluster. Dopo aver configurato l'autenticazione, puoi configurare un controllo dell'accesso più granulare ai tuoi cluster utilizzando il controllo controllo dell'accesso basato su ruoli (RBAC) di Kubernetes.
Autenticazione con Google Cloud
Tutti i cluster GKE su Google Cloud sono configurati per accettare le identità utente e di account di servizio Google Cloud per impostazione predefinita. Se il tuo parco risorse contiene cluster in più ambienti, puoi configurare il gateway di connessione in modo che utenti e account di servizio possano anche eseguire l'autenticazione su qualsiasi cluster registrato utilizzando il loro ID Google Cloud.
Scopri di più sulla configurazione e sull'utilizzo dell'autenticazione con Google Cloud nelle seguenti guide:
- Configurazione dell'accesso al cluster per
kubectl
- Connessione ai cluster registrati con il gateway Connect
- Configurare il gateway Connect
- Utilizzare il gateway di Connect
Autenticazione con provider di terze parti
Se vuoi utilizzare il tuo provider di identità di terze parti esistente per l'autenticazione nei cluster del tuo parco risorse, GKE Identity Service è un servizio di autenticazione che ti consente di utilizzare le soluzioni di identità esistenti in più ambienti. Supporta tutti i provider OpenID Connect (OIDC) come Okta e Microsoft AD FS, oltre al supporto in anteprima per i provider LDAP in alcuni ambienti. Puoi configurare GKE Identity Service in base al cluster o con un'unica configurazione per l'intero parco risorse, se supportata.
Scopri di più sulla configurazione e sull'utilizzo dell'autenticazione di terze parti, inclusi gli ambienti e i provider supportati, nelle seguenti guide:
Autenticazione con un token di connessione
Se le soluzioni fornite in precedenza da Google non sono adatte alla tua organizzazione, puoi configurare l'autenticazione utilizzando un account di servizio Kubernetes e il relativo token di connessione per accedere. Per maggiori dettagli, consulta Configurare un token di connessione.
Gestisci la sicurezza del parco risorse
Google Cloud fornisce una gamma di funzionalità e prodotti che migliorano la sicurezza dei parchi risorse e dei carichi di lavoro, tra cui:
- Autorizzazione binaria per garantire che venga eseguito il deployment solo delle immagini attendibili nei cluster del tuo parco risorse
- Criteri di rete di Kubernetes per controllare le connessioni tra i pod
- Controllo granulare dell'accesso ai servizi per Anthos Service Mesh
- Dashboard della strategia di sicurezza di GKE per monitorare la strategia di sicurezza dei cluster.
Monitora la strategia di sicurezza del parco risorse
La dashboard della strategia di sicurezza di GKE consente di valutare e gestire i cluster GKE del parco risorse per individuare eventuali problemi di sicurezza e ricevere suggerimenti strategici per risolverli. Le funzionalità includono:
- Controllo della configurazione: configurazioni errate nelle specifiche dei carichi di lavoro, ad esempio pod con privilegi in eccesso.
- Analisi delle vulnerabilità: vulnerabilità attuabili nei sistemi operativi dei container o nei pacchetti di linguaggio.
- Controllo della conformità con Policy Controller (solo per progetti in cui è abilitato GKE Enterprise)
La dashboard mostra i problemi rilevati per tutti i cluster nel parco risorse selezionato e per eventuali cluster GKE autonomi nel progetto selezionato.
- Per i dettagli e un elenco completo delle funzionalità, vedi Informazioni sulla dashboard della postura di sicurezza.
- Per informazioni sui prezzi, consulta i prezzi della dashboard della postura di sicurezza di GKE.
Configura le funzionalità della dashboard della postura di sicurezza a livello di parco risorse
Se hai abilitato GKE Enterprise, puoi gestire alcune funzionalità della dashboard di sicurezza a livello di parco risorse, in modo che tutti i cluster del parco risorse possano utilizzare le stesse impostazioni predefinite per l'osservabilità della sicurezza.
- Scopri come configurare le funzionalità della dashboard della postura di sicurezza per il tuo parco risorse.
Risorse per la sicurezza del parco risorse
Scopri di più sulle funzionalità di sicurezza del parco risorse nelle seguenti guide:
- Autorizzazione binaria
- Criteri di rete di Kubernetes
- Sicurezza delle applicazioni in Anthos Service Mesh:
- Informazioni sulla dashboard della postura di sicurezza
Monitora la conformità dei cluster agli standard di settore
La dashboard Conformità di GKE offre una panoramica della conformità del cluster agli standard di settore come il benchmark CIS GKE e gli standard di sicurezza dei pod di Kubernetes. La dashboard automatizza i report di conformità, fornisce un elenco dettagliato di eventuali problemi rilevati e suggerimenti attuabili.
- Per maggiori dettagli sull'abilitazione dei controlli della conformità, consulta Controllare gli standard di conformità dei cluster.
- Per maggiori dettagli sulla dashboard per la conformità, consulta Informazioni sulla dashboard per la conformità di GKE.
Gestisci i criteri del cluster
Policy Controller consente l'applicazione di criteri completamente programmabili per i cluster del parco risorse. Questi criteri fungono da "barriere" e impediscono qualsiasi modifica alla configurazione dell'API Kubernetes che violi i controlli di sicurezza, operativi o di conformità.
Scopri di più su cosa puoi fare con Policy Controller nella documentazione di Policy Controller.