云服务器价格_云数据库_云主机【优惠】最新活动-搜集站云资讯

服务器_netty服务器_价格

小七 141 0

数据上云_数据库_云服务器可以怎么玩

在谷歌,我们喜欢将容器安全分为三大支柱:安全开发(保护身份、秘密和网络的基础设施安全);安全构建和部署(无漏洞图像,验证部署内容);安全运行(隔离工作负载、扩展和识别生产中的恶意容器)。这些支柱涵盖了容器的整个生命周期,并有助于确保端到端的安全性。

我们一直在努力使您在开发、构建、部署和运行容器时更容易确保安全性,同时在Google Kubernetes引擎和整个Google云中提供新产品和功能。以下是我们最近在下一个'19发布的内容,以及您如何将其用于您的集装箱部署,从而减少加密劫持,并有更多的时间观看鲸鱼,因为它是。

安全的发展,通过使身份和秘密管理更容易,手机自助建站,GKE中的一个常见难点是从一个容器工作负载到Google云上的另一个服务(如cloudsql)的身份验证。传统上,大数据和云计算,有两种主要的方法可以做到这一点。首先,通过过度设置权限(例如,使用节点的内置服务帐户进行身份验证),但这会在pod受损的情况下产生不必要的安全风险。第二,通过创建一个新的服务帐户标识,并将其密钥存储为机密,然后将该机密注入pod—这是一个麻烦的解决方案。

通过即将推出的workload identity功能,您可以从Kubernetes pods使用Google IAM服务帐户,而无需管理任何机密。使用工作负载标识,Kubernetes服务帐户与Google服务帐户相关联,当具有该Kubernetes服务帐户的pod使用应用程序的默认凭据时,将发生令牌交换,并为pod提供指定服务帐户的短期令牌。这有助于您更好地确定哪些工作负载可以访问基础结构中的哪些其他服务。

另一个难点是通过Kubernetes RBAC授予和取消用户访问权限。Kubernetes-RBAC是Kubernetes的核心组件,对细粒度访问控制非常重要。但是,您以前只能将角色授予GCP用户帐户或云IAM服务帐户。现在,您可以在测试版中使用googlegroups进行GKE。任何Google组现在都可以在GKE中的RBAC规则中使用,前提是云标识管理员已经启用了该组以在访问控制规则中使用。这使您可以使用现有组通过单个规则提供对大型用户集的访问,同时确保专门用于电子邮件分发的敏感组保持私有。Google Groups for GKE极大地简化了RBAC和帐户管理。

关于您的机密,我们在几个月前发布了另一个安全措施来保护这些机密,如何学习大数据,即应用层机密加密(beta),它允许您使用云KMS中的密钥来保护GKE中的机密。

安全地构建和部署,并具有良好的保护软件供应链明年的另一个重点领域是完善我们的安全软件供应链产品,包括即将推出的容器注册表漏洞扫描和二进制授权的通用性。

容器注册表漏洞扫描查看您的私有注册表中的图像,以查找来自多个CVE数据库的已知常见漏洞和暴露(CVE)。它在注册表中显示结果,包括是否有可用的修复程序,以便您可以采取措施。当向注册表中添加新图像时,它会执行此扫描,当向数据库中添加新漏洞时,它也会对现有图像执行此扫描。GA中的新功能是支持更多操作系统;容器注册表漏洞扫描现在可用于Debian、Ubuntu、Red Hat Enterprise Linux、CentOS和Alpine映像。

二进制授权是一种部署时安全控制,高返利页游,可确保Kubernetes引擎上只部署受信任的容器映像。二进制授权允许您定义部署需求,例如签名图像和所需扫描,以便只有经过验证的图像集成到构建和发布过程中。随着GA的发布,二进制授权引入了三个新特性:

由于隔离和早期警告,可以安全运行

您不能总是控制工作负载的内容,也不能完全选择环境中的最终内容。例如,您可能从客户或第三方处获取容器。当您运行不受信任的代码时,尤其是在多租户环境中,您希望能够相信您的工作负载之间的界限是强大的。即将测试的GKE Sandbox使用Runtime类将Google的gVisor沙盒技术带到GKE中。这为您提供了容器化工作负载之间的第二层防御,而无需更改应用程序、新的体系结构模型或增加复杂性。当受损容器获得对主机和其他容器中的数据的访问权限时,任何在容器中运行敏感工作负载的人都会担心容器越狱。GKE Sandbox减少了容器直接与主机交互的需要,缩小了主机泄露的攻击面,并限制了恶意参与者的移动。

不管您运行的是自己的(受信任的)容器,淘客宝,还是不受信任的容器,您都希望锁定Kubernetes配置。我们不断更新我们的强化指南,引导您遵循最佳实践。接下来,我们还介绍了一种更简单的安全健康分析方法(alpha),它为Google云中常见的错误配置(包括GKE强化指南中讨论的错误配置)提供自动安全检查。这些检查的结果在云安全命令中心(Cloud SCC)中报告,因此您可以在一个地方查看集群的安全报告。(不要忘记,我们还有许多合作伙伴提供容器运行时安全性,他们直接与云SCC集成!)

除了产品公告之外,下一个19年也是一个学习集装箱安全的好地方。如果你错过了他们,抓住所有最好的集装箱安全内容的录音:

下一个'19是我们努力提高集装箱安全的里程碑。明年再见!

本文地址: /zhuji/57274.html
版权声明:本文发布于收集站云 内容均来源于互联网 如有侵权联系删除

上一篇:云主机_华为云空间已满怎么办_优惠券

下一篇:企业网站_腾讯云镜像_学生机

相关文章