Le tableau de bord de stratégie de sécurité de Google Kubernetes Engine (GKE) vous fournit des recommandations avisées et exploitables pour améliorer la stratégie de sécurité de vos clusters. Si vous avez activé GKE Enterprise, vous pouvez activer la stratégie de sécurité en tant que configuration par défaut du parc. Cette page vous explique comment configurer ces valeurs par défaut du parc.
Vous pouvez créer des valeurs par défaut au niveau du parc pour les paramètres suivants du tableau de bord de stratégie de sécurité :
- Analyse de la stratégie de sécurité Kubernetes au niveau
standard: auditez les clusters et les charges de travail de votre parc pour détecter les problèmes de configuration de sécurité courants. - Analyse des failles des charges de travail, disponible aux niveaux suivants :
- Analyse des failles du système d'exploitation de la charge de travail (niveau
standard) : analysez les failles connues de l'OS du conteneur. - Advanced Vulnerability Insights (niveaux
enterprise) : analysez les failles connues des packages de langage et du système d'exploitation de conteneurs.
- Analyse des failles du système d'exploitation de la charge de travail (niveau
Pour savoir comment configurer ces paramètres pour des clusters individuels, consultez les ressources suivantes :
- Auditer automatiquement les charges de travail pour détecter les problèmes de configuration
- Rechercher des failles connues dans les charges de travail
Configurer les valeurs par défaut au niveau du parc
Cette section explique comment configurer les fonctionnalités du tableau de bord de stratégie de sécurité en tant que valeurs par défaut au niveau du parc. Les fonctionnalités de stratégie de sécurité spécifiées sont activées pour tous les nouveaux clusters que vous enregistrez dans un parc lors de la création d'un cluster. Pour en savoir plus sur la configuration par défaut du parc, consultez la page Gérer les fonctionnalités au niveau du parc.
Pour configurer des valeurs par défaut au niveau du parc pour la stratégie de sécurité, procédez comme suit :
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de fonctionnalités.
Dans le volet Stratégie de sécurité, cliquez sur Configurer.
Vérifiez vos paramètres au niveau du parc. Tous les nouveaux clusters que vous enregistrerez dans le parc hériteront de ces paramètres.
Facultatif : Pour modifier les paramètres par défaut, cliquez sur Personnaliser les paramètres du parc. Dans la boîte de dialogue Personnaliser la configuration par défaut du parc qui s'affiche, procédez comme suit :
- Pour Audit de configuration, choisissez si l'audit de configuration doit être activé ou désactivé.
- Pour l'analyse des failles, sélectionnez le niveau d'analyse des failles souhaité : Désactivé, De base ou Avancé (recommandé).
- Cliquez sur Enregistrer.
Si vous désactivez la configuration au niveau du parc pour ces fonctionnalités ultérieurement, vos charges de travail actuelles dans les clusters membres existants sont toujours analysées et vous pouvez voir les problèmes de sécurité dans le tableau de bord de stratégie de sécurité. Toutefois, les clusters que vous créez dans ce parc ne seront pas analysés pour détecter des problèmes, sauf si vous activez les fonctionnalités de stratégie de sécurité individuellement.
Pour appliquer le paramètre aux nouveaux clusters, cliquez sur Configurer.
Dans la boîte de dialogue de confirmation, cliquez sur Confirmer.
Facultatif : Synchronisez les clusters existants avec les paramètres par défaut :
- Dans la liste Clusters du parc, sélectionnez les clusters que vous souhaitez synchroniser.
- Cliquez sur Synchroniser avec les paramètres du parc, puis sur Confirmer dans la boîte de dialogue de confirmation qui s'affiche. Cette opération peut durer quelques minutes.
gcloud
Assurez-vous de disposer de gcloud CLI version 455.0.0 ou ultérieure.
Configurer les paramètres par défaut pour un nouveau parc
Vous pouvez créer un parc vide avec les fonctionnalités du tableau de bord de stratégie de sécurité que vous souhaitez activer.
Pour créer un parc avec l'audit de la configuration de la charge de travail activé, exécutez la commande suivante :
gcloud container fleet create --security-posture standardPour créer un parc avec l'analyse des failles des charges de travail activée, exécutez la commande suivante :
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIERRemplacez
VULNERABILITY_SCANNING_TIERpar l'une des valeurs suivantes :standard: recherchez les failles connues du système d'exploitation du conteneur.enterprise: recherche les failles connues dans les packages de langage et le système d'exploitation du conteneur.
Configurer les valeurs par défaut pour un parc existant
Pour activer l'audit de la configuration de la charge de travail sur un parc existant, exécutez la commande suivante :
gcloud container fleet update --security-posture standardPour activer l'analyse des failles des charges de travail sur un parc existant, exécutez la commande suivante :
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIERRemplacez
VULNERABILITY_SCANNING_TIERpar l'une des valeurs suivantes :standard: recherchez les failles connues du système d'exploitation du conteneur.enterprise: recherche les failles connues dans les packages de langage et le système d'exploitation du conteneur.
Pour modifier le niveau d'analyse des failles des charges de travail sur un parc existant, procédez comme suit:
Vérifiez les paramètres du tableau de bord de stratégie de sécurité existant sur un parc:
gcloud container fleet describeUtilisez la commande
updatecomme décrit précédemment avec le niveau d'analyse des charges de travail que vous souhaitez modifier :gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Désactiver les fonctionnalités de tableau de bord de stratégie de sécurité au niveau du parc
Pour désactiver l'audit de la configuration des charges de travail, exécutez la commande suivante:
gcloud container fleet update --security-posture disabledPour désactiver l'analyse des failles des charges de travail, exécutez la commande suivante:
gcloud container fleet update --workload-vulnerability-scanning disabled
Si vous désactivez la configuration au niveau du parc pour ces fonctionnalités, vos charges de travail actuelles dans les clusters membres existants sont toujours analysées et vous pouvez voir les problèmes de sécurité dans le tableau de bord de stratégie de sécurité. Toutefois, les clusters que vous créez dans ce parc ne seront pas analysés pour détecter des problèmes, sauf si vous activez les fonctionnalités de stratégie de sécurité individuellement.
Étapes suivantes
- Découvrez la gamme de fonctionnalités Google Cloud permettant de sécuriser vos clusters et vos charges de travail.
- Découvrez comment l'audit de configuration de la charge de travail détecte les problèmes de configuration de sécurité courants.
- Découvrez comment l'analyse des failles des charges de travail analyse les packages de langages d'application et le système d'exploitation de vos conteneurs pour détecter les problèmes de sécurité.