Google Kubernetes Engine (GKE) dasbor postur keamanan memberi Anda rekomendasi yang opini dan dapat ditindaklanjuti untuk meningkatkan klaster keamanan. Jika Anda telah mengaktifkan GKE Enterprise, Anda dapat dapat mengaktifkan postur keamanan sebagai konfigurasi default fleet. Halaman ini menunjukkan Anda cara mengkonfigurasi {i> <i} fleet{i> default<i} ini.
Anda dapat membuat setelan default tingkat fleet untuk hal berikut setelan dasbor postur keamanan:
- Tingkat pemindaian postur keamanan Kubernetes
standard: mengaudit cluster dan di perangkat Anda untuk masalah konfigurasi keamanan umum. - Pemindaian kerentanan workload, tersedia di tingkat berikut:
- Pemindaian kerentanan OS workload (tingkat
standard): memindai container untuk kerentanan yang telah diketahui. - Insight kerentanan lanjutan (tingkat
enterprise): memindai container paket OS dan bahasa untuk kerentanan yang telah diketahui.
- Pemindaian kerentanan OS workload (tingkat
Untuk mempelajari cara mengonfigurasi setelan ini untuk setiap cluster, lihat dokumentasi referensi berikut:
- Audit workload secara otomatis untuk masalah konfigurasi
- Memindai workload secara otomatis untuk mencari kerentanan yang diketahui
Mengonfigurasi default tingkat fleet
Bagian ini menjelaskan cara mengonfigurasi fitur dasbor postur keamanan sebagai default tingkat fleet. Setiap klaster baru yang Anda daftarkan ke suatu fleet selama pembuatan cluster telah mengaktifkan fitur postur keamanan yang Anda tentukan. Setelan default tingkat fleet yang Anda konfigurasi akan diprioritaskan daripada setelan postur keamanan GKE default. Untuk melihat default yang berlaku untuk edisi GKE Anda, lihat Tabel fitur khusus cluster.
Guna mengonfigurasi default tingkat fleet untuk postur keamanan, selesaikan langkah-langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Feature Manager.
Di panel Security Posture, klik Configure.
Tinjau setelan tingkat fleet Anda. Semua klaster baru yang Anda daftarkan ke fleet mewarisi setelan ini.
Opsional: Untuk mengubah setelan default, klik Sesuaikan fleet setelan. Dalam dialog Customize fleet default configuration yang muncul, lakukan hal berikut:
- Untuk Audit konfigurasi, pilih jika audit konfigurasi harus diaktifkan atau dinonaktifkan.
- Untuk Pemindaian kerentanan, pilih tingkat pemindaian kerentanan yang Anda inginkan; Nonaktif, Dasar, atau Lanjutan (direkomendasikan).
- Klik Simpan.
Jika nanti Anda menonaktifkan konfigurasi tingkat armada untuk fitur ini, saat ini di cluster anggota yang ada masih dipindai dan Anda dapat melihat masalah keamanan di dasbor postur keamanan. Namun, setiap cluster baru yang Anda buat di fleet tersebut tidak akan dipindai untuk masalah Anda, kecuali jika Anda mengaktifkan fitur postur keamanan pada akun tersebut satu per satu.
Untuk menerapkan setelan ke cluster baru, klik Configure.
Pada dialog konfirmasi, klik Confirm.
Opsional: Sinkronkan cluster yang ada ke setelan default:
- Di daftar Clusters in the fleet, pilih cluster yang Anda inginkan untuk menyinkronkan.
- Klik Sinkronkan ke setelan fleet, lalu klik Konfirmasi di dialog konfirmasi yang muncul. Operasi ini dapat memerlukan waktu beberapa menit untuk diselesaikan.
gcloud
Pastikan Anda memiliki gcloud CLI versi 455.0.0 atau yang lebih baru.
Mengonfigurasi default untuk fleet baru
Anda dapat membuat fleet kosong dengan fitur dasbor postur keamanan yang ingin Anda aktifkan.
Untuk membuat fleet dengan audit konfigurasi workload aktif, jalankan perintah berikut:
gcloud container fleet create --security-posture standardUntuk membuat fleet dengan pemindaian kerentanan workload diaktifkan, jalankan perintah berikut:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIERGanti
VULNERABILITY_SCANNING_TIERdengan salah satu nilai berikut:standard: memindai OS container untuk mencari kerentanan yang diketahui.enterprise: memindai OS container dan paket bahasa untuk mengetahui kerentanan.
Mengonfigurasi default untuk fleet yang ada
Untuk mengaktifkan audit konfigurasi workload pada fleet yang ada, jalankan perintah berikut:
gcloud container fleet update --security-posture standardUntuk mengaktifkan pemindaian kerentanan workload pada fleet yang ada, jalankan perintah berikut:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIERGanti
VULNERABILITY_SCANNING_TIERdengan salah satu nilai berikut:standard: memindai OS container untuk mencari kerentanan yang diketahui.enterprise: memindai OS container dan paket bahasa untuk mengetahui kerentanan.
Untuk mengubah tingkat pemindaian kerentanan workload pada fleet yang ada:
Periksa setelan dasbor postur keamanan yang ada di perangkat:
gcloud container fleet describeGunakan perintah
updateseperti yang dijelaskan sebelumnya dengan workload tingkat pemindaian yang ingin Anda ubah:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Menonaktifkan fitur dasbor postur keamanan di tingkat fleet
Untuk menonaktifkan audit konfigurasi workload, jalankan perintah berikut:
gcloud container fleet update --security-posture disabledUntuk menonaktifkan pemindaian kerentanan workload, jalankan perintah berikut:
gcloud container fleet update --workload-vulnerability-scanning disabled
Jika Anda menonaktifkan konfigurasi tingkat fleet untuk fitur ini, di cluster anggota yang ada masih dipindai dan Anda dapat melihat masalah keamanan pada dasbor postur keamanan. Namun, setiap cluster yang Anda buat di fleet itu tidak akan dipindai untuk menimbulkan kekhawatiran, kecuali jika Anda mengaktifkan fitur postur keamanan satu per satu.
Langkah selanjutnya
- Pelajari berbagai fitur Google Cloud untuk mengamankan cluster dan workload Anda.
- Pelajari cara audit konfigurasi workload mendeteksi masalah konfigurasi keamanan umum.
- Pelajari cara pemindaian kerentanan beban kerja memindai paket bahasa aplikasi dan OS container Anda untuk menemukan masalah keamanan.