Mengonfigurasi fitur dasbor postur keamanan GKE di tingkat fleet


Dasbor postur keamanan Google Kubernetes Engine (GKE) memberikan rekomendasi opini yang dapat ditindaklanjuti untuk meningkatkan postur keamanan cluster Anda. Jika telah mengaktifkan GKE Enterprise, Anda dapat mengaktifkan postur keamanan sebagai konfigurasi default fleet. Halaman ini menunjukkan cara mengonfigurasi default armada ini.

Anda dapat membuat setelan default tingkat armada untuk setelan dasbor postur keamanan berikut:

  • Tingkat standard pemindaian postur keamanan Kubernetes: audit cluster dan workload di fleet Anda untuk menemukan masalah konfigurasi keamanan umum.
  • Pemindaian kerentanan workload, tersedia di tingkatan berikut:
    • Pemindaian kerentanan OS workload (tingkat standard): memindai OS container untuk menemukan kerentanan yang diketahui.
    • Advanced vulnerability insights (tingkat enterprise): memindai OS container dan paket bahasa untuk mendeteksi kerentanan yang diketahui.

Untuk mempelajari cara mengonfigurasi setelan ini untuk setiap cluster, lihat referensi berikut:

Mengonfigurasi setelan default tingkat armada

Bagian ini menjelaskan cara mengonfigurasi fitur dasbor postur keamanan sebagai default tingkat armada. Setiap cluster baru yang Anda daftarkan ke fleet selama pembuatan cluster akan mengaktifkan fitur postur keamanan yang Anda tentukan. Setelan default tingkat fleet yang Anda konfigurasikan lebih diprioritaskan daripada setelan postur keamanan GKE default. Untuk melihat setelan default yang berlaku untuk edisi GKE Anda, lihat Tabel fitur khusus cluster.

Untuk mengonfigurasi setelan default tingkat grup untuk postur keamanan, selesaikan langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Feature Manager.

    Buka Pengelola Fitur

  2. Di panel Security Posture, klik Configure.

  3. Tinjau setelan tingkat armada Anda. Semua cluster baru yang Anda daftarkan ke fleet akan mewarisi setelan ini.

  4. Opsional: Untuk mengubah setelan default, klik Sesuaikan setelan armada. Pada dialog Customize fleet default configuration yang muncul, lakukan hal berikut:

    1. Untuk Audit konfigurasi, pilih apakah audit konfigurasi harus diaktifkan atau dinonaktifkan.
    2. Untuk Pemindaian kerentanan, pilih tingkat pemindaian kerentanan yang Anda inginkan; Nonaktif, Dasar, atau Lanjutan (direkomendasikan).
    3. Klik Simpan.

    Jika nanti Anda menonaktifkan konfigurasi tingkat fleet untuk fitur ini, workload saat ini di cluster anggota yang ada masih akan dipindai dan Anda dapat melihat masalah keamanan di dasbor postur keamanan. Namun, setiap cluster baru yang Anda buat di fleet tersebut tidak akan dipindai untuk menemukan masalah, kecuali jika Anda mengaktifkan fitur postur keamanan di cluster tersebut satu per satu.

  5. Untuk menerapkan setelan ke cluster baru, klik Konfigurasikan.

  6. Pada dialog konfirmasi, klik Confirm.

  7. Opsional: Sinkronkan cluster yang ada ke setelan default:

    1. Di daftar Cluster dalam fleet, pilih cluster yang ingin Anda sinkronkan.
    2. Klik Sinkronkan ke setelan armada, lalu klik Konfirmasi di dialog konfirmasi yang muncul. Operasi ini dapat memerlukan waktu beberapa menit untuk selesai.

gcloud

Pastikan Anda memiliki gcloud CLI versi 455.0.0 atau yang lebih baru.

Mengonfigurasi setelan default untuk armada baru

Anda dapat membuat grup kosong dengan fitur dasbor postur keamanan yang ingin diaktifkan.

  • Untuk membuat fleet dengan audit konfigurasi workload diaktifkan, jalankan perintah berikut:

    gcloud container fleet create --security-posture standard
    
  • Untuk membuat fleet dengan pemindaian kerentanan workload diaktifkan, jalankan perintah berikut:

    gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Ganti VULNERABILITY_SCANNING_TIER dengan salah satu nilai berikut:

    • standard: memindai OS penampung untuk mendeteksi kerentanan yang diketahui.
    • enterprise: memindai OS penampung dan paket bahasa untuk menemukan kerentanan yang diketahui.

Mengonfigurasi setelan default untuk fleet yang ada

  • Untuk mengaktifkan audit konfigurasi workload pada fleet yang ada, jalankan perintah berikut:

    gcloud container fleet update --security-posture standard
    
  • Untuk mengaktifkan pemindaian kerentanan workload di fleet yang ada, jalankan perintah berikut:

    gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Ganti VULNERABILITY_SCANNING_TIER dengan salah satu nilai berikut:

    • standard: memindai OS penampung untuk mendeteksi kerentanan yang diketahui.
    • enterprise: memindai OS penampung dan paket bahasa untuk menemukan kerentanan yang diketahui.
  • Untuk mengubah tingkat pemindaian kerentanan workload di fleet yang ada:

    1. Periksa setelan dasbor postur keamanan yang ada di fleet:

      gcloud container fleet describe
      
    2. Gunakan perintah update seperti yang dijelaskan sebelumnya dengan tingkat pemindaian beban kerja yang ingin Anda ubah:

      gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
      

Menonaktifkan fitur dasbor postur keamanan di tingkat fleet

  • Untuk menonaktifkan audit konfigurasi beban kerja, jalankan perintah berikut:

    gcloud container fleet update --security-posture disabled
    
  • Untuk menonaktifkan pemindaian kerentanan beban kerja, jalankan perintah berikut:

    gcloud container fleet update --workload-vulnerability-scanning disabled
    

Jika Anda menonaktifkan konfigurasi tingkat fleet untuk fitur ini, workload saat ini di cluster anggota yang ada masih akan dipindai dan Anda dapat melihat masalah keamanan di dasbor postur keamanan. Namun, setiap cluster baru yang Anda buat di fleet tersebut tidak akan dipindai untuk menemukan masalah, kecuali jika Anda mengaktifkan fitur postur keamanan di cluster tersebut satu per satu.

Langkah selanjutnya