אבטחת הצי

‫Google Cloud מספק מגוון תכונות לאבטחת Fleet המכשירים והאפליקציות שפועלות בו. בדף הזה מובאת סקירה כללית של תכונות האבטחה של צי הרכב, עם קישורים למידע נוסף.

ניהול הזהות

Google Cloud מספק את האפשרויות הבאות לאימות לאשכולות של Fleet בצורה פשוטה, עקבית ומאובטחת, בכל מקום שבו האשכולות נמצאים. אחרי שמגדירים אימות, אפשר להגדיר בקרת גישה מפורטת יותר לאשכולות באמצעות בקרת גישה מבוססת-תפקידים (RBAC) ב-Kubernetes.

אימות באמצעות Google Cloud

כל אשכולות GKE ב- Google Cloud מוגדרים לקבל Google Cloud זהויות של משתמשים וחשבונות שירות כברירת מחדל. אם הצי שלכם מכיל אשכולות בכמה סביבות, אתם יכולים להגדיר את שער Connect כך שמשתמשים וחשבונות שירות יוכלו גם לבצע אימות לכל אשכול רשום באמצעות מזהה Google Cloud .

במדריכים הבאים אפשר לקרוא מידע נוסף על הגדרה ושימוש באימות עם Google Cloud :

אימות באמצעות ספקים חיצוניים

אם אתם רוצים להשתמש בספק הזהויות הקיים של צד שלישי כדי לבצע אימות לאשכולות של צי, GKE Identity Service הוא שירות אימות שמאפשר לכם להשתמש בפתרונות הזהויות הקיימים שלכם בסביבות שונות. הוא תומך בכל ספקי OpenID Connect ‏ (OIDC) כמו Okta ו-Microsoft AD FS, וגם בתמיכת Preview בספקי LDAP בסביבות מסוימות. אפשר להגדיר את GKE Identity Service באשכולות בודדים או באמצעות הגדרה יחידה לכל צי האשכולות, במקומות שבהם האפשרות הזו נתמכת.

במדריכים הבאים מוסבר איך מגדירים ומשתמשים באימות של צד שלישי, כולל סביבות וספקים נתמכים:

אימות באמצעות אסימון Bearer

אם הפתרונות ש-Google מספקת לא מתאימים לארגון שלכם, אתם יכולים להגדיר אימות באמצעות חשבון שירות של Kubernetes ובאמצעות אסימון ה-bearer שלו כדי להתחבר. פרטים נוספים זמינים במאמר בנושא הגדרה באמצעות אסימון bearer.

ניהול האבטחה של הצי

‫Google Cloud מספק מגוון תכונות ומוצרים שמשפרים את האבטחה של צי המכונות ועומסי העבודה, כמו:

  • ‫Binary Authorization כדי לוודא שרק תמונות מהימנות נפרסות באוסף האשכולות
  • כללי מדיניות של רשת Kubernetes לשליטה בחיבורים בין קבוצות Pod
  • בקרת גישה פרטנית לשירותים ב-Cloud Service Mesh
  • לוח הבקרה של GKE Security Posture כדי לעקוב אחרי מצב האבטחה של האשכולות.

מעקב אחר רמת האבטחה של צי המכשירים

לוח הבקרה של GKE Security Posture עוזר לכם להעריך ולנהל את אשכולי GKE בצי שלכם כדי לטפל בבעיות אבטחה, ולקבל המלצות פרקטיות לפתרון הבעיות. היכולות כוללות ביקורת על ההגדרות.

במרכז הבקרה מוצגים בעיות שזוהו בכל האשכולות בצי שנבחר, ובכל אשכול GKE עצמאי בפרויקט שנבחר.

הגדרה של תכונות בלוח הבקרה של מצב האבטחה ברמת ה-Fleet

אפשר לנהל חלק מהתכונות של לוח הבקרה לאבטחה ברמת ה-Fleet, כך שכל האשכולות ב-Fleet יוכלו להשתמש באותן הגדרות ברירת מחדל לניטור אבטחה.

משאבים בנושא אבטחה של צי רכב

מידע נוסף על תכונות אבטחה של צי רכבים זמין במדריכים הבאים:

ניהול מדיניות האשכול

Policy Controller מאפשר לאכוף מדיניות שניתנת לתכנות מלא באשכולות שלכם. כללי המדיניות האלה פועלים כ "מגבלות" ומונעים שינויים בהגדרות של Kubernetes API שעלולים להפר את אמצעי הבקרה של האבטחה, התפעול או התאימות.

במסמכי העזרה של Policy Controller אפשר לקרוא מידע נוסף על הפעולות שאפשר לבצע באמצעות Policy Controller.