Configurar os recursos do painel de postura de segurança do GKE no nível da frota


O painel de postura de segurança do Google Kubernetes Engine (GKE) fornece recomendações opinativas e acionáveis para melhorar a postura de segurança dos seus clusters. Se você tiver ativado o GKE Enterprise, poderá ativar a postura de segurança como uma configuração padrão da frota. Nesta página, mostramos como configurar esses padrões da frota.

É possível criar padrões no nível da frota para as seguintes configurações do painel de postura de segurança:

  • Verificação de postura de segurança do Kubernetes no nível standard: faça a auditoria dos clusters e das cargas de trabalho na sua frota em busca de preocupações comuns com a configuração de segurança.
  • Verificação de vulnerabilidades da carga de trabalho, que está disponível nos seguintes níveis:
    • Verificação de vulnerabilidades do SO da carga de trabalho (nível standard): verifique se há vulnerabilidades conhecidas no SO do contêiner.
    • Advanced Vulnerability Insights (nível enterprise): verifique se há vulnerabilidades conhecidas no SO e nos pacotes de linguagens do contêiner.

Para saber como definir essas configurações para clusters individuais, consulte os recursos a seguir:

Configurar padrões no nível da frota

Nesta seção, descrevemos como configurar os recursos do painel de postura de segurança como padrões no nível da frota. Todos os clusters novos registrados em uma frota durante a criação deles têm os recursos de postura de segurança especificados ativados. As configurações padrão da frota que você definir têm prioridade sobre qualquer configuração padrão de postura de segurança do GKE. Para acessar o padrão que se aplicam à sua edição do GKE, consulte Tabela de recursos específicos do cluster.

Para configurar os padrões da frota para a postura de segurança, siga estas etapas:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de recursos.

    Acessar o gerenciador de recursos

  2. No painel Security posture, clique em Configure.

  3. Revisar as configurações da frota Todos os novos clusters registrados na frota vão herdar essas configurações.

  4. Opcional: para mudar as configurações padrão, clique em Personalizar configurações da frota. Na caixa de diálogo Personalizar a configuração padrão da frota que aparece, faça o seguinte:

    1. Para auditoria de configuração, escolha se a auditoria de configuração precisa ser ativada ou desativada.
    2. Para Verificação de vulnerabilidades, selecione o nível de verificação de vulnerabilidades que você quer. Desativado, Básico ou Avançado (recomendado).
    3. Clique em Save.

    Se você desativar a configuração no nível da frota para esses recursos, as cargas de trabalho atuais nos clusters de membros atuais ainda serão verificadas. Além disso, será possível questões de segurança no painel de postura de segurança. No entanto, os novos clusters criados nela não serão verificados quanto a problemas, a menos que você ative os recursos de postura de segurança individualmente.

  5. Para aplicar a configuração a novos clusters, clique em Configurar.

  6. Na caixa de diálogo, clique em Confirmar.

  7. Opcional: sincronize os clusters atuais com as configurações padrão:

    1. Na lista Clusters na frota, selecione os clusters que você quer sincronizar.
    2. Clique em Sincronizar com as configurações da frota e em Confirmar na caixa de diálogo de confirmação mostrada. Esta operação leva alguns minutos para ser concluída.

gcloud

Verifique se você tem a CLI gcloud versão 455.0.0 ou mais recente.

Configurar padrões para uma nova frota

É possível criar uma frota vazia com os recursos do painel de postura de segurança que você quer ativar.

  • Para criar uma frota com a auditoria de configuração da carga de trabalho ativada, execute o seguinte comando:

    gcloud container fleet create --security-posture standard
    
  • Para criar uma frota com a verificação de vulnerabilidades de carga de trabalho ativada, execute o seguinte comando:

    gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Substitua VULNERABILITY_SCANNING_TIER por um dos seguintes valores:

    • standard: verifica se há vulnerabilidades conhecidas no SO do contêiner.
    • enterprise: verifica se há vulnerabilidades conhecidas no SO do contêiner e os pacotes de linguagens.

Configurar padrões para uma frota atual

  • Para ativar a auditoria de configuração da carga de trabalho em uma frota atual, execute o seguinte comando:

    gcloud container fleet update --security-posture standard
    
  • Para ativar a verificação de vulnerabilidades da carga de trabalho em uma frota existente, execute o seguinte comando:

    gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Substitua VULNERABILITY_SCANNING_TIER por um dos seguintes valores:

    • standard: verifica se há vulnerabilidades conhecidas no SO do contêiner.
    • enterprise: verifica se há vulnerabilidades conhecidas no SO do contêiner e os pacotes de linguagens.
  • Para mudar o nível de verificação de vulnerabilidades da carga de trabalho em uma frota atual:

    1. Verifique as configurações do painel de postura de segurança em uma frota:

      gcloud container fleet describe
      
    2. Use o comando update, conforme descrito anteriormente, com o nível de verificação de vulnerabilidades da carga de trabalho para o qual você quer mudar:

      gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
      

Desativar recursos do painel de postura de segurança no nível da frota

  • Para desativar a auditoria de configuração da carga de trabalho, execute o seguinte comando:

    gcloud container fleet update --security-posture disabled
    
  • Para desativar a verificação de vulnerabilidades da carga de trabalho, execute o seguinte comando:

    gcloud container fleet update --workload-vulnerability-scanning disabled
    

Se você desativar a configuração no nível da frota para esses recursos, as cargas de trabalho atuais nos clusters de membros atuais ainda serão verificadas. Além disso, será possível questões de segurança no painel de postura de segurança. No entanto, os novos clusters criados nela não serão verificados quanto a problemas, a menos que você ative os recursos de postura de segurança individualmente.

A seguir