Dasbor postur keamanan Google Kubernetes Engine (GKE) memberikan rekomendasi opini yang dapat ditindaklanjuti untuk meningkatkan postur keamanan cluster Anda. Jika telah mengaktifkan GKE Enterprise, Anda dapat mengaktifkan postur keamanan sebagai konfigurasi default fleet. Halaman ini menunjukkan cara mengonfigurasi default armada ini.
Anda dapat membuat setelan default tingkat armada untuk setelan dasbor postur keamanan berikut:
- Tingkat
standard
pemindaian postur keamanan Kubernetes: audit cluster dan workload di fleet Anda untuk menemukan masalah konfigurasi keamanan umum. - Pemindaian kerentanan workload, tersedia di tingkatan berikut:
- Pemindaian kerentanan OS workload (tingkat
standard
): memindai OS container untuk menemukan kerentanan yang diketahui. - Advanced vulnerability insights (tingkat
enterprise
): memindai OS container dan paket bahasa untuk mendeteksi kerentanan yang diketahui.
- Pemindaian kerentanan OS workload (tingkat
Untuk mempelajari cara mengonfigurasi setelan ini untuk setiap cluster, lihat referensi berikut:
- Melakukan audit workload secara otomatis untuk menemukan masalah konfigurasi
- Memindai workload secara otomatis untuk mencari kerentanan yang diketahui
Mengonfigurasi setelan default tingkat armada
Bagian ini menjelaskan cara mengonfigurasi fitur dasbor postur keamanan sebagai default tingkat armada. Setiap cluster baru yang Anda daftarkan ke fleet selama pembuatan cluster akan mengaktifkan fitur postur keamanan yang Anda tentukan. Setelan default tingkat fleet yang Anda konfigurasikan lebih diprioritaskan daripada setelan postur keamanan GKE default. Untuk melihat setelan default yang berlaku untuk edisi GKE Anda, lihat Tabel fitur khusus cluster.
Untuk mengonfigurasi setelan default tingkat grup untuk postur keamanan, selesaikan langkah-langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Feature Manager.
Di panel Security Posture, klik Configure.
Tinjau setelan tingkat armada Anda. Semua cluster baru yang Anda daftarkan ke fleet akan mewarisi setelan ini.
Opsional: Untuk mengubah setelan default, klik Sesuaikan setelan armada. Pada dialog Customize fleet default configuration yang muncul, lakukan hal berikut:
- Untuk Audit konfigurasi, pilih apakah audit konfigurasi harus diaktifkan atau dinonaktifkan.
- Untuk Pemindaian kerentanan, pilih tingkat pemindaian kerentanan yang Anda inginkan; Nonaktif, Dasar, atau Lanjutan (direkomendasikan).
- Klik Simpan.
Jika nanti Anda menonaktifkan konfigurasi tingkat fleet untuk fitur ini, workload saat ini di cluster anggota yang ada masih akan dipindai dan Anda dapat melihat masalah keamanan di dasbor postur keamanan. Namun, setiap cluster baru yang Anda buat di fleet tersebut tidak akan dipindai untuk menemukan masalah, kecuali jika Anda mengaktifkan fitur postur keamanan di cluster tersebut satu per satu.
Untuk menerapkan setelan ke cluster baru, klik Konfigurasikan.
Pada dialog konfirmasi, klik Confirm.
Opsional: Sinkronkan cluster yang ada ke setelan default:
- Di daftar Cluster dalam fleet, pilih cluster yang ingin Anda sinkronkan.
- Klik Sinkronkan ke setelan armada, lalu klik Konfirmasi di dialog konfirmasi yang muncul. Operasi ini dapat memerlukan waktu beberapa menit untuk selesai.
gcloud
Pastikan Anda memiliki gcloud CLI versi 455.0.0 atau yang lebih baru.
Mengonfigurasi setelan default untuk armada baru
Anda dapat membuat grup kosong dengan fitur dasbor postur keamanan yang ingin diaktifkan.
Untuk membuat fleet dengan audit konfigurasi workload diaktifkan, jalankan perintah berikut:
gcloud container fleet create --security-posture standard
Untuk membuat fleet dengan pemindaian kerentanan workload diaktifkan, jalankan perintah berikut:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Ganti
VULNERABILITY_SCANNING_TIER
dengan salah satu nilai berikut:standard
: memindai OS penampung untuk mendeteksi kerentanan yang diketahui.enterprise
: memindai OS penampung dan paket bahasa untuk menemukan kerentanan yang diketahui.
Mengonfigurasi setelan default untuk fleet yang ada
Untuk mengaktifkan audit konfigurasi workload pada fleet yang ada, jalankan perintah berikut:
gcloud container fleet update --security-posture standard
Untuk mengaktifkan pemindaian kerentanan workload di fleet yang ada, jalankan perintah berikut:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Ganti
VULNERABILITY_SCANNING_TIER
dengan salah satu nilai berikut:standard
: memindai OS penampung untuk mendeteksi kerentanan yang diketahui.enterprise
: memindai OS penampung dan paket bahasa untuk menemukan kerentanan yang diketahui.
Untuk mengubah tingkat pemindaian kerentanan workload di fleet yang ada:
Periksa setelan dasbor postur keamanan yang ada di fleet:
gcloud container fleet describe
Gunakan perintah
update
seperti yang dijelaskan sebelumnya dengan tingkat pemindaian beban kerja yang ingin Anda ubah:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Menonaktifkan fitur dasbor postur keamanan di tingkat fleet
Untuk menonaktifkan audit konfigurasi beban kerja, jalankan perintah berikut:
gcloud container fleet update --security-posture disabled
Untuk menonaktifkan pemindaian kerentanan beban kerja, jalankan perintah berikut:
gcloud container fleet update --workload-vulnerability-scanning disabled
Jika Anda menonaktifkan konfigurasi tingkat fleet untuk fitur ini, workload saat ini di cluster anggota yang ada masih akan dipindai dan Anda dapat melihat masalah keamanan di dasbor postur keamanan. Namun, setiap cluster baru yang Anda buat di fleet tersebut tidak akan dipindai untuk menemukan masalah, kecuali jika Anda mengaktifkan fitur postur keamanan di cluster tersebut satu per satu.
Langkah selanjutnya
- Pelajari berbagai fitur Google Cloud untuk mengamankan cluster dan workload Anda.
- Pelajari cara audit konfigurasi workload mendeteksi masalah konfigurasi keamanan umum.
- Pelajari cara pemindaian kerentanan workload memindai OS container dan paket bahasa aplikasi Anda untuk menemukan masalah keamanan.