Esta página descreve as suspensões e remoções de vários recursos de gerenciamento de postura de segurança e conformidade no Google Kubernetes Engine (GKE) e no GKE Enterprise. Essas informações se aplicam a você se você usa qualquer um dos seguintes recursos no console do Google Cloud:
- Painel de postura de segurança do GKE
- Painel de compliance do GKE (pré-lançamento)
Sobre os painéis de gerenciamento de postura
O GKE fornece painéis no console do Google Cloud para monitorar a postura de segurança dos clusters do GKE e quaisquer violações de compliance na frota. Esses painéis oferecem suporte aos seguintes recursos:
Painel de postura de segurança do GKE: monitore a postura de segurança dos clusters e das cargas de trabalho do GKE. Oferece suporte aos seguintes recursos:
Postura de segurança do Kubernetes: nível padrão
- Auditoria de configuração da carga de trabalho
- Exibição do boletim de segurança acionável (pré-lançamento)
Postura de segurança do Kubernetes: nível avançado
- GKE Threat Detection (pré-lançamento) (somente GKE Enterprise)
Verificação de vulnerabilidades da carga de trabalho: nível padrão
Verificação de vulnerabilidades da carga de trabalho: Advanced Vulnerability Insights
Questões da cadeia de suprimentos: autorização binária (pré-lançamento)
Painel do GKE Compliance (pré-lançamento) (somente GKE Enterprise): monitore o status de conformidade das cargas de trabalho com os padrões do setor, como os comparativos de mercado CIS para o GKE.
Recursos descontinuados
A partir de 28 de janeiro de 2025, recursos específicos de gerenciamento de postura serão descontinuados. A tabela a seguir lista os recursos descontinuados com datas de descontinuação, datas de remoção estimadas e links para saber mais.
| Capacidade | Data da suspensão do uso | Data da remoção | Saiba mais |
|---|---|---|---|
| Postura de segurança do Kubernetes: nível avançado (pré-lançamento) | 28 de janeiro de 2025 | 31 de março de 2025 | Postura de segurança do Kubernetes: nível avançado |
| Questões da cadeia de suprimentos: autorização binária (pré-lançamento) | 28 de janeiro de 2025 | 31 de março de 2025 | Questões da cadeia de suprimentos: autorização binária |
| Painel de compliance do GKE (pré-lançamento) | 28 de janeiro de 2025 | 30 de junho de 2025 | Painel de compliance |
| Verificação de vulnerabilidades da carga de trabalho | Edição GKE Standard: 23 de julho de 2024 | Edição GKE Standard: 31 de julho de 2025 | Verificação de vulnerabilidades da carga de trabalho |
O que acontece quando um capability é removido?
Após a data de remoção de um capability, as seguintes mudanças ocorrem:
- O console do Google Cloud não gera mais resultados para o recurso. Por exemplo, o GKE não gera novos resultados de detecção de ameaças do GKE após 31 de março de 2025.
- Não é possível visualizar os resultados no painel de gerenciamento de postura correspondente. Por exemplo, não será possível acessar os resultados de verificação de vulnerabilidade do SO do contêiner para clusters da edição padrão do GKE após 31 de julho de 2025.
- As descobertas do Security Command Center para o recurso recebem o estado
Inactive. As descobertas são excluídas após o período de retenção de dados do Security Command Center.
Os registros das suas descobertas permanecem no bucket de registro _Default no
Cloud Logging durante o
período de armazenamento de registros.
O que você deve fazer
Esta seção descreve as alternativas disponíveis que podem ser usadas para ter recursos de monitoramento semelhantes para clusters e cargas de trabalho.
Verificação de vulnerabilidades da carga de trabalho
A verificação de vulnerabilidades da carga de trabalho está disponível nos seguintes níveis:
- Nível padrão: verifique se há vulnerabilidades acionáveis no sistema operacional (SO) do contêiner.
- Advanced Vulnerability Insights: além da verificação de vulnerabilidades do SO do nível padrão, verifique se há vulnerabilidades acionáveis nos pacotes de linguagens do contêiner.
Os dois níveis de verificação de vulnerabilidades de carga de trabalho foram descontinuados na edição padrão do GKE a partir de 23 de julho de 2024. A partir de 31 de julho de 2025, apenas clusters do GKE Enterprise poderão usar a verificação de vulnerabilidades de carga de trabalho.
Para saber mais, consulte Remoção da verificação de vulnerabilidades da carga de trabalho no GKE Standard.
Postura de segurança do Kubernetes: nível avançado
O nível avançado do recurso de postura de segurança do Kubernetes mostra os resultados da detecção de ameaças do GKE (pré-lançamento). A detecção de ameaças do GKE avalia seus registros de auditoria em relação a um conjunto de regras para ameaças a clusters e cargas de trabalho. As ameaças ativas são exibidas no console do Google Cloud com informações sobre como remediar a ameaça.
A detecção de ameaças do GKE é gerada pela Detecção de ameaças a eventos do Security Command Center. Para continuar recebendo informações sobre ameaças ativas após 31 de março de 2025, faça o seguinte:
- Ativar o nível Premium ou Enterprise do Security Command Center
- Ativar o serviço de detecção de ameaças a eventos
- Conferir as descobertas da detecção de ameaças a eventos
Questões da cadeia de suprimentos: autorização binária
Se você ativar a API Binary Authorization em um projeto, o painel de postura de segurança do GKE vai mostrar os resultados das imagens de contêiner em execução que atendem a um dos seguintes critérios:
- Imagens que usam a tag
latestde forma implícita ou explícita. - Imagens por resumo que foram enviadas por upload ao Artifact Registry ou ao Container Registry (descontinuado) há mais de 30 dias.
Para continuar monitorando os contêineres em execução para esses problemas após 31 de março de 2025, faça o seguinte:
- Configure a autorização binária no cluster.
- Ative a verificação de atualização de imagem de validação contínua (pré-lançamento).
A configuração da autorização binária em um cluster impede a implantação de pods que
não especificam um resumo de imagem de contêiner para cada contêiner. Isso garante que as cargas de trabalho não usem a tag :latest ou omitam uma tag.
Painel de compliance do GKE
O painel de compliance do GKE é um recurso do GKE Enterprise que permite verificar seus clusters em relação a padrões do setor predefinidos, como os comparativos de mercado CIS do GKE.
A partir de 30 de junho de 2025, o painel de compliance do GKE não vai mais exibir resultados de violações de compliance em clusters qualificados. Não é possível ativar a auditoria de compliance para clusters novos ou atuais.
Para ter resultados semelhantes para violações de compliance, faça o seguinte:
- Ative o nível Premium ou Enterprise do Security Command Center
- Avaliar e informar a conformidade com os padrões de segurança