GKE セキュリティ ポスチャー ダッシュボードの機能をフリートレベルで構成する


Google Kubernetes Engine(GKE)セキュリティ ポスチャー ダッシュボードには、クラスタのセキュリティ ポスチャーを改善するために役立つ推奨事項が出力されます。GKE Enterprise を有効にしている場合は、フリートのデフォルト構成としてセキュリティ ポスチャーを有効にできます。このページでは、これらのフリートのデフォルトを構成する方法について説明します。

セキュリティ対策ダッシュボードの次の設定について、フリートレベルのデフォルトを作成できます。

  • Kubernetes セキュリティ対策スキャン(standard ティア): フリート内のクラスタとワークロードを監査し、一般的なセキュリティ構成の問題がないか調べます。
  • ワークロードの脆弱性スキャン(次のティアで利用可能):
    • ワークロード OS の脆弱性スキャン(standard ティア): 既知の脆弱性についてコンテナ OS をスキャンします。
    • Advanced Vulnerability Insights(enterprise ティア): 既知の脆弱性についてコンテナ OS と言語パッケージをスキャンします。

これらの設定を個々のクラスタに構成する方法については、次のリソースをご覧ください。

フリートレベルのデフォルトを構成する

このセクションでは、セキュリティ ポスチャー ダッシュボードの機能をフリートレベルのデフォルトとして構成する方法について説明します。クラスタの作成時にフリートに登録した新しいクラスタでは、指定したセキュリティ ポスチャー機能が有効になります。構成したフリートレベルのデフォルト設定は、GKE セキュリティ ポスチャーのデフォルト設定よりも優先されます。ご使用の GKE エディションに適用されるデフォルト設定については、クラスタ固有の機能の表をご覧ください。

セキュリティ ポスチャーのフリートレベルのデフォルトを構成するには、次の手順を行います。

コンソール

  1. Google Cloud コンソールで、[機能マネージャー] ページに移動します。

    機能マネージャーに移動

  2. [セキュリティ対策] ペインで [構成] をクリックします。

  3. フリートレベルの設定を確認します。フリートに登録した新しいクラスタすべてに、これらの設定が継承されます。

  4. 省略可: デフォルトの設定を変更するには、[フリートの設定をカスタマイズ] をクリックします。表示された [フリートのデフォルト構成をカスタマイズする] ダイアログで、次の操作を行います。

    1. [構成の監査] では、構成の監査を有効にするかどうかを選択します。
    2. [脆弱性スキャン] で、必要な脆弱性スキャンのレベルを選択します。[無効]、[基本]、[詳細(推奨)] のいずれかを選択します。
    3. [保存] をクリックします。

    これらの機能に対するフリートレベルの構成を後で無効にしても、既存のメンバー クラスタ内の現在のワークロードはスキャンされ、セキュリティに関する懸念事項がセキュリティ ポスチャー ダッシュボードに出力されます。ただし、そのフリートに作成した新しいクラスタは、セキュリティ ポスチャー機能を個別に有効にしない限り、スキャンされません。

  5. 新しいクラスタに設定を適用するには、[構成] をクリックします。

  6. 確認のダイアログで [確認] をクリックします。

  7. 省略可: 既存のクラスタをデフォルト設定に同期します。

    1. [フリート内のクラスタ] リストで、同期するクラスタを選択します。
    2. [フリートの設定に同期] をクリックし、表示された確認ダイアログで [確認] をクリックします。このオペレーションには数分かかることがあります。

gcloud

gcloud CLI バージョン 455.0.0 以降があることを確認します。

新しいフリートのデフォルトを構成する

有効にするセキュリティ ポスチャー ダッシュボード機能で、空のフリートを作成できます。

  • ワークロード構成の監査を有効にしてフリートを作成するには、次のコマンドを実行します。

    gcloud container fleet create --security-posture standard
    
  • ワークロードの脆弱性スキャンが有効になっているフリートを作成するには、次のコマンドを実行します。

    gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    VULNERABILITY_SCANNING_TIER は次のいずれかの値に置き換えます。

    • standard: 既知の脆弱性についてコンテナ OS をスキャンします。
    • enterprise: 既知の脆弱性についてコンテナ OS と言語パッケージをスキャンします。

既存のフリートのデフォルトを構成する

  • 既存のフリートでワークロード構成の監査を有効にするには、次のコマンドを実行します。

    gcloud container fleet update --security-posture standard
    
  • 既存のフリートでワークロードの脆弱性スキャンを有効にするには、次のコマンドを実行します。

    gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    VULNERABILITY_SCANNING_TIER は次のいずれかの値に置き換えます。

    • standard: 既知の脆弱性についてコンテナ OS をスキャンします。
    • enterprise: 既知の脆弱性についてコンテナ OS と言語パッケージをスキャンします。
  • 既存のフリートのワークロード脆弱性スキャンティアを変更するには:

    1. フリートの既存のセキュリティ ポスチャー ダッシュボードの設定を確認します。

      gcloud container fleet describe
      
    2. 変更先のワークロードのスキャンティアで、前述の update コマンドを使用します。

      gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
      

フリートレベルでセキュリティ ポスチャー ダッシュボードの機能を無効にする

  • ワークロード構成の監査を無効にするには、次のコマンドを実行します。

    gcloud container fleet update --security-posture disabled
    
  • ワークロードの脆弱性スキャンを無効にするには、次のコマンドを実行します。

    gcloud container fleet update --workload-vulnerability-scanning disabled
    

これらの機能に対するフリートレベルの構成を無効にしても、既存のメンバー クラスタ内の現在のワークロードはスキャンされ、セキュリティに関する懸念事項がセキュリティ ポスチャー ダッシュボードに出力されます。ただし、そのフリートに作成した新しいクラスタは、セキュリティ ポスチャー機能を個別に有効にしない限り、スキャンされません。

次のステップ