Google Cloud menyediakan berbagai fitur untuk mengamankan fleet Anda dan aplikasi yang berjalan di dalamnya. Halaman ini memberikan ringkasan fitur keamanan fleet, dengan link untuk mengetahui lebih lanjut.
Mengelola identitas
Google Cloud menyediakan opsi berikut untuk mengautentikasi ke cluster fleet dengan cara yang sederhana, konsisten, dan aman, di mana pun cluster berada. Setelah menyiapkan autentikasi, Anda dapat mengonfigurasi kontrol akses yang lebih terperinci ke cluster menggunakan kontrol akses berbasis peran (RBAC) Kubernetes.
Autentikasi dengan Google Cloud
Semua cluster GKE di Google Cloud dikonfigurasi untuk menerima identitas pengguna dan akun layanan Google Cloud secara default. Jika fleet Anda berisi cluster di beberapa lingkungan, Anda dapat mengonfigurasi Connect gateway sehingga pengguna dan akun layanan juga dapat mengautentikasi ke cluster terdaftar mana pun menggunakan ID Google Cloud mereka.
Pelajari lebih lanjut cara menyiapkan dan menggunakan autentikasi dengan Google Cloud dalam panduan berikut:
- Mengonfigurasi akses cluster untuk
kubectl
- Menghubungkan ke cluster terdaftar dengan gateway Connect
- Menyiapkan gateway Connect
- Menggunakan gateway Connect
Mengautentikasi dengan penyedia pihak ketiga
Jika Anda ingin menggunakan penyedia identitas pihak ketiga yang sudah ada untuk melakukan autentikasi ke cluster fleet, GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda membawa solusi identitas yang sudah ada ke beberapa lingkungan. Layanan ini mendukung semua penyedia OpenID Connect (OIDC) seperti Okta dan Microsoft AD FS, serta dukungan pratinjau untuk penyedia LDAP di beberapa lingkungan. Anda dapat menyiapkan GKE Identity Service berdasarkan per cluster atau dengan satu konfigurasi untuk seluruh fleet, jika didukung.
Pelajari lebih lanjut cara menyiapkan dan menggunakan autentikasi pihak ketiga, termasuk lingkungan dan penyedia yang didukung, dalam panduan berikut:
Mengautentikasi dengan token pembawa
Jika solusi yang disediakan Google sebelumnya tidak sesuai untuk organisasi Anda, Anda dapat menyiapkan autentikasi menggunakan akun layanan Kubernetes dan menggunakan token pembawanya untuk login. Untuk mengetahui detailnya, lihat Menyiapkan menggunakan token pembawa.
Mengelola keamanan fleet
Google Cloud menyediakan berbagai fitur dan produk yang meningkatkan keamanan fleet dan workload Anda, seperti berikut:
- Otorisasi Biner untuk memastikan hanya image tepercaya yang di-deploy di cluster fleet Anda
- Kebijakan jaringan Kubernetes untuk mengontrol koneksi antar-Pod
- Kontrol akses layanan yang sangat terperinci untuk Cloud Service Mesh
- Dasbor postur keamanan GKE untuk memantau postur keamanan cluster Anda.
Memantau postur keamanan fleet
Dasbor postur keamanan GKE membantu Anda menilai dan mengelola cluster GKE inventaris Anda untuk masalah keamanan serta mendapatkan rekomendasi yang dapat ditindaklanjuti untuk memperbaikinya. Kemampuan meliputi:
- Audit konfigurasi: Kesalahan konfigurasi dalam spesifikasi workload, seperti Pod dengan hak istimewa berlebih.
- Audit kepatuhan dengan Policy Controller (hanya untuk project yang GKE Enterprise-nya diaktifkan)
Dasbor menampilkan masalah yang ditemukan untuk semua cluster dalam fleet yang dipilih dan untuk cluster GKE mandiri dalam project yang dipilih.
- Untuk mengetahui detail dan daftar lengkap kemampuan, lihat Tentang dasbor postur keamanan.
- Untuk mengetahui informasi harga, lihat Harga dasbor postur keamanan GKE.
Mengonfigurasi fitur dasbor postur keamanan di tingkat fleet
Jika Anda telah mengaktifkan GKE Enterprise, Anda dapat mengelola beberapa fitur dasbor keamanan di tingkat fleet, sehingga semua cluster di fleet Anda dapat menggunakan setelan default yang sama untuk kemampuan observasi keamanan.
- Pelajari cara mengonfigurasi fitur dasbor postur keamanan untuk fleet Anda.
Referensi keamanan fleet
Pelajari lebih lanjut fitur keamanan fleet dalam panduan berikut:
- Otorisasi Biner
- Kebijakan jaringan Kubernetes
- Keamanan aplikasi di Cloud Service Mesh:
- Tentang dasbor postur keamanan
Memantau kepatuhan cluster terhadap standar industri
Dasbor Kepatuhan GKE memberi Anda ringkasan kepatuhan cluster Anda terhadap standar industri seperti CIS GKE Benchmark dan Standar Keamanan Pod Kubernetes. Dasbor ini mengotomatiskan pelaporan kepatuhan, memberikan daftar mendetail tentang masalah yang ditemukan serta rekomendasi yang dapat ditindaklanjuti.
- Untuk mengetahui detail tentang cara mengaktifkan audit kepatuhan, lihat Mengaudit cluster untuk standar kepatuhan.
- Untuk mengetahui detail tentang dasbor kepatuhan, lihat Tentang dasbor Kepatuhan GKE.
Mengelola kebijakan cluster
Pengontrol Kebijakan memungkinkan penerapan kebijakan yang sepenuhnya dapat diprogram untuk cluster fleet Anda. Kebijakan ini berfungsi sebagai "pengaman" dan mencegah perubahan pada konfigurasi Kubernetes API dari pelanggaran keamanan, operasional, atau kontrol kepatuhan.
Pelajari lebih lanjut apa yang dapat Anda lakukan dengan Policy Controller dalam dokumentasi Policy Controller.