menu
arrow_back

Sécuriser les applications sur Kubernetes Engine : trois exemples

—/100

Checkpoints

arrow_forward

Deployment steps

Set up Nginx

Set up AppArmor-loader

Set up Pod-labeler

Sécuriser les applications sur Kubernetes Engine : trois exemples

1 heure 9 crédits

GSP482

Google Cloud – Ateliers adaptés au rythme de chacun

Présentation

Dans cet atelier, vous allez apprendre comment accorder différents niveaux de privilèges aux applications selon leurs exigences individuelles à l'aide des fonctionnalités de sécurité de Kubernetes Engine.

Lors de la configuration des paramètres de sécurité, il est nécessaire d'accorder aux applications le plus petit jeu de privilèges qui leur permette tout de même de fonctionner correctement. Des applications ayant plus de privilèges que nécessaire présentent un danger lorsqu'elles sont compromises. Dans un cluster Kubernetes, ces privilèges peuvent être regroupés dans les grands niveaux suivants :

  • Accès à l'hôte : décrit les autorisations dont dispose une application sur son nœud hôte, en dehors de son conteneur. Cette opération est contrôlée à l'aide des contextes de sécurité du pod et du conteneur, ainsi que des profils AppArmor.
  • Accès au réseau : décrit les autres ressources ou charges de travail auxquelles une application peut accéder en passant par le réseau. Cela est contrôlé avec NetworkPolicies.
  • Accès aux API Kubernetes : décrit les appels d'API qu'une application est autorisée à effectuer. L'accès aux API est contrôlé grâce au modèle de Contrôle des accès basé sur les rôles (CABR) avec les définitions de Role et de RoleBinding.

Dans les sections ci-dessous, vous découvrirez trois scénarios avec différentes exigences de sécurité à chacun de ces trois niveaux :

Scénario Accès à l'hôte Accès au réseau Accès aux API Kubernetes
Serveur Web renforcé (NGINX) Minimum Doit être capable de servir le port 80 Aucun
Boucle de contrôle Kubernetes (version de démonstration) Minimum Doit être capable d'accéder au serveur d'API Liste et pods correctifs
Daemonset privilégié (chargeur AppArmor) Privilégié Aucun Aucun

Cet atelier a été créé par les ingénieurs de GKE Helmsman pour vous aider à mieux comprendre la sécurité de GKE. Cliquez ici pour visualiser cette démonstration sur GitHub. Nous vous invitons tous à enrichir nos ressources !

Inscrivez-vous sur Qwiklabs pour consulter le reste de cet atelier, et bien plus encore.

  • Obtenez un accès temporaire à Google Cloud Console.
  • Plus de 200 ateliers, du niveau débutant jusqu'au niveau expert.
  • Fractionné pour vous permettre d'apprendre à votre rythme.
Inscrivez-vous pour démarrer cet atelier