Mengonfigurasi fitur dasbor postur keamanan GKE di level fleet


Dasbor postur keamanan Google Kubernetes Engine (GKE) memberi Anda rekomendasi yang tegas dan dapat ditindaklanjuti untuk meningkatkan postur keamanan cluster Anda. Jika telah mengaktifkan GKE Enterprise, Anda dapat mengaktifkan postur keamanan sebagai konfigurasi default fleet. Halaman ini menunjukkan cara mengonfigurasi default fleet ini.

Anda dapat membuat setelan default tingkat fleet untuk setelan dasbor postur keamanan berikut:

  • Tingkat standard pemindaian postur keamanan Kubernetes: lakukan audit pada cluster dan beban kerja di fleet Anda untuk masalah konfigurasi keamanan umum.
  • Pemindaian kerentanan workload, tersedia di tingkat berikut:
    • Pemindaian kerentanan OS workload (tingkat standard): memindai OS container untuk menemukan kerentanan yang diketahui.
    • Insight kerentanan lanjutan (tingkat enterprise): memindai OS container dan paket bahasa untuk mendeteksi kerentanan yang diketahui.

Untuk mempelajari cara mengonfigurasi setelan ini untuk setiap cluster, lihat referensi berikut:

Mengonfigurasi default tingkat fleet

Bagian ini menjelaskan cara mengonfigurasi fitur dasbor postur keamanan sebagai default tingkat fleet. Setiap cluster baru yang Anda daftarkan ke fleet selama pembuatan cluster telah mengaktifkan fitur postur keamanan yang Anda tentukan. Setelan default tingkat fleet yang Anda konfigurasi akan diprioritaskan daripada setelan postur keamanan GKE default apa pun. Untuk melihat setelan default yang berlaku bagi edisi GKE Anda, lihat tabel fitur khusus cluster.

Guna mengonfigurasi default tingkat fleet untuk postur keamanan, selesaikan langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Feature Manager.

    Buka Feature Manager

  2. Di panel Security Posture, klik Configure.

  3. Tinjau setelan tingkat fleet Anda. Semua cluster baru yang Anda daftarkan ke fleet mewarisi pengaturan ini.

  4. Opsional: Untuk mengubah setelan default, klik Customize fleet settings. Dalam dialog Customize fleet default configuration yang muncul, lakukan hal berikut:

    1. Untuk Audit konfigurasi, pilih apakah audit konfigurasi harus diaktifkan atau dinonaktifkan.
    2. Untuk Pemindaian kerentanan, pilih tingkat pemindaian kerentanan yang Anda inginkan; Disabled, Basic, atau Advanced (direkomendasikan).
    3. Klik Simpan.

    Jika nanti Anda menonaktifkan konfigurasi tingkat fleet untuk fitur ini, workload Anda saat ini di cluster anggota yang ada masih dipindai dan Anda dapat melihat masalah keamanan di dasbor postur keamanan. Namun, setiap cluster baru yang Anda buat dalam fleet tersebut tidak akan dipindai untuk mendeteksi kekhawatiran, kecuali jika Anda mengaktifkan fitur postur keamanan satu per satu.

  5. Untuk menerapkan setelan ke cluster baru, klik Configure.

  6. Pada dialog konfirmasi, klik Confirm.

  7. Opsional: Sinkronkan cluster yang ada ke setelan default:

    1. Di daftar Clusters in the fleet, pilih cluster yang ingin Anda sinkronkan.
    2. Klik Sync to fleet settings dan klik Confirm di dialog konfirmasi yang muncul. Operasi ini dapat memerlukan waktu beberapa menit hingga selesai.

gcloud

Pastikan Anda memiliki gcloud CLI versi 455.0.0 atau yang lebih baru.

Mengonfigurasi default untuk fleet baru

Anda dapat membuat fleet kosong dengan fitur dasbor postur keamanan yang ingin Anda aktifkan.

  • Untuk membuat fleet dengan audit konfigurasi workload aktif, jalankan perintah berikut:

    gcloud container fleet create --security-posture standard
    
  • Untuk membuat fleet dengan pemindaian kerentanan workload yang diaktifkan, jalankan perintah berikut:

    gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Ganti VULNERABILITY_SCANNING_TIER dengan salah satu nilai berikut:

    • standard: memindai OS container untuk mencari kerentanan yang diketahui.
    • enterprise: memindai OS container dan paket bahasa untuk menemukan kerentanan yang diketahui.

Mengonfigurasi default untuk fleet yang ada

  • Untuk mengaktifkan audit konfigurasi workload pada fleet yang ada, jalankan perintah berikut:

    gcloud container fleet update --security-posture standard
    
  • Untuk mengaktifkan pemindaian kerentanan workload pada fleet yang ada, jalankan perintah berikut:

    gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    Ganti VULNERABILITY_SCANNING_TIER dengan salah satu nilai berikut:

    • standard: memindai OS container untuk mencari kerentanan yang diketahui.
    • enterprise: memindai OS container dan paket bahasa untuk menemukan kerentanan yang diketahui.
  • Untuk mengubah tingkat pemindaian kerentanan workload pada fleet yang ada:

    1. Periksa setelan dasbor postur keamanan yang ada di perangkat:

      gcloud container fleet describe
      
    2. Gunakan perintah update seperti yang dijelaskan sebelumnya dengan tingkat pemindaian workload yang ingin Anda ubah:

      gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
      

Menonaktifkan fitur dasbor postur keamanan di tingkat fleet

  • Untuk menonaktifkan audit konfigurasi workload, jalankan perintah berikut:

    gcloud container fleet update --security-posture disabled
    
  • Untuk menonaktifkan pemindaian kerentanan workload, jalankan perintah berikut:

    gcloud container fleet update --workload-vulnerability-scanning disabled
    

Jika Anda menonaktifkan konfigurasi tingkat fleet untuk fitur ini, beban kerja Anda saat ini di cluster anggota yang ada masih dipindai dan Anda dapat melihat masalah keamanan di dasbor postur keamanan. Namun, setiap cluster baru yang Anda buat dalam fleet tersebut tidak akan dipindai untuk mendeteksi masalah, kecuali jika Anda mengaktifkan fitur postur keamanan satu per satu.

Langkah selanjutnya