弃用的安全状况管理功能

本页介绍了 Google Kubernetes Engine (GKE) 和 GKE Enterprise 中各种安全状况管理和合规性状况管理功能的弃用和移除。如果您在 Google Cloud 控制台中使用以下任一功能,则应遵守这些信息:

状态管理信息中心简介

GKE 在 Google Cloud 控制台中提供了信息中心,用于监控 GKE 集群的安全状况以及您的舰队中的任何违规行为。这些信息中心支持以下功能:

  • GKE 安全状况信息中心:监控 GKE 集群和工作负载的安全状况。支持以下功能:

    • Kubernetes 安全状况 - 标准层级:

      • 工作负载配置审核
      • 实用的安全公告呈现(预览版)

    • Kubernetes 安全状况 - 高级层级:

      • GKE 威胁检测(预览版)(仅限 GKE Enterprise)

    • 工作负载漏洞扫描 - 标准层级

    • 工作负载漏洞扫描 - Advanced Vulnerability Insights

    • 供应链问题 - Binary Authorization(预览版)

  • GKE 合规性信息中心(预览版)(仅限 GKE Enterprise):监控工作负载是否符合行业标准(例如适用于 GKE 的 CIS 基准)的合规性状态。

已弃用的功能

自 2025 年 1 月 28 日起,我们将弃用特定的姿势管理功能。下表列出了已弃用的功能,以及弃用日期、预计移除日期和了解详情链接。

能力 弃用日期 移除日期 了解详情
Kubernetes 安全状况 - 高级层级(预览版) 2025 年 1 月 28 日 2025 年 3 月 31 日 Kubernetes 安全状况 - 高级层级
供应链问题 - Binary Authorization(预览版) 2025 年 1 月 28 日 2025 年 3 月 31 日 供应链问题 - Binary Authorization
GKE 合规性信息中心(预览版) 2025 年 1 月 28 日 2025 年 6 月 30 日 合规性信息中心
工作负载漏洞扫描 GKE Standard 版本:2024 年 7 月 23 日 GKE Standard 版本:2025 年 7 月 31 日 工作负载漏洞扫描

移除功能后会出现什么情况?

在功能的移除日期之后,会发生以下变化:

  • Google Cloud 控制台不再为此功能生成新结果。例如,GKE 在 2025 年 3 月 31 日之后不会生成新的 GKE 威胁检测结果。
  • 您无法在相应的状态管理信息中心内查看现有结果。例如,在 2025 年 7 月 31 日之后,您将无法查看 GKE 标准版集群的现有容器操作系统漏洞扫描结果。
  • 相应 capability 的 Security Command Center 发现结果会获得 Inactive 状态。在 Security Command Center 数据保留期限过后,系统会删除发现结果。

相应发现的日志会在 Cloud Logging 的 _Default 日志存储分区中保留 log retention period(日志保留期限)。

您应执行的操作

本部分介绍了可用于为集群和工作负载提供类似监控功能的所有可用替代方案。

工作负载漏洞扫描

工作负载漏洞扫描可在以下层级中使用:

  • 标准层级:扫描容器操作系统 (OS) 以查找可利用漏洞。
  • 高级漏洞数据分析:除了标准层级的操作系统漏洞扫描之外,还会扫描容器语言包以查找可利用的漏洞。

自 2024 年 7 月 23 日起,GKE Standard 版中的工作负载漏洞扫描的两个层级都已废弃。自 2025 年 7 月 31 日起,只有 GKE Enterprise 集群才能使用工作负载漏洞扫描功能。

如需了解详情,请参阅从 GKE Standard 版本中移除工作负载漏洞扫描

Kubernetes 安全状况 - 高级层级

Kubernetes 安全状况高级层级会显示 GKE 威胁检测(预览版)的发现结果。GKE 威胁检测功能会根据一组针对集群和工作负载威胁的规则来评估您的审核日志。活跃威胁会显示在 Google Cloud 控制台中,并附带有关如何补救威胁的信息。

GKE 威胁检测由 Security Command Center Event Threat Detection 提供支持。如需在 2025 年 3 月 31 日之后继续获取有关活跃威胁的信息,请执行以下操作:

  1. 激活 Security Command Center 的高级层级或企业层级
  2. 启用 Event Threat Detection 服务
  3. 查看 Event Threat Detection 发现结果

供应链问题 - Binary Authorization

如果您在项目中启用 Binary Authorization API,GKE 安全状况信息中心会显示符合以下任一条件的正在运行的容器映像的结果:

  • 隐式或显式使用 latest 标记的图片。
  • 超过 30 天前上传到 Artifact Registry 或 Container Registry(已弃用)的按摘要的映像。

如需在 2025 年 3 月 31 日之后继续监控正在运行的容器是否存在这些问题,请执行以下操作:

  1. 在集群中设置 Binary Authorization
  2. 启用持续验证映像新鲜度检查(预览版)。

在集群中设置 Binary Authorization 后,您将无法部署未为每个容器指定容器映像摘要的 Pod。这可确保工作负载不会使用 :latest 标记或省略标记。

GKE Compliance 信息中心

GKE 合规性信息中心是 GKE Enterprise 的一项功能,可让您根据预定义的行业标准(例如适用于 GKE 的 CIS 基准)扫描集群。

自 2025 年 6 月 30 日起,GKE Compliance 信息中心将不再显示符合条件的集群中的合规性违规结果。您无法为新集群或现有集群启用合规性审核。

如需针对违反合规性的情况获取类似结果,请执行以下操作:

  1. 激活 Security Command Center 的高级层级或企业层级
  2. 评估和报告是否符合安全标准