Configura las funciones del panel de postura de seguridad de GKE a nivel de la flota

El panel de postura de seguridad de Google Kubernetes Engine (GKE) en la consola de Google Cloud te proporciona recomendaciones accionadas y revisadas para mejorar la postura de seguridad de tus clústeres. Algunas de las funciones del panel de postura de seguridad de GKE están habilitadas de forma predeterminada en los clústeres nuevos de Autopilot y Standard que ejecutan la versión 1.27 y posteriores. Sin embargo, si habilitas la edición empresarial de Google Kubernetes Engine (GKE), también puedes configurar estas características para tus clústeres a nivel de la flota mediante gcloud CLI. Para obtener más información, consulta Administra funciones a nivel de flota.

La configuración a nivel de flota para las funciones de postura de seguridad se aplica solo a los clústeres nuevos que creas en esa flota. A fin de habilitar estas funciones para clústeres existentes, consulta Habilita la auditoría de configuración de cargas de trabajo en clústeres existentes y Habilita el análisis de vulnerabilidades de las cargas de trabajo en clústeres existentes.

Las funciones del panel de postura de seguridad consisten en lo siguiente:

• Auditoría de la configuración de las cargas de trabajo: Audita los clústeres y las cargas de trabajo en tu flota para detectar problemas comunes de configuración de seguridad.
• Análisis de vulnerabilidades de cargas de trabajo, disponible en los siguientes niveles:
  • Análisis de vulnerabilidades del SO de la carga de trabajo (nivel standard): analiza el SO del contenedor en busca de vulnerabilidades conocidas.
  • Estadísticas avanzadas de vulnerabilidades (nivel enterprise): Analiza los SO del contenedor y los paquetes de lenguaje en busca de vulnerabilidades conocidas.

Configura las funciones del panel de postura de seguridad a nivel de la flota

En esta sección, se describe cómo configurar las funciones del panel de postura de seguridad en flotas nuevas y existentes. Cualquier clúster nuevo que registres en una flota durante la creación del clúster mediante el comando de Google Cloud CLI tendrá habilitadas las funciones de postura de seguridad especificadas. Asegúrate de tener la versión 455.0.0 de gcloud CLI.

Para una flota nueva

Puedes crear una flota vacía con las funciones del panel de postura de seguridad que desees habilitar.

• Para crear una flota con la auditoría de configuración de las cargas de trabajo habilitada, ejecuta el siguiente comando:

  gcloud container fleet create --security-posture standard
  

• Para crear una flota con el análisis de vulnerabilidades de las cargas de trabajo habilitado, ejecuta el siguiente comando:

  gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
  

  Reemplaza VULNERABILITY_SCANNING_TIER por uno de los siguientes valores:

  • standard: analiza el SO del contenedor en busca de vulnerabilidades conocidas.
  • enterprise: analiza el SO del contenedor y los paquetes de lenguaje en busca de vulnerabilidades conocidas.

Para una flota existente

• Para habilitar la auditoría de configuración de las cargas de trabajo en una flota existente, ejecuta el siguiente comando:

  gcloud container fleet update --security-posture standard
  

• Para habilitar el análisis de vulnerabilidades de las cargas de trabajo en una flota existente, ejecuta el siguiente comando:

  gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
  

  Reemplaza VULNERABILITY_SCANNING_TIER por uno de los siguientes valores:

  • standard: analiza el SO del contenedor en busca de vulnerabilidades conocidas.
  • enterprise: analiza el SO del contenedor y los paquetes de lenguaje en busca de vulnerabilidades conocidas.

• Para cambiar el nivel de análisis de vulnerabilidades de las cargas de trabajo en una flota existente, haz lo siguiente:

  Verifica la configuración del panel de postura de seguridad existente en una flota:

   gcloud container fleet describe
  

  Usa el comando update como se describió antes con el nivel de análisis de vulnerabilidades de las cargas de trabajo al que deseas cambiar:

  gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
  

Inhabilita las funciones del panel de postura de seguridad a nivel de la flota

• Para inhabilitar la auditoría de configuración de la carga de trabajo, ejecuta el siguiente comando:

  gcloud container fleet update --security-posture disabled
  

• Para inhabilitar el análisis de vulnerabilidades de las cargas de trabajo, ejecuta el siguiente comando:

  gcloud container fleet update --workload-vulnerability-scanning disabled
  

Si inhabilitas la configuración a nivel de la flota para estas funciones, tus cargas de trabajo actuales en clústeres miembros existentes se analizan y puedes ver los problemas de seguridad en el panel de postura de seguridad. Sin embargo, los clústeres nuevos que crees en esa flota no se analizarán en busca de problemas, a menos que habilites las funciones de postura de seguridad en ellos de forma individual.

Próximos pasos

• Obtén información sobre las diferentes funciones de Google Cloud para proteger los clústeres y las cargas de trabajo.
• Obtén información sobre cómo la auditoría de la configuración de la carga de trabajo detecta problemas comunes de configuración de seguridad.
• Obtén información sobre cómo el análisis de vulnerabilidades de las cargas de trabajo analiza tu paquete de SO y paquetes de lenguaje de aplicaciones en busca de problemas de seguridad.