Google Cloud ofrece una variedad de funciones para proteger tu flota y las aplicaciones que se ejecutan en ella. En esta página, se proporciona una descripción general de las características de seguridad de la flota con vínculos para obtener más información.
Administrar identidad
Google Cloud ofrece las siguientes opciones para la autenticación en clústeres de flota de manera simple, coherente y segura, donde sea que se encuentren. Después de configurar la autenticación, puedes configurar un control de acceso más detallado a tus clústeres mediante el control de acceso basado en roles (RBAC) de Kubernetes.
Autentica con Google Cloud
Todos los clústeres de GKE en Google Cloud están configurados para aceptar identidades de usuario y cuenta de servicio de Google Cloud de forma predeterminada. Si tu flota contiene clústeres en varios entornos, puedes configurar la puerta de enlace de Connect para que los usuarios y las cuentas de servicio también puedan autenticarse en cualquier clúster registrado mediante su ID de Google Cloud.
Obtén más información sobre cómo configurar y usar la autenticación con Google Cloud en las siguientes guías:
- Configura el acceso al clúster para
kubectl - Conéctate a clústeres registrados mediante la puerta de enlace de Connect
- Configurar la puerta de enlace de conexión
- Usar la puerta de enlace de conexión
Autentica con proveedores de terceros
Si deseas usar tu proveedor de identidad de terceros existente para autenticarte en los clústeres de tu flota, GKE Identity Service es un servicio de autenticación que te permite usar las soluciones de identidad existentes en varios entornos. Es compatible con todos los proveedores de OpenID Connect (OIDC), como Okta y Microsoft AD FS, y con la compatibilidad de vista previa para proveedores de LDAP en algunos entornos. Puedes configurar GKE Identity Service en cada clúster o con una sola configuración para toda tu flota, si es compatible.
Obtén más información sobre la configuración y el uso de la autenticación de terceros, incluidos los entornos y los proveedores compatibles, en las siguientes guías:
Autentica con un token del portador
Si las soluciones anteriores que proporciona Google no son adecuadas para tu organización, puedes configurar la autenticación con una cuenta de servicio de Kubernetes y con su token del portador para acceder. Para obtener más información, consulta Configura un token del portador.
Administra la seguridad de la flota
Google Cloud proporciona una variedad de funciones y productos que mejoran la seguridad de tus flotas y cargas de trabajo, como los siguientes:
- Autorización binaria para garantizar que solo se implementen imágenes de confianza en los clústeres de tu flota
- Políticas de red de Kubernetes para controlar las conexiones entre Pods
- Control de acceso de servicio detallado para Cloud Service Mesh
- El panel de postura de seguridad de GKE para supervisar la posición de seguridad de tus clústeres.
Supervisa la postura de seguridad de la flota
El panel de postura de seguridad de GKE te ayuda a evaluar y administrar los clústeres de GKE de tu flota para detectar problemas de seguridad y obtener recomendaciones prácticas para solucionarlos. Se incluyen las siguientes capacidades:
- Auditoría de configuración: Opciones de configuración incorrectas en especificaciones de cargas de trabajo, como Pods con privilegios excesivos.
- Análisis de vulnerabilidades: Vulnerabilidades prácticas en sistemas operativos de contenedores o paquetes de idiomas.
- Auditoría de cumplimiento con Policy Controller (solo para proyectos con GKE Enterprise habilitado)
En el panel, se muestran los problemas detectados para todos los clústeres de la flota seleccionada y cualquier clúster de GKE independiente en el proyecto seleccionado.
- Para obtener detalles y una lista completa de las capacidades, consulta Acerca del panel de postura de seguridad.
- Para obtener información sobre los precios, consulta los precios del panel de postura de seguridad de GKE.
Configura las funciones del panel de postura de seguridad a nivel de la flota
Si habilitaste GKE Enterprise, puedes administrar algunas funciones del panel de seguridad a nivel de la flota, de modo que todos los clústeres de tu flota puedan usar la misma configuración predeterminada para la observabilidad de la seguridad.
- Obtén información para configurar las funciones del panel de postura de seguridad para tu flota.
Recursos de seguridad de la flota
Obtén más información sobre las funciones de seguridad de la flota en las siguientes guías:
- Autorización binaria
- Políticas de red de Kubernetes
- Seguridad para aplicaciones en Cloud Service Mesh:
- Acerca del panel de postura de seguridad
Supervisa el cumplimiento de los clústeres con los estándares de la industria
En el panel de cumplimiento de GKE, se ofrece una descripción general del cumplimiento de tu clúster con los estándares de la industria, como la comparativa de CIS en GKE y los estándares de seguridad de Pods de Kubernetes. En el panel, se automatizan los informes de cumplimiento y se proporciona una lista detallada de los problemas que se encontraron, además de recomendaciones prácticas.
- Si deseas obtener detalles sobre cómo habilitar la auditoría de cumplimiento, consulta Audita clústeres para comprobar los estándares de cumplimiento.
- Para obtener detalles sobre el panel de cumplimiento, consulta Acerca del panel de cumplimiento de GKE.
Administra las políticas del clúster
Policy Controller permite la aplicación de políticas completamente programables para tus clústeres de la flota. Estas políticas actúan como “recursos de seguridad” y evitan que los cambios en la configuración de la API de Kubernetes no cumplan con los controles de cumplimiento, operación o seguridad.
Obtén más información sobre lo que puede hacer con el controlador de políticas en la documentación del controlador de políticas.