Policy Controller-Dashboards verwenden

Auf dieser Seite wird erläutert, wie Sie mithilfe von Policy Controller-Dashboards Ihre Richtlinienabdeckung und Clusterverstöße ansehen können.

In der Google Cloud Console können Sie ein Dashboard mit Informationen zu Ihrer Richtlinienabdeckung aufrufen. Im Dashboard werden z. B. folgende Informationen angezeigt:

  • Die Anzahl der Cluster in einer Flotte (einschließlich nicht registrierter Cluster), in denen Policy Controller installiert ist.
  • Die Anzahl der Cluster mit installiertem Policy Controller, die Richtlinienverstöße enthalten.
  • Die Anzahl der Einschränkungen, die pro Erzwingungsaktion auf Ihre Cluster angewendet wurden.

Wenn Sie Policy Controller-Bundles verwenden, können Sie sich eine Übersicht über Ihre Compliance mit den Standards in einem oder mehreren Bundles ansehen. Diese Übersicht wird auf Flottenebene zusammengefasst und enthält auch Ihre nicht registrierten Cluster (Vorschau).

Hinweise

  1. Achten Sie darauf, dass Ihre Cluster bei einer Flotte registriert sind und Policy Controller in Ihren Clustern installiert ist.

  2. Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zu gewähren, um die Berechtigungen zu erhalten, die Sie für das Policy Controller-Dashboard benötigen:

    • GKE Hub-Betrachter (roles/gkehub.viewer) für das Projekt, das Ihre Flotte enthält
    • Monitoring Viewer (roles/monitoring.viewer) für jedes Projekt mit einem Cluster in Ihrer Flotte

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Policy Controller-Status ansehen

Informationen zu Ihrer Richtlinienabdeckung finden Sie in der Google Cloud Console.

  1. Rufen Sie in der Google Cloud Console im Abschnitt Posture Management (Verwaltung des Sicherheitsstatus) die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

    Auf dem Tab Dashboard finden Sie eine Übersicht Ihrer Policy Controller-Abdeckung mit den folgenden Informationen:

    • Policy Controller-Abdeckung zeigt die Anzahl der Cluster mit und ohne installierten Policy Controller.
    • Verstoßte Cluster zeigt die Anzahl der Cluster ohne Verstöße und die Anzahl der Cluster mit Verstößen. Die Verstöße basieren darauf, welche Einschränkungen auf den Cluster angewendet werden.
    • Die Aktion Erzwingung zeigt den in jeder Einschränkung angegebenen Aktionstyp an. Weitere Informationen zu Erzwingungsaktionen finden Sie unter Prüfung mithilfe von Einschränkungen.
    • Compliance nach Standards: Eine Übersicht über Ihre Compliance basierend auf den Standards in einem oder mehreren Policy Controller-Bundles. Wenn Sie keine Sets verwenden, wird in diesem Abschnitt der Status „100% nicht angewendet“ angezeigt.

  2. Ausführlichere Informationen zu Richtlinienverstößen in Ihrem Cluster finden Sie auf dem Tab Verstöße:

    1. Wählen Sie im Abschnitt Anzeigen nach eine der folgenden Optionen aus:

      • Einschränkung: Sehen Sie sich eine einfache Liste aller Einschränkungen mit Verstößen in Ihrem Cluster an.
      • Namespace: Zeigen Sie Einschränkungen mit Verstößen an, organisiert nach dem Namespace, der die Ressource mit einem Verstoß enthält.
      • Ressourcenart: Sehen Sie sich Einschränkungen mit Verstößen an, sortiert nach der Ressource mit einem Verstoß.

    2. Wählen Sie in einer beliebigen Ansicht den Namen der Einschränkung aus, den Sie aufrufen möchten.

      Der Tab Details enthält Informationen zum Verstoß, einschließlich der empfohlenen Maßnahme zur Behebung.

      Der Tab Betroffene Ressourcen enthält Informationen dazu, welche Ressourcen von der Einschränkung bewertet werden und Richtlinienverstöße haben.

Richtlinienergebnisse in Security Command Center ansehen

Nachdem Policy Controller installiert wurde, können Sie Richtlinienverstöße in Security Command Center ansehen. So können Sie Ihren Sicherheitsstatus für Ihre Google Cloud-Ressourcen und Ihre Kubernetes-Ressourcen an einem Ort ansehen. Dafür muss Security Command Center in Ihrer Organisation auf der Standard- oder Premium-Stufe aktiviert sein.

In Security Command Center werden Richtlinienverstöße als Misconfiguration Ergebnisse angezeigt. Die Kategorie und die nächsten Schritte für jedes Ergebnis stimmen mit der Beschreibung und den Abhilfeschritten der Einschränkung überein.

Weitere Informationen zur Verwendung von Policy Controller in Security Command Center finden Sie unter Ergebnisse von Policy Controller-Sicherheitslücken.