La configuración a nivel de flota para las funciones de postura de seguridad se aplica solo a los clústeres nuevos que creas en esa flota. A fin de habilitar estas funciones para clústeres existentes, consulta Habilita la auditoría de configuración de cargas de trabajo en clústeres existentes y Habilita el análisis de vulnerabilidades de las cargas de trabajo en clústeres existentes.
Las funciones del panel de postura de seguridad consisten en lo siguiente:
- Auditoría de la configuración de las cargas de trabajo: Audita los clústeres y las cargas de trabajo en tu flota para detectar problemas comunes de configuración de seguridad.
- Análisis de vulnerabilidades de cargas de trabajo, disponible en los siguientes niveles:
- Análisis de vulnerabilidades del SO de la carga de trabajo (nivel
standard
): analiza el SO del contenedor en busca de vulnerabilidades conocidas. - Estadísticas avanzadas de vulnerabilidades (nivel
enterprise
): Analiza los SO del contenedor y los paquetes de lenguaje en busca de vulnerabilidades conocidas.
- Análisis de vulnerabilidades del SO de la carga de trabajo (nivel
Configura las funciones del panel de postura de seguridad a nivel de la flota
En esta sección, se describe cómo configurar las funciones del panel de postura de seguridad en flotas nuevas y existentes. Cualquier clúster nuevo que registres en una flota durante la creación del clúster mediante el comando de Google Cloud CLI tendrá habilitadas las funciones de postura de seguridad especificadas. Asegúrate de tener la versión 455.0.0 de gcloud CLI.
Para una flota nueva
Puedes crear una flota vacía con las funciones del panel de postura de seguridad que desees habilitar.
Para crear una flota con la auditoría de configuración de las cargas de trabajo habilitada, ejecuta el siguiente comando:
gcloud container fleet create --security-posture standard
Para crear una flota con el análisis de vulnerabilidades de las cargas de trabajo habilitado, ejecuta el siguiente comando:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Reemplaza
VULNERABILITY_SCANNING_TIER
por uno de los siguientes valores:standard
: analiza el SO del contenedor en busca de vulnerabilidades conocidas.enterprise
: analiza el SO del contenedor y los paquetes de lenguaje en busca de vulnerabilidades conocidas.
Para una flota existente
Para habilitar la auditoría de configuración de las cargas de trabajo en una flota existente, ejecuta el siguiente comando:
gcloud container fleet update --security-posture standard
Para habilitar el análisis de vulnerabilidades de las cargas de trabajo en una flota existente, ejecuta el siguiente comando:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Reemplaza
VULNERABILITY_SCANNING_TIER
por uno de los siguientes valores:standard
: analiza el SO del contenedor en busca de vulnerabilidades conocidas.enterprise
: analiza el SO del contenedor y los paquetes de lenguaje en busca de vulnerabilidades conocidas.
Para cambiar el nivel de análisis de vulnerabilidades de las cargas de trabajo en una flota existente, haz lo siguiente:
Verifica la configuración del panel de postura de seguridad existente en una flota:
gcloud container fleet describe
Usa el comando
update
como se describió antes con el nivel de análisis de vulnerabilidades de las cargas de trabajo al que deseas cambiar:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Inhabilita las funciones del panel de postura de seguridad a nivel de la flota
Para inhabilitar la auditoría de configuración de la carga de trabajo, ejecuta el siguiente comando:
gcloud container fleet update --security-posture disabled
Para inhabilitar el análisis de vulnerabilidades de las cargas de trabajo, ejecuta el siguiente comando:
gcloud container fleet update --workload-vulnerability-scanning disabled
Si inhabilitas la configuración a nivel de la flota para estas funciones, tus cargas de trabajo actuales en clústeres miembros existentes se analizan y puedes ver los problemas de seguridad en el panel de postura de seguridad. Sin embargo, los clústeres nuevos que crees en esa flota no se analizarán en busca de problemas, a menos que habilites las funciones de postura de seguridad en ellos de forma individual.
Próximos pasos
- Obtén información sobre las diferentes funciones de Google Cloud para proteger los clústeres y las cargas de trabajo.
- Obtén información sobre cómo la auditoría de la configuración de la carga de trabajo detecta problemas comunes de configuración de seguridad.
- Obtén información sobre cómo el análisis de vulnerabilidades de las cargas de trabajo analiza tu paquete de SO y paquetes de lenguaje de aplicaciones en busca de problemas de seguridad.