Configurer les fonctionnalités du tableau de bord de stratégie de sécurité GKE au niveau du parc


Le tableau de bord de stratégie de sécurité de Google Kubernetes Engine (GKE) vous fournit des recommandations avisées et exploitables pour améliorer la stratégie de sécurité de vos clusters. Si vous avez activé GKE Enterprise, vous pouvez activer la stratégie de sécurité en tant que configuration par défaut du parc. Cette page vous explique comment configurer ces valeurs par défaut du parc.

Vous pouvez créer des valeurs par défaut au niveau du parc pour les paramètres suivants du tableau de bord de stratégie de sécurité :

  • Analyse de la stratégie de sécurité Kubernetes au niveau standard : auditez les clusters et les charges de travail de votre parc pour détecter les problèmes de configuration de sécurité courants.
  • Analyse des failles des charges de travail, disponible aux niveaux suivants :
    • Analyse des failles du système d'exploitation de la charge de travail (niveau standard) : analysez les failles connues de l'OS du conteneur.
    • Advanced Vulnerability Insights (niveaux enterprise) : analysez les failles connues des packages de langage et du système d'exploitation de conteneurs.

Pour savoir comment configurer ces paramètres pour des clusters individuels, consultez les ressources suivantes :

Configurer les valeurs par défaut au niveau du parc

Cette section explique comment configurer les fonctionnalités du tableau de bord de stratégie de sécurité en tant que valeurs par défaut au niveau du parc. Les fonctionnalités de stratégie de sécurité spécifiées sont activées pour tous les nouveaux clusters que vous enregistrez dans un parc lors de la création d'un cluster. Les paramètres par défaut au niveau du parc que vous configurez ont la priorité sur les paramètres par défaut de la stratégie de sécurité GKE. Pour afficher les paramètres par défaut qui s'appliquent à votre édition de GKE, consultez le tableau des fonctionnalités spécifiques au cluster.

Pour configurer des valeurs par défaut au niveau du parc pour la stratégie de sécurité, procédez comme suit :

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de fonctionnalités.

    Accéder au gestionnaire de fonctionnalités

  2. Dans le volet Stratégie de sécurité, cliquez sur Configurer.

  3. Vérifiez vos paramètres au niveau du parc. Tous les nouveaux clusters que vous enregistrerez dans le parc hériteront de ces paramètres.

  4. Facultatif : Pour modifier les paramètres par défaut, cliquez sur Personnaliser les paramètres du parc. Dans la boîte de dialogue Personnaliser la configuration par défaut du parc qui s'affiche, procédez comme suit :

    1. Dans le champ Audit de configuration, indiquez si l'audit de configuration doit être activé ou désactivé.
    2. Pour l'analyse des failles, sélectionnez le niveau d'analyse des failles souhaité : Désactivé, De base ou Avancé (recommandé).
    3. Cliquez sur Enregistrer.

    Si vous désactivez la configuration au niveau du parc pour ces fonctionnalités ultérieurement, vos charges de travail actuelles dans les clusters membres existants sont toujours analysées et vous pouvez voir les problèmes de sécurité dans le tableau de bord de stratégie de sécurité. Toutefois, les clusters que vous créez dans ce parc ne seront pas analysés pour détecter des problèmes, sauf si vous activez les fonctionnalités de stratégie de sécurité individuellement.

  5. Pour appliquer le paramètre aux nouveaux clusters, cliquez sur Configurer.

  6. Dans la boîte de dialogue de confirmation, cliquez sur Confirmer.

  7. Facultatif : Synchronisez les clusters existants avec les paramètres par défaut :

    1. Dans la liste Clusters du parc, sélectionnez les clusters que vous souhaitez synchroniser.
    2. Cliquez sur Synchroniser avec les paramètres du parc, puis sur Confirmer dans la boîte de dialogue de confirmation qui s'affiche. Cette opération peut durer quelques minutes.

gcloud

Assurez-vous de disposer de gcloud CLI version 455.0.0 ou ultérieure.

Configurer les valeurs par défaut pour un nouveau parc

Vous pouvez créer un parc vide avec les fonctionnalités du tableau de bord de stratégie de sécurité que vous souhaitez activer.

  • Pour créer un parc avec l'audit de la configuration de la charge de travail activé, exécutez la commande suivante :

    gcloud container fleet create --security-posture standard
    
  • Pour créer un parc avec l'analyse des failles des charges de travail activée, exécutez la commande suivante :

    gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Remplacez VULNERABILITY_SCANNING_TIER par l'une des valeurs suivantes :

    • standard: recherchez les failles connues du système d'exploitation du conteneur.
    • enterprise : recherche les failles connues dans les packages de langage et le système d'exploitation du conteneur.

Configurer les valeurs par défaut pour un parc existant

  • Pour activer l'audit de la configuration de la charge de travail sur un parc existant, exécutez la commande suivante :

    gcloud container fleet update --security-posture standard
    
  • Pour activer l'analyse des failles des charges de travail sur un parc existant, exécutez la commande suivante :

    gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Remplacez VULNERABILITY_SCANNING_TIER par l'une des valeurs suivantes :

    • standard: recherchez les failles connues du système d'exploitation du conteneur.
    • enterprise : recherche les failles connues dans les packages de langage et le système d'exploitation du conteneur.
  • Pour modifier le niveau d'analyse des failles des charges de travail sur un parc existant, procédez comme suit:

    1. Vérifiez les paramètres du tableau de bord de stratégie de sécurité existant sur un parc:

      gcloud container fleet describe
      
    2. Utilisez la commande update comme décrit précédemment avec le niveau d'analyse des charges de travail que vous souhaitez modifier :

      gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
      

Désactiver les fonctionnalités de tableau de bord de stratégie de sécurité au niveau du parc

  • Pour désactiver l'audit de la configuration des charges de travail, exécutez la commande suivante:

    gcloud container fleet update --security-posture disabled
    
  • Pour désactiver l'analyse des failles des charges de travail, exécutez la commande suivante:

    gcloud container fleet update --workload-vulnerability-scanning disabled
    

Si vous désactivez la configuration au niveau du parc pour ces fonctionnalités, vos charges de travail actuelles dans les clusters membres existants sont toujours analysées et vous pouvez voir les problèmes de sécurité dans le tableau de bord de stratégie de sécurité. Toutefois, les clusters que vous créez dans ce parc ne seront pas analysés pour détecter des problèmes, sauf si vous activez les fonctionnalités de stratégie de sécurité individuellement.

Étapes suivantes