Sécuriser votre parc

Google Cloud offre plusieurs fonctionnalités pour sécuriser votre parc et les applications qui y sont exécutées. Cette page présente les fonctionnalités de sécurité du parc et contient des liens pour en savoir plus.

Gérer l'identité

Google Cloud offre les options suivantes pour l'authentification des clusters de parc de manière simple, cohérente et sécurisée, où qu'ils se trouvent. Une fois l'authentification configurée, vous pouvez configurer un contrôle d'accès plus précis pour vos clusters à l'aide du contrôle des accès basé sur les rôles Kubernetes (RBAC).

Authentification avec Google Cloud

Tous les clusters GKE sur Google Cloud sont configurés pour accepter par défaut les comptes d'utilisateur et de service Google Cloud. Si votre parc contient des clusters dans plusieurs environnements, vous pouvez configurer la passerelle Connect pour que les utilisateurs et les comptes de service puissent également s'authentifier auprès de n'importe quel cluster enregistré à l'aide de leur ID Google Cloud.

Pour en savoir plus sur la configuration et l'utilisation de l'authentification avec Google Cloud, consultez les guides suivants :

S'authentifier auprès de fournisseurs tiers

Si vous souhaitez utiliser votre fournisseur d'identité tiers existant pour vous authentifier auprès des clusters de parc, GKE Identity Service est un service d'authentification qui vous permet d'importer vos solutions d'identité existantes dans plusieurs environnements. Il est compatible avec tous les fournisseurs OpenID Connect (OIDC), tels que Okta et Microsoft AD FS, et offre également la compatibilité bêta des fournisseurs LDAP dans certains environnements. Vous pouvez configurer GKE Identity Service individuellement pour chaque cluster ou avec une seule configuration pour l'ensemble de votre parc, si cette option est compatible.

Pour en savoir plus sur la configuration et l'utilisation de l'authentification tierce, y compris les environnements et les fournisseurs acceptés, consultez les guides suivants :

S'authentifier avec un jeton de support

Si les solutions fournies par Google ci-dessus ne conviennent pas à votre organisation, vous pouvez configurer l'authentification à l'aide d'un compte de service Kubernetes et de son jeton de support pour vous connecter. Pour en savoir plus, consultez la page Configurer à l'aide d'un jeton de support.

Gérer la sécurité du parc

Google Cloud propose une gamme de fonctionnalités et de produits qui améliorent la sécurité de vos flottes et de vos charges de travail, comme les suivants :

  • L'autorisation binaire pour vous assurer que seules des images de confiance sont déployées sur les clusters de votre parc
  • Règles de réseau Kubernetes pour contrôler les connexions entre les pods
  • Contrôle précis des accès aux services pour Cloud Service Mesh
  • Le tableau de bord de la posture de sécurité de GKE pour surveiller la posture de sécurité de vos clusters.

Surveiller la posture de sécurité du parc

Le tableau de bord de la stratégie de sécurité GKE vous aide à évaluer et à gérer les problèmes de sécurité des clusters GKE de votre parc, et à obtenir des recommandations exploitables pour les résoudre. Les fonctionnalités incluent :

  • Audit de la configuration : erreurs de configuration dans les spécifications de charge de travail, telles que des pods dotés de droits trop étendus.
  • Analyse des failles : failles exploitables dans les systèmes d'exploitation de conteneurs ou les packages de langage.
  • Audit de conformité avec Policy Controller (pour les projets avec GKE Enterprise activé uniquement)

Le tableau de bord affiche les problèmes détectés pour tous les clusters du parc sélectionné et pour tous les clusters GKE autonomes du projet sélectionné.

Configurer des fonctionnalités de tableau de bord de stratégie de sécurité au niveau du parc

Si vous avez activé GKE Enterprise, vous pouvez gérer certaines fonctionnalités du tableau de bord de sécurité au niveau du parc, afin que tous les clusters de votre parc puissent utiliser les mêmes paramètres par défaut pour l'observabilité de la sécurité.

Ressources sur la sécurité des parcs

Pour en savoir plus sur les fonctionnalités de sécurité de parc, consultez les guides suivants :

Surveiller la conformité du cluster avec les normes du secteur

Le tableau de bord de conformité GKE vous donne un aperçu de la conformité de votre cluster avec les normes du secteur, telles que le benchmark CIS GKE et les normes de sécurité des pods Kubernetes. Le tableau de bord automatise la création de rapports sur la conformité, fournit une liste détaillée des problèmes détectés et des recommandations exploitables.

Gérer les règles de cluster

Policy Controller permet d'appliquer des règles entièrement programmables pour vos clusters du parc. Ces règles servent de "garde-fous" et empêchent toute modification de la configuration de l'API Kubernetes de contrevenir aux contrôles de sécurité, opérationnels ou de conformité.

Pour en savoir plus sur Policy Controller, consultez la documentation sur Policy Controller.