O painel de postura de segurança do Google Kubernetes Engine (GKE) fornece recomendações opinativas e acionáveis para melhorar a postura de segurança dos seus clusters. Se você tiver ativado o GKE Enterprise, poderá ativar a postura de segurança como uma configuração padrão da frota. Nesta página, mostramos como configurar esses padrões da frota.
É possível criar padrões no nível da frota para as seguintes configurações do painel de postura de segurança:
- Verificação de postura de segurança do Kubernetes no nível
standard: faça a auditoria dos clusters e das cargas de trabalho na sua frota em busca de preocupações comuns com a configuração de segurança. - Verificação de vulnerabilidades da carga de trabalho, que está disponível nos seguintes níveis:
- Verificação de vulnerabilidades do SO da carga de trabalho (nível
standard): verifique se há vulnerabilidades conhecidas no SO do contêiner. - Advanced Vulnerability Insights (nível
enterprise): verifique se há vulnerabilidades conhecidas no SO e nos pacotes de linguagens do contêiner.
- Verificação de vulnerabilidades do SO da carga de trabalho (nível
Para saber como definir essas configurações para clusters individuais, consulte os recursos a seguir:
- Auditar automaticamente as cargas de trabalho em busca de problemas de configuração.
- Verificar automaticamente as cargas de trabalho em busca de vulnerabilidades conhecidas
Configurar padrões no nível da frota
Nesta seção, descrevemos como configurar os recursos do painel de postura de segurança como padrões no nível da frota. Todos os clusters novos registrados em uma frota durante a criação deles têm os recursos de postura de segurança especificados ativados. As configurações padrão da frota que você definir têm prioridade sobre qualquer configuração padrão de postura de segurança do GKE. Para acessar o padrão que se aplicam à sua edição do GKE, consulte Tabela de recursos específicos do cluster.
Para configurar os padrões da frota para a postura de segurança, siga estas etapas:
Console
No console do Google Cloud, acesse a página Gerenciador de recursos.
No painel Security posture, clique em Configure.
Revisar as configurações da frota Todos os novos clusters registrados na frota vão herdar essas configurações.
Opcional: para mudar as configurações padrão, clique em Personalizar configurações da frota. Na caixa de diálogo Personalizar a configuração padrão da frota que aparece, faça o seguinte:
- Para auditoria de configuração, escolha se a auditoria de configuração precisa ser ativada ou desativada.
- Para Verificação de vulnerabilidades, selecione o nível de verificação de vulnerabilidades que você quer. Desativado, Básico ou Avançado (recomendado).
- Clique em Save.
Se você desativar a configuração no nível da frota para esses recursos, as cargas de trabalho atuais nos clusters de membros atuais ainda serão verificadas. Além disso, será possível questões de segurança no painel de postura de segurança. No entanto, os novos clusters criados nela não serão verificados quanto a problemas, a menos que você ative os recursos de postura de segurança individualmente.
Para aplicar a configuração a novos clusters, clique em Configurar.
Na caixa de diálogo, clique em Confirmar.
Opcional: sincronize os clusters atuais com as configurações padrão:
- Na lista Clusters na frota, selecione os clusters que você quer sincronizar.
- Clique em Sincronizar com as configurações da frota e em Confirmar na caixa de diálogo de confirmação mostrada. Esta operação leva alguns minutos para ser concluída.
gcloud
Verifique se você tem a CLI gcloud versão 455.0.0 ou mais recente.
Configurar padrões para uma nova frota
É possível criar uma frota vazia com os recursos do painel de postura de segurança que você quer ativar.
Para criar uma frota com a auditoria de configuração da carga de trabalho ativada, execute o seguinte comando:
gcloud container fleet create --security-posture standardPara criar uma frota com a verificação de vulnerabilidades de carga de trabalho ativada, execute o seguinte comando:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIERSubstitua
VULNERABILITY_SCANNING_TIERpor um dos seguintes valores:standard: verifica se há vulnerabilidades conhecidas no SO do contêiner.enterprise: verifica se há vulnerabilidades conhecidas no SO do contêiner e os pacotes de linguagens.
Configurar padrões para uma frota atual
Para ativar a auditoria de configuração da carga de trabalho em uma frota atual, execute o seguinte comando:
gcloud container fleet update --security-posture standardPara ativar a verificação de vulnerabilidades da carga de trabalho em uma frota existente, execute o seguinte comando:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIERSubstitua
VULNERABILITY_SCANNING_TIERpor um dos seguintes valores:standard: verifica se há vulnerabilidades conhecidas no SO do contêiner.enterprise: verifica se há vulnerabilidades conhecidas no SO do contêiner e os pacotes de linguagens.
Para mudar o nível de verificação de vulnerabilidades da carga de trabalho em uma frota atual:
Verifique as configurações do painel de postura de segurança em uma frota:
gcloud container fleet describeUse o comando
update, conforme descrito anteriormente, com o nível de verificação de vulnerabilidades da carga de trabalho para o qual você quer mudar:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Desativar recursos do painel de postura de segurança no nível da frota
Para desativar a auditoria de configuração da carga de trabalho, execute o seguinte comando:
gcloud container fleet update --security-posture disabledPara desativar a verificação de vulnerabilidades da carga de trabalho, execute o seguinte comando:
gcloud container fleet update --workload-vulnerability-scanning disabled
Se você desativar a configuração no nível da frota para esses recursos, as cargas de trabalho atuais nos clusters de membros atuais ainda serão verificadas. Além disso, será possível questões de segurança no painel de postura de segurança. No entanto, os novos clusters criados nela não serão verificados quanto a problemas, a menos que você ative os recursos de postura de segurança individualmente.
A seguir
- Conheça os vários recursos do Google Cloud para proteger clusters e cargas de trabalho.
- Saiba como a auditoria de configuração da carga de trabalho detecta problemas comuns de configuração de segurança.
- Saiba como a verificação de vulnerabilidades da carga de trabalho verifica se há problemas de segurança no SO do contêiner e nos pacotes de idiomas do aplicativo.