GKE Sandbox

GKE コンテナのセキュリティをさらに強化しました。

このプロダクトのドキュメントを見る

「GKE Sandbox の概要」のロゴ

多層防御を Pod に追加する

GKE Sandbox はコンテナ分離ソリューションです。Google Kubernetes Engine(GKE)上でコンテナ化されたワークロード間に追加の防御レイヤを提供します。GKE Sandbox は、低 I/O でありながら高度にスケールされたアプリケーションを考慮して構築されました。このようなコンテナ化されたワークロードは、速度とパフォーマンスを維持する必要があり、セキュリティの強化を必要とする信頼できないコードが含まれる可能性もあります。GKE Sandbox はオープンソースのコンテナ サンドボックス化プロジェクトである gVisor をベースとしていて、アプリケーションを変更する、新しいアーキテクチャ モデルを追加する、複雑にするといったことはなく、多層防御のセキュリティ原則をコンテナに導入できます。

「多層防御を簡単に導入する」のロゴ

多層防御を簡単に導入する

GKE Sandbox はコンテナ化されたワークロードに追加の防御レイヤを提供しますが、デベロッパーやオペレーターはサンドボックスを使用しない場合と同様にコンテナを操作できるため、新しいコントロール セットやメンタルモデルを学習する必要がありません。

オープンソースに基づくマネージド サービスとして、GKE Sandbox の内部は抽象化されており、複雑にすることなくセキュリティ強化を実現できます。

「潜在的な攻撃を限定する」のロゴ

潜在的な攻撃を限定する

コンテナ エスケープとは、不正使用されたコンテナがホストや他のコンテナ内のデータへのアクセス権を取得した場合に、コンテナ内の機密ワークロードに対して行われる厄介な攻撃です。GKE Sandbox は、コンテナがホストと直接やり取りする必要性を減らして、ホストの不正使用を狙った攻撃範囲を縮小し、悪意のあるアクターの動きを制限します。

「マルチテナンシーのセキュリティ強化をサポートする」のロゴ

マルチテナンシーのセキュリティ強化をサポートする

クラスタ管理者は、同じクラスタに複数のユーザー(テナント)を配置することにより、リソースを最大限に活用し、個々のクラスタの管理に要する負担を減らすことができます。これはマルチテナンシーと呼ばれます。一方、マルチテナンシーの現在のアーキテクチャでは、セキュリティ チームが、信頼できるワークロードと信頼できないワークロードを同じクラスタ上で処理しようとすると、デメリットをも伴う意思決定を強いられます。

GKE Sandbox は、テナント間に分離レイヤを追加してマルチテナント環境のセキュリティを強化する最初のステップであり、セキュリティを確保したままマルチテナント モデルの目的を果たす手助けとなります。

リソース

料金

GKE Sandbox のベータ版は追加料金なしで GKE 内からご利用いただけます。

次のステップ

GKE コンテナのセキュリティをさらに強化。

開始にあたりサポートが必要な場合
信頼できるパートナーの活用