Google Cloud מספק מגוון תכונות לאבטחת צי המכשירים והאפליקציות שפועלות בו. בדף הזה מובאת סקירה כללית על תכונות האבטחה של צי הרכבים, עם קישורים למידע נוסף.
ניהול הזהות
Google Cloud מספק את האפשרויות הבאות לאימות לאשכולות של צי רכב בצורה פשוטה, עקבית ומאובטחת, בכל מקום שבו האשכולות נמצאים. אחרי שמגדירים אימות, אפשר להגדיר בקרת גישה מפורטת יותר לאשכולות באמצעות בקרת גישה מבוססת-תפקידים (RBAC) ב-Kubernetes.
אימות באמצעות Google Cloud
כל אשכולות GKE ב- Google Cloud מוגדרים לקבל Google Cloud זהויות של משתמשים וחשבונות שירות כברירת מחדל. אם הצי שלכם מכיל אשכולות בכמה סביבות, אתם יכולים להגדיר את שער Connect כך שמשתמשים וחשבונות שירות יוכלו גם לבצע אימות לכל אשכול רשום באמצעות מזהה Google Cloud .
במדריכים הבאים אפשר לקרוא מידע נוסף על הגדרה ושימוש באימות עם Google Cloud :
- הגדרת גישה לאשכול עבור
kubectl - התחברות לאשכולות רשומים באמצעות שער Connect
- הגדרת שער Connect
- שימוש בשער Connect
אימות באמצעות ספקים חיצוניים
אם אתם רוצים להשתמש בספק הזהויות הקיים של צד שלישי כדי לבצע אימות לאשכולות של צי, GKE Identity Service הוא שירות אימות שמאפשר לכם להשתמש בפתרונות הזהויות הקיימים שלכם בסביבות שונות. הוא תומך בכל ספקי OpenID Connect (OIDC) כמו Okta ו-Microsoft AD FS, וגם בתמיכת Preview בספקי LDAP בסביבות מסוימות. אפשר להגדיר את שירות הזהויות של GKE באשכולות בודדים או באמצעות הגדרה אחת לכל צי האשכולות, במקומות שבהם האפשרות הזו נתמכת.
במדריכים הבאים תוכלו לקרוא מידע נוסף על הגדרה ושימוש באימות צד שלישי, כולל סביבות וספקים נתמכים:
אימות באמצעות אסימון bearer
אם הפתרונות ש-Google מספקת לא מתאימים לארגון שלכם, אתם יכולים להגדיר אימות באמצעות חשבון שירות של Kubernetes ולהשתמש באסימון ה-bearer שלו כדי להיכנס. פרטים נוספים זמינים במאמר בנושא הגדרה באמצעות אסימון נושא.
ניהול האבטחה של הצי
Google Cloud מספק מגוון תכונות ומוצרים שמשפרים את האבטחה של צי הרכבים ועומסי העבודה, כמו:
- Binary Authorization כדי לוודא שרק תמונות מהימנות נפרסות באוסף האשכולות
- כללי מדיניות של רשת Kubernetes לשליטה בחיבורים בין קבוצות Pod
- בקרת גישה פרטנית לשירותים ב-Cloud Service Mesh
- לוח הבקרה של GKE Security Posture מאפשר לעקוב אחרי מצב האבטחה של האשכולות.
מעקב אחר רמת האבטחה של צי המכשירים
לוח הבקרה של GKE Security Posture עוזר לכם להעריך ולנהל את אשכולי GKE בצי שלכם כדי לטפל בבעיות אבטחה, ולקבל המלצות פרקטיות לפתרון הבעיות. היכולות כוללות ביקורת על ההגדרות.
במרכז הבקרה מוצגים בעיות שזוהו בכל האשכולות בצי שנבחר, ובכל אשכול GKE עצמאי בפרויקט שנבחר.
- פרטים ורשימה מלאה של היכולות מופיעים במאמר מידע על לוח הבקרה של מצב האבטחה.
- למידע על מחירים אפשר לעיין בתמחור של מרכז הבקרה 'עמדת אבטחה ב-GKE'.
הגדרה של תכונות בלוח הבקרה של מצב האבטחה ברמת הצי
אפשר לנהל חלק מהתכונות של לוח הבקרה לאבטחה ברמת הצי, כך שכל האשכולות בצי יוכלו להשתמש באותן הגדרות ברירת מחדל לניטור אבטחה.
- איך מגדירים את התכונות של לוח הבקרה של מצב האבטחה עבור צי המכשירים.
מקורות מידע בנושא אבטחת צי
מידע נוסף על תכונות האבטחה של צי הרכבים זמין במדריכים הבאים:
- Binary Authorization
- מדיניות רשת ב-Kubernetes
- אבטחת אפליקציות ב-Cloud Service Mesh:
- מידע על מרכז הבקרה של מצב האבטחה
ניהול מדיניות האשכול
Policy Controller מאפשר לאכוף מדיניות שניתנת לתכנות מלא באשכולות שלכם. כללי המדיניות האלה פועלים כ "מגבלות" ומונעים שינויים בהגדרות של Kubernetes API שעלולים להפר את אמצעי הבקרה של האבטחה, התפעול או התאימות.
במסמכי העזרה של Policy Controller אפשר לקרוא מידע נוסף על הפעולות שאפשר לבצע באמצעות Policy Controller.