このページでは、Google Kubernetes Engine(GKE)と GKE Enterprise のさまざまなセキュリティ対策管理機能とコンプライアンス対策管理機能の非推奨化と削除について説明します。この情報は、Google Cloud コンソールで次のいずれかの機能を使用している場合に適用されます。
ポスチャー管理ダッシュボードについて
GKE には、GKE クラスタのセキュリティ対策とフリートのコンプライアンス違反をモニタリングするためのダッシュボードが Google Cloud コンソールに用意されています。これらのダッシュボードは、次の機能をサポートしています。
GKE セキュリティ対策ダッシュボード: GKE クラスタとワークロードのセキュリティ対策をモニタリングします。次の機能をサポートしています。
Kubernetes セキュリティ ポスチャー - スタンダード ティア:
- ワークロード構成の監査
- 実行可能なセキュリティに関する公開情報の表示(プレビュー)
Kubernetes セキュリティ ポスチャー - Advanced ティア:
- GKE Threat Detection(プレビュー)(GKE Enterprise のみ)
ワークロードの脆弱性スキャン - スタンダード ティア
ワークロードの脆弱性スキャン - 高度な脆弱性分析情報
サプライ チェーンの懸念 - Binary Authorization(プレビュー)
GKE Compliance ダッシュボード(プレビュー)(GKE Enterprise のみ): GKE の CIS Benchmark などの業界標準に対するワークロードのコンプライアンス ステータスをモニタリングします。
サポートが終了した機能
2025 年 1 月 28 日より、特定の姿勢管理機能はサポートが終了します。次の表に、非推奨の機能と、非推奨日、削除予定日、詳細を確認するためのリンクを示します。
| 能力 | サポート終了日 | 削除日 | 詳細 |
|---|---|---|---|
| Kubernetes のセキュリティ対策 - Advanced ティア(プレビュー) | 2025 年 1 月 28 日 | 2025 年 3 月 31 日 | Kubernetes のセキュリティ対策 - Advanced ティア |
| サプライ チェーンの懸念 - Binary Authorization(プレビュー) | 2025 年 1 月 28 日 | 2025 年 3 月 31 日 | サプライ チェーンの懸念 - Binary Authorization |
| GKE Compliance ダッシュボード(プレビュー) | 2025 年 1 月 28 日 | 2025 年 6 月 30 日 | コンプライアンス ダッシュボード |
| ワークロード脆弱性スキャン | GKE Standard エディション: 2024 年 7 月 23 日 | GKE Standard エディション: 2025 年 7 月 31 日 | ワークロードの脆弱性スキャン |
権限を削除するとどうなりますか?
機能の削除日以降、次の変更が行われます。
- Google Cloud コンソールでは、この機能の新しい結果は生成されなくなります。たとえば、2025 年 3 月 31 日以降、GKE は新しい GKE Threat Detection の結果を生成しません。
- 対応する対策管理ダッシュボードで既存の結果を確認することはできません。たとえば、2025 年 7 月 31 日以降、GKE Standard Edition クラスタの既存のコンテナ OS 脆弱性スキャン結果を表示することはできません。
- 機能の Security Command Center の検出結果は、
Inactive状態になります。検出結果は、Security Command Center のデータ保持期間が経過すると削除されます。
検出結果のログは、ログの保持期間にわたって Cloud Logging の _Default ログバケットに保持されます。
お客様側で必要な操作
このセクションでは、クラスタとワークロードで同様のモニタリング機能を実現するために使用できる代替手段について説明します。
ワークロード脆弱性スキャン
ワークロードの脆弱性スキャンは、次のティアで使用できます。
- 標準ティア: コンテナ オペレーティング システム(OS)をスキャンして、対処可能な脆弱性を探します。
- Advanced Vulnerability Insights: 標準ティアの OS 脆弱性スキャンに加えて、コンテナ言語パッケージをスキャンして、対処可能な脆弱性を検出します。
ワークロードの脆弱性スキャンの両方のティアは、2024 年 7 月 23 日をもって GKE Standard エディションで非推奨になります。2025 年 7 月 31 日以降、ワークロード脆弱性スキャンを使用できるのは GKE Enterprise クラスタのみです。
詳細については、GKE Standard Edition でのワークロードの脆弱性スキャンの廃止をご覧ください。
Kubernetes セキュリティ ポスチャー - Advanced ティア
Kubernetes セキュリティ対策機能の高度な階層には、GKE Threat Detection(プレビュー版)の検出結果が表示されます。GKE の脅威検出機能は、監査ログをクラスタとワークロードの脅威に関する一連のルールと照らし合わせて評価します。アクティブな脅威は、Google Cloud コンソールに脅威の修正方法とともに表示されます。
GKE の脅威検出は、Security Command Center の Event Threat Detection を利用しています。2025 年 3 月 31 日以降も未対応の脅威に関する情報を引き続き取得するには、次の操作を行います。
- Security Command Center の Premium ティアまたは Enterprise ティアを有効にする
- Event Threat Detection サービスを有効にする
- Event Threat Detection の検出結果を表示する
サプライ チェーンの懸念 - Binary Authorization
プロジェクトで Binary Authorization API を有効にすると、GKE セキュリティ対策ダッシュボードに、次のいずれかの条件を満たす実行中のコンテナ イメージの結果が表示されます。
- 暗黙的または明示的に
latestタグを使用するイメージ。 - 30 日以上前に Artifact Registry または Container Registry(非推奨)にアップロードされたダイジェストによるイメージ。
2025 年 3 月 31 日以降も、実行中のコンテナでこれらの問題をモニタリングするには、次の操作を行います。
クラスタに Binary Authorization を設定すると、コンテナごとにコンテナ イメージ ダイジェストが指定されていない Pod をデプロイできなくなります。これにより、ワークロードで :latest タグが使用されたり、タグが省略されたりすることはありません。
GKE Compliance ダッシュボード
GKE Compliance ダッシュボードは、GKE の CIS Benchmark などの事前定義された業界標準とクラスタをスキャンできる GKE Enterprise の機能です。
2025 年 6 月 30 日より、GKE Compliance ダッシュボードに、対象となるクラスタのコンプライアンス違反の結果が表示されなくなります。新規または既存のクラスタでコンプライアンスの監査を有効にすることはできません。
コンプライアンス違反について同様の結果を取得するには、次の操作を行います。