Google Cloud offre plusieurs fonctionnalités pour sécuriser votre parc et les applications qui y sont exécutées. Cette page présente les fonctionnalités de sécurité du parc et contient des liens pour en savoir plus.
Gérer l'identité
Google Cloud offre les options suivantes pour l'authentification des clusters de parc de manière simple, cohérente et sécurisée, où qu'ils se trouvent. Une fois l'authentification configurée, vous pouvez configurer un contrôle d'accès plus précis pour vos clusters à l'aide du contrôle des accès basé sur les rôles Kubernetes (RBAC).
Authentification avec Google Cloud
Tous les clusters GKE sur Google Cloud sont configurés pour accepter par défaut les comptes d'utilisateur et de service Google Cloud. Si votre parc contient des clusters dans plusieurs environnements, vous pouvez configurer la passerelle Connect pour que les utilisateurs et les comptes de service puissent également s'authentifier auprès de n'importe quel cluster enregistré à l'aide de leur ID Google Cloud.
Pour en savoir plus sur la configuration et l'utilisation de l'authentification avec Google Cloud, consultez les guides suivants :
- Configurer l'accès au cluster pour
kubectl
- Se connecter à des clusters enregistrés avec la passerelle Connect
- Configurer la passerelle Connect
- Utiliser la passerelle Connect
S'authentifier auprès de fournisseurs tiers
Si vous souhaitez utiliser votre fournisseur d'identité tiers existant pour vous authentifier auprès des clusters de parc, GKE Identity Service est un service d'authentification qui vous permet d'importer vos solutions d'identité existantes dans plusieurs environnements. Il est compatible avec tous les fournisseurs OpenID Connect (OIDC), tels que Okta et Microsoft AD FS, et offre également la compatibilité bêta des fournisseurs LDAP dans certains environnements. Vous pouvez configurer GKE Identity Service individuellement pour chaque cluster ou avec une seule configuration pour l'ensemble de votre parc, si cette option est compatible.
Pour en savoir plus sur la configuration et l'utilisation de l'authentification tierce, y compris les environnements et les fournisseurs acceptés, consultez les guides suivants :
S'authentifier avec un jeton de support
Si les solutions fournies par Google ci-dessus ne conviennent pas à votre organisation, vous pouvez configurer l'authentification à l'aide d'un compte de service Kubernetes et de son jeton de support pour vous connecter. Pour en savoir plus, consultez la page Configurer à l'aide d'un jeton de support.
Gérer la sécurité du parc
Google Cloud fournit une gamme de fonctionnalités et de produits qui améliorent la sécurité de vos parcs et de vos charges de travail, par exemple:
- Autorisation binaire pour garantir que seules les images de confiance sont déployées sur les clusters de votre parc
- Règles de réseau Kubernetes pour contrôler les connexions entre les pods
- Contrôle précis des accès aux services pour Anthos Service Mesh
- Le tableau de bord de stratégie de sécurité GKE pour surveiller la stratégie de sécurité de vos clusters.
Surveiller la stratégie de sécurité du parc
Le tableau de bord de stratégie de sécurité GKE vous aide à évaluer et à gérer les clusters GKE de votre parc pour détecter les problèmes de sécurité et à obtenir des recommandations exploitables pour les résoudre. Il peut, entre autres, effectuer les tâches suivantes:
- Audit de configuration : erreurs de configuration dans les spécifications de la charge de travail, telles que les pods à privilèges trop élevés.
- Analyse des failles : failles exploitables dans les systèmes d'exploitation de conteneurs ou les packages de langages.
- Audit de conformité avec Policy Controller (pour les projets avec GKE Enterprise activé uniquement)
Le tableau de bord affiche les problèmes détectés pour tous les clusters du parc sélectionné et pour tous les clusters GKE autonomes du projet sélectionné.
- Pour obtenir plus d'informations et la liste complète des fonctionnalités, consultez la section À propos du tableau de bord de stratégie de sécurité.
- Pour en savoir plus sur la tarification, consultez la page Tarifs du tableau de bord de stratégie de sécurité GKE.
Configurer des fonctionnalités de tableau de bord de stratégie de sécurité au niveau du parc
Si vous avez activé GKE Enterprise, vous pouvez gérer certaines fonctionnalités du tableau de bord de sécurité au niveau du parc, afin que tous les clusters de votre parc puissent utiliser les mêmes paramètres par défaut pour l'observabilité de la sécurité.
- Découvrez comment configurer les fonctionnalités du tableau de bord de stratégie de sécurité pour votre parc.
Ressources de sécurité du parc
Pour en savoir plus sur les fonctionnalités de sécurité de parc, consultez les guides suivants :
- Autorisation binaire
- Règles de réseau Kubernetes
- Sécurité des applications dans Anthos Service Mesh :
- À propos du tableau de bord de stratégie de sécurité
Surveiller la conformité des clusters avec les normes du secteur
Le tableau de bord de conformité GKE vous donne un aperçu de la conformité de votre cluster avec les standards de l'industrie tels que le benchmark CIS de GKE et les normes de sécurité des pods Kubernetes. Ce tableau de bord automatise la création de rapports de conformité et fournit une liste détaillée des problèmes détectés ainsi que des recommandations exploitables.
- Pour en savoir plus sur l'activation de l'audit de conformité, consultez la page Clusters d'audit pour les normes de conformité.
- Pour en savoir plus sur le tableau de bord de conformité, consultez la section À propos du tableau de bord de conformité GKE.
Gérer les règles de cluster
Policy Controller permet d'appliquer des règles entièrement programmables pour vos clusters du parc. Ces règles servent de "garde-fous" et empêchent toute modification de la configuration de l'API Kubernetes de contrevenir aux contrôles de sécurité, opérationnels ou de conformité.
Pour en savoir plus sur Policy Controller, consultez la documentation sur Policy Controller.