Proteger sua frota

O Google Cloud tem vários recursos para proteger sua frota e os aplicativos executados nela. Nesta página, você encontra uma visão geral dos recursos de segurança da frota com links para mais informações.

Gerenciar identidade

O Google Cloud oferece as seguintes opções de autenticação para clusters de frotas de maneira simples, consistente e segura em qualquer lugar. Depois de configurar a autenticação, é possível configurar um controle de acesso mais refinado para seus clusters usando o controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Kubernetes.

Autenticar com o Google Cloud

Todos os clusters do GKE no Google Cloud estão configurados para aceitar, por padrão, identidades de usuário e de contas de serviço do Google Cloud. Se a frota tiver clusters em vários ambientes, configure o gateway do Connect para que os usuários e as contas de serviço também possam se autenticar em qualquer cluster registrado usando o Google Cloud ID.

Saiba mais sobre como configurar e usar a autenticação com o Google Cloud nos seguintes guias:

Autenticar com provedores de terceiros

Quando você quer usar um provedor de identidade de terceiros atual para autenticar os clusters da sua frota, o serviço de identidade do GKE é um serviço de autenticação que permite usar suas soluções de identidade atuais em vários ambientes. Ele é compatível com todos os provedores de OpenID Connect (OIDC), como o Okta e o Microsoft AD FS, além de oferecer compatibilidade com a visualização de provedores LDAP em alguns ambientes. É possível configurar o serviço de identidade do GKE com base em cada cluster ou com uma única configuração para toda a frota, quando compatível.

Saiba mais sobre como configurar e usar a autenticação de terceiros, incluindo ambientes e provedores compatíveis, nos seguintes guias:

Autenticar com um token do portador

Se as soluções apresentadas anteriormente pelo Google não forem adequadas para sua organização, configure a autenticação usando uma conta de serviço do Kubernetes e o token do portador para fazer login. Para mais detalhes, consulte Configurar usando um token do portador.

Gerenciar a segurança da frota

O Google Cloud fornece uma variedade de recursos e produtos que melhoram a segurança de suas frotas e cargas de trabalho, como os seguintes:

  • Autorização binária para garantir que apenas imagens confiáveis sejam implantadas nos clusters da frota
  • Políticas de rede do Kubernetes para controlar as conexões entre pods
  • Controle de acesso a serviços refinado para o Cloud Service Mesh
  • O painel de postura de segurança do GKE para monitorar a postura de segurança dos seus clusters.

Monitorar a postura de segurança da frota

O painel de postura de segurança do GKE ajuda a avaliar e gerenciar os clusters do GKE da sua frota em busca de problemas de segurança e receber recomendações acionáveis para corrigi-los. Os recursos incluem:

O painel exibe problemas descobertos para todos os clusters na frota selecionada e para todos os clusters independentes do GKE no projeto selecionado.

Configurar os recursos do painel de postura de segurança no nível da frota

Se você ativou o GKE Enterprise, será possível gerenciar alguns recursos do painel de segurança no nível da frota. Assim, todos os clusters nela poderão usar as mesmas configurações padrão de observabilidade da segurança.

Recursos de segurança da frota

Saiba mais sobre os recursos de segurança para aplicativos de frota nos seguintes guias:

Monitorar a conformidade do cluster com padrões do setor

O painel do GKE Compliance apresenta uma visão geral da conformidade do cluster com padrões do setor, como o comparativo de mercado CIS do GKE e os padrões de segurança de pods do Kubernetes. O painel automatiza os relatórios de conformidade e fornece uma lista detalhada de todos os problemas encontrados, bem como recomendações práticas.

Gerenciar políticas de cluster

O Policy Controller permite a aplicação de políticas totalmente programáveis nos clusters. Essas políticas atuam como uma "guarda" e impedem que qualquer alteração na configuração da API Kubernetes viole os controles de segurança, operação ou de conformidade.

Saiba mais sobre o que você pode fazer com o Policy Controller na documentação do Policy Controller.