Fleet 수준에서 GKE 보안 상황 대시보드 기능 구성


Google Kubernetes Engine(GKE) 보안 상황 대시보드는 클러스터의 보안 상황을 개선하기 위한 독자적이고 활용 가능한 권장사항을 제공합니다. GKE Enterprise를 사용 설정한 경우 보안 상황을 Fleet 기본 구성으로 사용 설정할 수 있습니다. 이 페이지에서는 이러한 Fleet 기본값을 구성하는 방법을 보여줍니다.

다음 보안 상황 대시보드 설정에 대해 Fleet 수준 기본값을 만들 수 있습니다.

  • Kubernetes 보안 상황 스캔 standard 계층: Fleet에 있는 클러스터 및 워크로드의 일반적인 보안 구성 문제를 감사합니다.
  • 워크로드 취약점 스캔(다음 등급에서 사용 가능):
    • 워크로드 OS 취약점 스캔(standard 등급): 컨테이너 OS에 알려진 취약점이 있는지 스캔합니다.
    • Advanced Vulnerability Insights(enterprise 등급): 컨테이너 OS 및 언어 패키지에 알려진 취약점이 있는지 스캔합니다.

개별 클러스터에 대해 이러한 설정을 구성하는 방법은 다음 리소스를 참조하세요.

Fleet 수준 기본값 구성

이 섹션에서는 보안 상황 대시보드 기능을 Fleet 수준 기본값으로 구성하는 방법을 설명합니다. 클러스터를 만드는 동안 Fleet에 등록하는 모든 새 클러스터에는 지정된 보안 상황 기능이 사용 설정됩니다. 구성한 Fleet 수준 기본 설정이 어떤 기본 GKE Security Posture 설정보다 우선 적용됩니다. GKE 버전에 적용되는 기본 설정을 보려면 클러스터별 기능 표를 참조하세요.

보안 상황에 대한 Fleet 수준 기본값을 구성하려면 다음 단계를 완료하세요.

Console

  1. Google Cloud 콘솔에서 기능 관리자 페이지로 이동합니다.

    기능 관리자로 이동

  2. 보안 상황 창에서 구성을 클릭합니다.

  3. Fleet 수준 설정을 검토합니다. Fleet에 등록하는 새 클러스터가 모두 이러한 설정을 상속합니다.

  4. 선택사항: 기본 설정을 변경하려면 Fleet 맞춤설정을 클릭합니다. 표시된 Fleet 기본 구성 맞춤설정 대화상자에서 다음을 수행합니다.

    1. 구성 감사에서 구성 감사를 사용 설정할지 또는 중지할지 선택합니다.
    2. 취약점 스캔에서 사용 중지됨, 기본 또는 고급(권장) 중 원하는 취약점 스캔 수준을 선택합니다.
    3. 저장을 클릭합니다.

    나중에 이러한 기능에 Fleet 수준 구성을 중지해도 기존 구성원 클러스터의 현재 워크로드는 계속 스캔되며 보안 상황 대시보드에서 보안 문제를 확인할 수 있습니다. 그러나 개별적으로 보안 상황 기능을 사용 설정하지 않는 한 Fleet에서 만드는 새 클러스터의 문제를 스캔하지 않습니다.

  5. 새 클러스터에 설정을 적용하려면 구성을 클릭합니다.

  6. 확인 대화상자에서 확인을 클릭합니다.

  7. 선택사항: 기존 클러스터를 기본 설정으로 동기화합니다.

    1. Fleet의 클러스터 목록에서 동기화할 클러스터를 선택합니다.
    2. Fleet 설정과 동기화를 클릭하고 확인 대화상자가 나타나면 확인을 클릭합니다. 이 작업을 완료하는 데 몇 분 정도 걸릴 수 있습니다.

gcloud

gcloud CLI 버전 455.0.0 이상이 있는지 확인합니다.

새 Fleet의 기본값 구성

사용 설정하려는 보안 상황 대시보드 기능이 있는 빈 Fleet을 만들 수 있습니다.

  • 워크로드 구성 감사가 사용 설정된 Fleet을 만들려면 다음 명령어를 실행합니다.

    gcloud container fleet create --security-posture standard
    
  • 워크로드 취약점 스캔이 사용 설정된 Fleet을 만들려면 다음 명령어를 실행합니다.

    gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    VULNERABILITY_SCANNING_TIER를 다음 값 중 하나로 바꿉니다.

    • standard: 컨테이너 OS에 알려진 취약점이 있는지 스캔합니다.
    • enterprise: 컨테이너 OS 및 언어 패키지에 알려진 취약점이 있는지 스캔합니다.

기존 Fleet의 기본값 구성

  • 기존 Fleet에 워크로드 구성 감사를 사용 설정하려면 다음 명령어를 실행합니다.

    gcloud container fleet update --security-posture standard
    
  • 기존 Fleet에 워크로드 취약점 스캔을 사용 설정하려면 다음 명령어를 실행합니다.

    gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    VULNERABILITY_SCANNING_TIER를 다음 값 중 하나로 바꿉니다.

    • standard: 컨테이너 OS에 알려진 취약점이 있는지 스캔합니다.
    • enterprise: 컨테이너 OS 및 언어 패키지에 알려진 취약점이 있는지 스캔합니다.
  • 기존 Fleet에서 워크로드 취약점 스캔 등급을 변경하려면 다음 안내를 따르세요.

    1. Fleet의 기존 보안 상황 대시보드 설정을 확인합니다.

      gcloud container fleet describe
      
    2. 변경하려는 워크로드 스캔 등급에 앞서 설명한 update 명령어를 사용합니다.

      gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
      

Fleet 수준에서 보안 상황 대시보드 기능 사용 중지

  • 워크로드 구성 감사를 사용 중지하려면 다음 명령어를 실행합니다.

    gcloud container fleet update --security-posture disabled
    
  • 워크로드 취약점 스캔을 중지하려면 다음 명령어를 실행합니다.

    gcloud container fleet update --workload-vulnerability-scanning disabled
    

이러한 기능에 Fleet 수준 구성을 사용 중지해도 기존 구성원 클러스터의 현재 워크로드는 계속 스캔되며 보안 상황 대시보드에서 보안 문제를 확인할 수 있습니다. 그러나 개별적으로 보안 상황 기능을 사용 설정하지 않는 한 Fleet에서 만드는 새 클러스터의 문제를 스캔하지 않습니다.

다음 단계