La dashboard della strategia di sicurezza di Google Kubernetes Engine (GKE) fornisce suggerimenti guidati e strategici per migliorare la strategia di sicurezza dei cluster. Se hai abilitato GKE Enterprise, puoi abilitare la security posture come configurazione predefinita del parco risorse. Questa pagina mostra come configurare questi valori predefiniti del parco risorse.
Puoi creare valori predefiniti a livello di parco risorse per le seguenti impostazioni della dashboard della security posture:
- Livello
standard
dell'analisi della security posture di Kubernetes: verifica i cluster e i carichi di lavoro nel parco risorse per rilevare eventuali problemi comuni relativi alla configurazione della sicurezza. - Analisi delle vulnerabilità dei carichi di lavoro, disponibile nei seguenti livelli:
- Analisi delle vulnerabilità del sistema operativo per i carichi di lavoro (livello
standard
): analizza il sistema operativo del container per verificare se esistono vulnerabilità note. - Advanced Vulnerability Insights (livello
enterprise
): analizza i pacchetti di linguaggio e sistema operativo dei container per individuare vulnerabilità note.
- Analisi delle vulnerabilità del sistema operativo per i carichi di lavoro (livello
Per scoprire come configurare queste impostazioni per singoli cluster, consulta le risorse seguenti:
- Controllare automaticamente i carichi di lavoro per verificare la presenza di problemi di configurazione
- Analizza automaticamente i carichi di lavoro per rilevare le vulnerabilità note
Configura valori predefiniti a livello di parco risorse
Questa sezione descrive come configurare le funzionalità della dashboard della security posture come impostazioni predefinite a livello di parco risorse. Per tutti i nuovi cluster che registri in un parco risorse durante la creazione del cluster, le funzionalità della postura di sicurezza specificate sono abilitate. Le impostazioni predefinite a livello di parco risorse che configuri hanno la priorità su qualsiasi impostazione predefinita della strategia di sicurezza di GKE. Per visualizzare le impostazioni predefinite che si applicano alla tua versione di GKE, consulta la tabella delle funzionalità specifiche del cluster.
Per configurare valori predefiniti a livello di parco risorse per la security posture, completa i seguenti passaggi:
Console
Nella console Google Cloud, vai alla pagina Gestore funzionalità.
Nel riquadro Security posture, fai clic su Configura.
Rivedi le tue impostazioni a livello di parco risorse. Tutti i nuovi cluster che registri nel parco ereditano queste impostazioni.
(Facoltativo) Per modificare le impostazioni predefinite, fai clic su Personalizza le impostazioni del parco risorse. Nella finestra di dialogo Personalizza la configurazione predefinita del parco risorse visualizzata, segui questi passaggi:
- In Controllo della configurazione, scegli se abilitare o disabilitare il controllo della configurazione.
- Per Analisi delle vulnerabilità, seleziona il livello di analisi delle vulnerabilità che preferisci: Disabilitata, Di base o Avanzata (opzione consigliata).
- Fai clic su Salva.
Se in seguito disabiliti la configurazione a livello di parco risorse per queste funzionalità, i carichi di lavoro attuali nei cluster membri esistenti verranno comunque analizzati e potrai vedere i problemi di sicurezza nella dashboard della security posture. Tuttavia, i nuovi cluster creati nel parco risorse non verranno analizzati per rilevare eventuali problemi, a meno che non abiliti le funzionalità della security posture singolarmente.
Per applicare l'impostazione ai nuovi cluster, fai clic su Configura.
Nella finestra di dialogo di conferma, fai clic su Conferma.
(Facoltativo) Sincronizza i cluster esistenti con le impostazioni predefinite:
- Nell'elenco Cluster nel parco risorse, seleziona i cluster che vuoi sincronizzare.
- Fai clic su Sincronizza con le impostazioni del parco risorse e fai clic su Conferma nella finestra di dialogo di conferma visualizzata. Il completamento di questa operazione può richiedere alcuni minuti.
gcloud
Assicurati di avere gcloud CLI versione 455.0.0 o successiva.
Configura le impostazioni predefinite per un nuovo parco risorse
Puoi creare un parco risorse vuoto con le funzionalità della dashboard della security posture che vuoi abilitare.
Per creare un parco risorse con il controllo della configurazione dei carichi di lavoro abilitato, esegui questo comando:
gcloud container fleet create --security-posture standard
Per creare un parco risorse con l'analisi delle vulnerabilità dei carichi di lavoro abilitata, esegui questo comando:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Sostituisci
VULNERABILITY_SCANNING_TIER
con uno dei seguenti valori:standard
: analizza il sistema operativo dei container per verificare se esistono vulnerabilità note.enterprise
: analizza il sistema operativo del container e i pacchetti di linguaggio per individuare le vulnerabilità note.
Configura le impostazioni predefinite per un parco risorse esistente
Per abilitare il controllo della configurazione dei carichi di lavoro su un parco risorse esistente, esegui questo comando:
gcloud container fleet update --security-posture standard
Per abilitare l'analisi delle vulnerabilità dei carichi di lavoro in un parco risorse esistente, esegui questo comando:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Sostituisci
VULNERABILITY_SCANNING_TIER
con uno dei seguenti valori:standard
: analizza il sistema operativo dei container per verificare se esistono vulnerabilità note.enterprise
: analizza il sistema operativo del container e i pacchetti di linguaggio per individuare le vulnerabilità note.
Per modificare il livello di analisi delle vulnerabilità dei carichi di lavoro su un parco risorse esistente:
Controlla le impostazioni della dashboard della security posture esistenti su un parco risorse:
gcloud container fleet describe
Utilizza il comando
update
come descritto in precedenza con il livello di scansione dei carichi di lavoro a cui vuoi passare:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Disattiva le funzionalità della dashboard della security posture a livello del parco risorse
Per disabilitare il controllo della configurazione dei carichi di lavoro, esegui questo comando:
gcloud container fleet update --security-posture disabled
Per disabilitare l'analisi delle vulnerabilità dei carichi di lavoro, esegui questo comando:
gcloud container fleet update --workload-vulnerability-scanning disabled
Se disabiliti la configurazione a livello di parco risorse per queste funzionalità, i carichi di lavoro attuali nei cluster membri esistenti vengono comunque analizzati e puoi visualizzare i problemi di sicurezza nella dashboard della security posture. Tuttavia, tutti i nuovi cluster che crei nel parco risorse non verranno analizzati per rilevare eventuali problemi, a meno che non abiliti le funzionalità della security posture singolarmente.
Passaggi successivi
- Scopri la gamma di funzionalità di Google Cloud per proteggere cluster e carichi di lavoro.
- Scopri come il controllo della configurazione del carico di lavoro rileva i problemi di configurazione di sicurezza più comuni.
- Scopri come l'analisi delle vulnerabilità dei carichi di lavoro analizza i pacchetti di linguaggio delle applicazioni e del sistema operativo dei container per rilevare problemi di sicurezza.