Auf dieser Seite werden die Einstellung und Entfernung verschiedener Funktionen zur Verwaltung der Sicherheits- und Compliance-Position in der Google Kubernetes Engine (GKE) und GKE Enterprise beschrieben. Diese Informationen gelten für Sie, wenn Sie eine der folgenden Funktionen in der Google Cloud Console verwenden:
- GKE-Sicherheitsstatus-Dashboard
- GKE-Compliance-Dashboard (Vorabversion)
Dashboards zur Risikobewertung
GKE bietet Dashboards in der Google Cloud Console, mit denen Sie den Sicherheitsstatus Ihrer GKE-Cluster und etwaige Compliance-Verstöße in Ihrer Flotte im Blick behalten können. Diese Dashboards unterstützen die folgenden Funktionen:
GKE-Dashboard für den Sicherheitsstatus: Hier können Sie den Sicherheitsstatus von GKE-Clustern und ‑Arbeitslasten im Blick behalten. Unterstützt die folgenden Funktionen:
Kubernetes-Sicherheitsstatus – Standardstufe:
- Prüfung der Arbeitslastkonfiguration
- Einblenden relevanter Sicherheitsbulletins (Vorabversion)
Kubernetes-Sicherheitsstatus – erweiterte Stufe:
- GKE-Bedrohungserkennung (Vorabversion) (nur GKE Enterprise)
Scannen auf Sicherheitslücken in Arbeitslasten – Standard-Stufe
Scannen von Arbeitslasten auf Sicherheitslücken – erweiterte Informationen zu Sicherheitslücken
Bedenken hinsichtlich der Lieferkette – Binärautorisierung (Vorabversion)
GKE-Compliance-Dashboard (Vorabversion) (nur GKE Enterprise): Mit diesem Dashboard können Sie den Compliance-Status Ihrer Arbeitslasten im Hinblick auf Branchenstandards wie die CIS-Benchmarks für GKE prüfen.
Eingestellte Funktionen
Ab dem 28. Januar 2025 werden bestimmte Funktionen zur Haltungsverwaltung eingestellt. In der folgenden Tabelle sind die eingestellten Funktionen mit Datum der Einstellung, geschätztem Datum der Entfernung und Links zu weiteren Informationen aufgeführt.
| Leistungsvermögen | Einstellungsdatum | Datum der Entfernung | Weitere Informationen |
|---|---|---|---|
| Kubernetes-Sicherheitsstatus – erweiterte Stufe (Vorabversion) | 28. Januar 2025 | 31. März 2025 | Kubernetes-Sicherheitsstatus – erweiterte Stufe |
| Bedenken hinsichtlich der Lieferkette – Binärautorisierung (Vorabversion) | 28. Januar 2025 | 31. März 2025 | Bedenken hinsichtlich der Lieferkette – Binärautorisierung |
| GKE-Compliance-Dashboard (Vorabversion) | 28. Januar 2025 | 30. Juni 2025 | Compliance-Dashboard |
| Scannen von Arbeitslasten auf Sicherheitslücken | GKE Standard-Edition: 23. Juli 2024 | GKE Standard-Version: 31. Juli 2025 | Scannen von Arbeitslasten auf Sicherheitslücken |
Was passiert, wenn eine Funktion entfernt wird?
Nach dem Entfernungsdatum einer Funktion treten die folgenden Änderungen in Kraft:
- In der Google Cloud Console werden keine neuen Ergebnisse für die Funktion mehr generiert. Nach dem 31. März 2025 werden beispielsweise keine neuen GKE-Bedrohungserkennungsergebnisse generiert.
- Vorhandene Ergebnisse können nicht im entsprechenden Dashboard für die Risikobewertung angezeigt werden. Nach dem 31. Juli 2025 können Sie beispielsweise keine Ergebnisse von Scans auf Container-Betriebssystemlücken mehr für Cluster der GKE Standard Edition aufrufen.
- Die Ergebnisse im Security Command Center für die Funktion erhalten den Status
Inactive. Ergebnisse werden nach dem Aufbewahrungszeitraum für Daten im Security Command Center gelöscht.
Die Logs zu Ihren Ergebnissen verbleiben für die Aufbewahrungsdauer im _Default-Log-Bucket in Cloud Logging.
Was Sie tun sollten
In diesem Abschnitt werden alle verfügbaren Alternativen beschrieben, mit denen Sie ähnliche Monitoring-Funktionen für Ihre Cluster und Arbeitslasten erhalten.
Scannen von Arbeitslasten auf Sicherheitslücken
Das Scannen von Arbeitslasten auf Sicherheitslücken ist in den folgenden Stufen verfügbar:
- Standardebene: Das Containerbetriebssystem wird auf umsetzbare Sicherheitslücken geprüft.
- Erweiterte Informationen zu Sicherheitslücken: Zusätzlich zum Scannen von Betriebssystemlücken der Standardstufe werden Container-Sprachpakete auf umsetzbare Sicherheitslücken geprüft.
Beide Stufen des Scannens auf Sicherheitslücken in Arbeitslasten werden in der GKE Standard Edition ab dem 23. Juli 2024 eingestellt. Ab dem 31. Juli 2025 können nur noch GKE Enterprise-Cluster zum Scannen von Arbeitslasten auf Sicherheitslücken verwendet werden.
Weitere Informationen finden Sie unter Entfernen des Scannens auf Sicherheitslücken in Arbeitslasten in der GKE Standard Edition.
Kubernetes-Sicherheitsstatus – erweiterte Stufe
In der erweiterten Stufe der Funktion „Kubernetes-Sicherheitsstatus“ werden Ergebnisse der GKE-Bedrohungserkennung (Vorabversion) angezeigt. Die GKE-Bedrohungserkennung wertet Ihre Audit-Logs anhand einer Reihe von Regeln für Cluster- und Arbeitslastbedrohungen aus. Aktive Bedrohungen werden in der Google Cloud Console mit Informationen zur Behebung der Bedrohung angezeigt.
Die GKE-Bedrohungserkennung basiert auf der Event Threat Detection-Funktion von Security Command Center. So erhalten Sie nach dem 31. März 2025 weiterhin Informationen zu aktiven Bedrohungen:
- Aktivieren Sie entweder die Premium- oder die Enterprise-Stufe von Security Command Center.
- Dienst „Ereignis-Bedrohungserkennung“ aktivieren
- Ergebnisse der Event Threat Detection ansehen
Bedenken hinsichtlich der Lieferkette – Binäre Autorisierung
Wenn Sie die Binary Authorization API in einem Projekt aktivieren, werden im GKE-Dashboard für den Sicherheitsstatus Ergebnisse für ausgeführte Container-Images angezeigt, die eines der folgenden Kriterien erfüllen:
- Bilder, in denen das
latest-Tag implizit oder explizit verwendet wird - Images nach Digest, die vor mehr als 30 Tagen in Artifact Registry oder Container Registry hochgeladen wurden (eingestellt)
Wenn Sie Ihre laufenden Container auch nach dem 31. März 2025 auf diese Probleme überwachen möchten, gehen Sie so vor:
- Richten Sie die Binärautorisierung in Ihrem Cluster ein.
- Aktualitätsprüfung für Bilder für die kontinuierliche Validierung aktivieren (Vorabversion).
Wenn Sie die Binärautorisierung in einem Cluster einrichten, können Sie keine Pods bereitstellen, für die nicht für jeden Container ein Container-Image-Digest angegeben ist. So wird sichergestellt, dass in Arbeitslasten weder das :latest-Tag verwendet noch ein Tag ausgelassen wird.
GKE-Compliance-Dashboard
Das GKE-Compliance-Dashboard ist eine GKE Enterprise-Funktion, mit der Sie Ihre Cluster anhand vordefinierter Branchenstandards wie den CIS-Benchmarks für GKE prüfen können.
Ab dem 30. Juni 2025 werden im GKE-Compliance-Dashboard keine Ergebnisse für Compliance-Verstöße in unterstützten Clustern mehr angezeigt. Sie können die Compliance-Prüfung nicht für neue oder vorhandene Cluster aktivieren.
So rufen Sie ähnliche Ergebnisse für Verstöße gegen die Compliance ab:
- Aktivieren Sie entweder die Premium- oder die Enterprise-Stufe von Security Command Center.
- Compliance mit Sicherheitsstandards prüfen und melden