Protezione del tuo parco risorse

Google Cloud offre una gamma di funzionalità per proteggere il tuo parco risorse e le applicazioni eseguite al suo interno. Questa pagina fornisce una panoramica delle funzionalità di sicurezza del parco risorse, con link per saperne di più.

Gestione dell'identità

Google Cloud fornisce le seguenti opzioni per l'autenticazione nei cluster del parco risorse in modo semplice, coerente e sicuro, ovunque si trovino i cluster. Dopo aver configurato l'autenticazione, puoi configurare un controllo dell'accesso più granulare ai tuoi cluster utilizzando il controllo dell'controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes.

Autenticati con Google Cloud

Per impostazione predefinita, tutti i cluster GKE su Google Cloud sono configurati per accettare le identità di Google Cloud utenti e account di servizio. Se il tuo parco risorse contiene cluster in più ambienti, puoi configurare il gateway Connect in modo che gli utenti e gli account di servizio possano autenticarsi anche su qualsiasi cluster registrato utilizzando il proprio Google Cloud ID.

Scopri di più sulla configurazione e sull'utilizzo dell'autenticazione con Google Cloud nelle seguenti guide:

• Configurazione dell'accesso al cluster per kubectl
• Connessione ai cluster registrati con Connect Gateway
• Configurazione di Connect Gateway
• Utilizzare Connect Gateway

Autenticarsi con provider di terze parti

Se vuoi utilizzare il tuo provider di identità di terze parti esistente per l'autenticazione nei cluster del parco, GKE Identity Service è un servizio di autenticazione che ti consente di portare le tue soluzioni di identità esistenti in più ambienti. Supporta tutti i provider OpenID Connect (OIDC) come Okta e Microsoft AD FS, nonché il supporto in anteprima per i provider LDAP in alcuni ambienti. Puoi configurare GKE Identity Service cluster per cluster o con una singola configurazione per l'intero parco risorse, dove supportato.

Scopri di più sulla configurazione e sull'utilizzo dell'autenticazione di terze parti, inclusi gli ambienti e i provider supportati, nelle seguenti guide:

• Introduzione a GKE Identity Service
• Accesso ai cluster con GKE Identity Service

Autenticazione con un token di connessione

Se le soluzioni fornite da Google precedenti non sono adatte alla tua organizzazione, puoi configurare l'autenticazione utilizzando un service account Kubernetes e il relativo token di autenticazione per accedere. Per maggiori dettagli, vedi Configurare l'utilizzo di un token di autenticazione.

Gestire la sicurezza del parco risorse

Google Cloud offre una gamma di funzionalità e prodotti che migliorano la sicurezza dei tuoi parchi risorse e carichi di lavoro, ad esempio:

• Autorizzazione binaria per garantire che venga eseguito il deployment solo delle immagini attendibili sui cluster della flotta
• Criteri di rete Kubernetes per controllare le connessioni tra i pod
• Controllo dell'accesso ai servizi granulare per Cloud Service Mesh
• La dashboard della postura di sicurezza di GKE per monitorare la postura di sicurezza dei cluster.

Monitorare la postura di sicurezza del parco risorse

La dashboard sulla postura di sicurezza di GKE ti aiuta a valutare e gestire i cluster GKE del tuo parco risorse per problemi di sicurezza e a ricevere suggerimenti strategici per risolverli. Le funzionalità includono:

• Controllo della configurazione: Errori di configurazione nelle specifiche del workload, ad esempio pod con privilegi eccessivi.
• Controllo della conformità con Policy Controller (solo per i progetti con GKE Enterprise abilitato)

La dashboard mostra i problemi rilevati per tutti i cluster nel parco risorse selezionato e per tutti i cluster GKE autonomi nel progetto selezionato.

• Per informazioni dettagliate e un elenco completo delle funzionalità, vedi Informazioni sulla dashboard della postura di sicurezza.
• Per le informazioni sui prezzi, consulta la sezione Prezzi della dashboard della postura di sicurezza di GKE.

Configurare le funzionalità della dashboard per la postura di sicurezza a livello di parco risorse

Se hai abilitato GKE Enterprise, puoi gestire alcune funzionalità della dashboard della sicurezza a livello di parco risorse, in modo che tutti i cluster del parco risorse possano utilizzare le stesse impostazioni predefinite per l'osservabilità della sicurezza.

• Scopri come configurare le funzionalità del dashboard della postura di sicurezza per il tuo parco risorse.

Risorse per la sicurezza del parco risorse

Scopri di più sulle funzionalità di sicurezza del parco risorse nelle seguenti guide:

• Autorizzazione binaria
• Criteri di rete Kubernetes
• Sicurezza delle applicazioni in Cloud Service Mesh:
  • Panoramica dei criteri di autorizzazione
  • Configurazione della sicurezza del livello di trasporto
  • Monitoraggio della sicurezza mesh
• Informazioni sulla dashboard della postura di sicurezza

Monitorare la conformità del cluster agli standard di settore

La dashboard di conformità GKE offre una panoramica della conformità del cluster agli standard di settore come CIS GKE Benchmark e agli standard di sicurezza dei pod di Kubernetes. La dashboard automatizza i report sulla conformità, fornisce un elenco dettagliato di eventuali problemi riscontrati e consigli pratici.

• Per informazioni dettagliate sull'abilitazione del controllo di conformità, vedi Controllare i cluster per gli standard di conformità.
• Per informazioni dettagliate sulla dashboard di conformità, vedi Informazioni sulla dashboard di conformità di GKE.

Gestisci i criteri del cluster

Policy Controller consente l'applicazione di criteri completamente programmabili per i cluster del parco risorse. Questi criteri agiscono come "barriere" e impediscono qualsiasi modifica alla configurazione dell'API Kubernetes che violi i controlli di sicurezza, operativi o di conformità.

Scopri di più su cosa puoi fare con Policy Controller nella documentazione di Policy Controller.