Fleet 수준에서 GKE 보안 상황 대시보드 기능 구성

Autopilot Standard

이 페이지에서는 Google Kubernetes Engine(GKE) 보안 상황 대시보드의 Fleet 수준 기본 설정을 구성하는 방법을 설명합니다. 보안 상황 대시보드는 클러스터의 보안 상황을 개선하기 위한 독자적이고 활용 가능한 추천을 제공합니다. GKE Enterprise를 사용 설정한 경우 Fleet 수준에서 보안 상황 대시보드의 설정을 사용할 수 있습니다.

다음 보안 상황 대시보드 설정에 대해 Fleet 수준 기본값을 만들 수 있습니다.

Kubernetes 보안 상황 스캔 standard 계층: Fleet에 있는 클러스터 및 워크로드의 일반적인 보안 구성 문제를 감사합니다.
워크로드 취약점 스캔(다음 등급에서 사용 가능):
- 워크로드 OS 취약점 스캔(standard 등급): 컨테이너 OS에 알려진 취약점이 있는지 스캔합니다.
- Advanced Vulnerability Insights(enterprise 등급): 컨테이너 OS 및 언어 패키지에 알려진 취약점이 있는지 스캔합니다.
주의: 2024년 7월 23일부터 컨테이너 OS 취약점 스캔이 지원 중단되며 2025년 7월 31일에 종료될 예정입니다. 2025년 6월 16일부터 Advanced Vulnerability Insights가 지원 중단되며 2026년 6월 16일에 종료될 예정입니다. 지원 중단 및 종료 날짜에 관한 자세한 내용은 GKE에서 취약점 스캔 삭제를 참조하세요.

이 페이지는 클러스터 Fleet에 자체 조직의 취약점 감지 솔루션을 구현하려는 보안 전문가를 대상으로 합니다. Google Cloud 콘텐츠에서 참조하는 일반적인 역할 및 예시 태스크에 대해 자세히 알아보려면 일반 GKE Enterprise 사용자 역할 및 태스크를 참조하세요.

이 페이지를 읽기 전에 워크로드 취약점 스캔의 일반적인 개요를 숙지해야 합니다.

개별 클러스터에 대해 이러한 설정을 구성하는 방법은 다음 리소스를 참조하세요.

Fleet 수준 기본값 구성

이 섹션에서는 보안 상황 대시보드 기능을 Fleet 수준 기본값으로 구성하는 방법을 설명합니다. 클러스터를 만드는 동안 Fleet에 등록하는 모든 새 클러스터에는 지정된 보안 상황 기능이 사용 설정됩니다. 구성한 Fleet 수준 기본 설정이 어떤 기본 GKE Security Posture 설정보다 우선 적용됩니다. GKE 버전에 적용되는 기본 설정을 보려면 클러스터별 기능 표를 참조하세요.

보안 상황에 대한 Fleet 수준 기본값을 구성하려면 다음 단계를 완료하세요.

콘솔

Google Cloud 콘솔에서 기능 관리자 페이지로 이동합니다.

기능 관리자로 이동
보안 상황 창에서 구성을 클릭합니다.
Fleet 수준 설정을 검토합니다. Fleet에 등록하는 새 클러스터가 모두 이러한 설정을 상속합니다.
선택사항: 기본 설정을 변경하려면 Fleet 맞춤설정을 클릭합니다. 표시된 Fleet 기본 구성 맞춤설정 대화상자에서 다음을 수행합니다.
1. 구성 감사에서 구성 감사를 사용 설정할지 또는 중지할지 선택합니다.
2. 취약점 스캔(지원 중단됨)에서 사용 중지됨, 기본 또는 고급(권장) 중 원하는 취약점 스캔 수준을 선택합니다.
3. 저장을 클릭합니다.
나중에 이러한 기능에 Fleet 수준 구성을 중지해도 기존 구성원 클러스터의 현재 워크로드는 계속 스캔되며 보안 상황 대시보드에서 보안 문제를 확인할 수 있습니다. 그러나 개별적으로 보안 상황 기능을 사용 설정하지 않는 한 Fleet에서 만드는 새 클러스터의 문제를 스캔하지 않습니다.
새 클러스터에 설정을 적용하려면 구성을 클릭합니다.
확인 대화상자에서 확인을 클릭합니다.
선택사항: 기존 클러스터를 기본 설정으로 동기화합니다.
1. Fleet의 클러스터 목록에서 동기화할 클러스터를 선택합니다.
2. Fleet 설정과 동기화를 클릭하고 확인 대화상자가 나타나면 확인을 클릭합니다. 이 작업을 완료하는 데 몇 분 정도 걸릴 수 있습니다.

gcloud

gcloud CLI 버전 455.0.0 이상이 있는지 확인합니다.

새 Fleet의 기본값 구성

사용 설정하려는 보안 상황 대시보드 기능이 있는 빈 Fleet을 만들 수 있습니다.

워크로드 구성 감사가 사용 설정된 Fleet을 만들려면 다음 명령어를 실행합니다.
```
gcloud container fleet create --security-posture standard
```
워크로드 취약점 스캔(지원 중단됨)이 사용 설정된 Fleet을 만들려면 다음 명령어를 실행합니다.
```
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```
VULNERABILITY_SCANNING_TIER를 다음 값 중 하나로 바꿉니다.
- standard: 컨테이너 OS에 알려진 취약점이 있는지 스캔합니다.
- enterprise: 컨테이너 OS 및 언어 패키지에 알려진 취약점이 있는지 스캔합니다.

기존 Fleet의 기본값 구성

기존 Fleet에 워크로드 구성 감사를 사용 설정하려면 다음 명령어를 실행합니다.
```
gcloud container fleet update --security-posture standard
```
기존 Fleet에 워크로드 취약점 스캔(지원 중단됨)을 사용 설정하려면 다음 명령어를 실행합니다.
```
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```
VULNERABILITY_SCANNING_TIER를 다음 값 중 하나로 바꿉니다.
- standard: 컨테이너 OS에 알려진 취약점이 있는지 스캔합니다.
- enterprise: 컨테이너 OS 및 언어 패키지에 알려진 취약점이 있는지 스캔합니다.
기존 Fleet에서 워크로드 취약점 스캔 등급을 변경하려면 다음 안내를 따르세요.
1. Fleet의 기존 보안 상황 대시보드 설정을 확인합니다.
```
gcloud container fleet describe
```
2. 변경하려는 워크로드 스캔 등급에 앞서 설명한 update 명령어를 사용합니다.
```
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```

Fleet 수준에서 보안 상황 대시보드 기능 사용 중지

워크로드 구성 감사를 사용 중지하려면 다음 명령어를 실행합니다.
```
gcloud container fleet update --security-posture disabled
```
워크로드 취약점 스캔을 중지하려면 다음 명령어를 실행합니다.
```
gcloud container fleet update --workload-vulnerability-scanning disabled
```

이러한 기능에 Fleet 수준 구성을 사용 중지해도 기존 구성원 클러스터의 현재 워크로드는 계속 스캔되며 보안 상황 대시보드에서 보안 문제를 확인할 수 있습니다. 그러나 개별적으로 보안 상황 기능을 사용 설정하지 않는 한 Fleet에서 만드는 새 클러스터의 문제를 스캔하지 않습니다.

다음 단계

클러스터 및 워크로드 보호를 위한 Google Cloud 기능의 범위 알아보기
워크로드 구성 감사가 일반적인 보안 구성 문제를 감지하는 방법 알아보기