Google Cloud offre una gamma di funzionalità per proteggere il tuo parco risorse e le applicazioni che lo eseguono. Questa pagina fornisce una panoramica delle funzionalità di sicurezza del parco risorse, con link per scoprire di più.
Gestione dell'identità
Google Cloud fornisce le seguenti opzioni per l'autenticazione ai cluster del parco risorse in modo semplice, coerente e sicuro, ovunque si trovino i cluster. Dopo aver configurato l'autenticazione, puoi configurare un controllo dell'accesso più granulare ai tuoi cluster utilizzando il controllo dell'controllo dell'accesso basato su ruoli (RBAC) di Kubernetes.
Autenticazione con Google Cloud
Per impostazione predefinita, tutti i cluster GKE su Google Cloud sono configurati per accettare le identità degli account di servizio e utente Google Cloud. Se il tuo parco risorse contiene cluster in più ambienti, puoi configurare il gateway Connect in modo che gli utenti e gli account di servizio possano autenticarsi anche in qualsiasi cluster registrato utilizzando il proprio ID Google Cloud.
Scopri di più sulla configurazione e sull'utilizzo dell'autenticazione con Google Cloud nelle seguenti guide:
- Configurare l'accesso al cluster per
kubectl - Connessione ai cluster registrati con il gateway Connect
- Configurazione di Connect Gateway
- Utilizzare Connect Gateway
Autenticazione con fornitori di terze parti
Se vuoi utilizzare il tuo provider di identità di terze parti esistente per autenticarti ai cluster del tuo parco risorse, GKE Identity Service è un servizio di autenticazione che ti consente di portare le tue soluzioni di identità esistenti in più ambienti. Supporta tutti i provider OpenID Connect (OIDC), come Okta e Microsoft AD FS, nonché il supporto in anteprima per i provider LDAP in alcuni ambienti. Puoi configurare GKE Identity Service in base a ciascun cluster o con una singola configurazione per l'intero parco risorse, se supportato.
Scopri di più sulla configurazione e sull'utilizzo dell'autenticazione di terze parti, inclusi gli ambienti e i fornitori supportati, nelle seguenti guide:
Eseguire l'autenticazione con un token di accesso
Se le soluzioni precedenti fornite da Google non sono adatte alla tua organizzazione, puoi configurare l'autenticazione utilizzando un account servizio Kubernetes e il relativo token di accesso per accedere. Per maggiori dettagli, consulta Configurare l'API utilizzando un token di accesso.
Gestire la sicurezza del parco risorse
Google Cloud offre una serie di funzionalità e prodotti che migliorano la sicurezza delle tue flotte e dei tuoi carichi di lavoro, ad esempio:
- L'autorizzazione binaria per garantire che venga eseguito il deployment solo di immagini attendibili nei cluster del tuo parco
- Criteri di rete Kubernetes per controllare le connessioni tra i pod
- Controllo granulare dell'accesso ai servizi per Cloud Service Mesh
- La dashboard della postura di sicurezza di GKE per monitorare la postura di sicurezza dei cluster.
Monitora la security posture del parco risorse
La dashboard della postura di sicurezza di GKE ti aiuta a valutare e gestire i cluster GKE del tuo parco risorse per rilevare eventuali problemi di sicurezza e ricevere suggerimenti strategici per risolverli. Le funzionalità includono:
- Controllo della configurazione: configurazioni errate nelle specifiche del workload, ad esempio pod con privilegi eccessivi.
- Scansione delle vulnerabilità: Vulnerabilità che possono essere corrette nei sistemi operativi o nei pacchetti di linguaggio dei container.
- Controllo della conformità con Policy Controller (solo per i progetti in cui è abilitato GKE Enterprise)
La dashboard mostra i problemi rilevati per tutti i cluster nel parco risorse selezionato e per eventuali cluster GKE autonomi nel progetto selezionato.
- Per informazioni dettagliate e un elenco completo delle funzionalità, consulta Informazioni sulla dashboard della postura di sicurezza.
- Per le informazioni sui prezzi, consulta Prezzi della dashboard della postura di sicurezza di GKE.
Configurare le funzionalità della dashboard della security posture a livello di parco risorse
Se hai abilitato GKE Enterprise, puoi gestire alcune funzionalità della dashboard della sicurezza a livello di parco risorse, in modo che tutti i cluster del parco risorse possano utilizzare le stesse impostazioni predefinite per l'osservabilità della sicurezza.
- Scopri come configurare le funzionalità della dashboard relativa alla posizione di sicurezza per il tuo parco risorse.
Risorse per la sicurezza del parco risorse
Scopri di più sulle funzionalità di sicurezza del parco risorse nelle seguenti guide:
- Autorizzazione binaria
- Criteri di rete Kubernetes
- Sicurezza delle applicazioni in Cloud Service Mesh:
- Informazioni sulla dashboard della postura di sicurezza
Monitorare la conformità del cluster agli standard di settore
La dashboard della conformità GKE fornisce una panoramica della conformità del tuo cluster agli standard di settore come CIS GKE Benchmark e gli standard di sicurezza dei pod Kubernetes. La dashboard automatizza la generazione di report sulla conformità, fornisce un elenco dettagliato di eventuali problemi rilevati e consigli utili.
- Per informazioni dettagliate sull'abilitazione dei controlli di conformità, vedi Controllare i cluster per verificare la conformità agli standard.
- Per informazioni dettagliate sulla dashboard della conformità, vedi Informazioni sulla dashboard della conformità di GKE.
Gestisci i criteri del cluster
Policy Controller consente l'applicazione di criteri completamente programmabili per i cluster del tuo parco risorse. Questi criteri agiscono come "barriere" e impediscono qualsiasi modifica alla configurazione dell'API Kubernetes che violi i controlli di sicurezza, operativi o di conformità.
Scopri di più su cosa puoi fare con Policy Controller nella documentazione di Policy Controller.