Configura las funciones del panel de postura de seguridad de GKE a nivel de la flota

Autopilot Estándar

El panel de postura de seguridad de Google Kubernetes Engine (GKE) te proporciona recomendaciones prácticas y bien definidas para mejorar la postura de seguridad de tus clústeres. Si habilitaste GKE Enterprise, puedes habilitar la postura de seguridad como una configuración predeterminada de la flota. En esta página, se muestra cómo configurar estos valores predeterminados de la flota.

Puedes crear valores predeterminados a nivel de la flota para la siguiente configuración del panel de postura de seguridad:

Nivel standard de análisis de posturas de seguridad de Kubernetes: audita los clústeres y las cargas de trabajo de tu flota para detectar problemas comunes de configuración de seguridad.
El análisis de vulnerabilidades de las cargas de trabajo, disponible en los siguientes niveles:
- Análisis de vulnerabilidades del SO de las cargas de trabajo (nivel standard): analiza el SO del contenedor en busca de vulnerabilidades conocidas.
- Estadísticas avanzadas de vulnerabilidades (nivel enterprise): Analiza el SO del contenedor y los paquetes de lenguajes en busca de vulnerabilidades conocidas.

Si deseas obtener información sobre cómo establecer esta configuración para clústeres individuales, consulta los siguientes recursos:

Configura los valores predeterminados a nivel de la flota

En esta sección, se describe cómo configurar las funciones del panel de postura de seguridad como valores predeterminados a nivel de la flota. Cualquier clúster nuevo que registres en una flota durante la creación del clúster tiene habilitadas las funciones de postura de seguridad especificadas. La configuración predeterminada a nivel de la flota que establezcas tiene prioridad sobre cualquier configuración predeterminada de postura de seguridad de GKE. Para ver la configuración predeterminada que se aplica a tu edición de GKE, consulta la Tabla de funciones específicas del clúster.

Para configurar los valores predeterminados a nivel de la flota para la postura de seguridad, completa los siguientes pasos:

Console

En la consola de Google Cloud, ve a la página Administrador de funciones.

Ir a Administrador de funciones
En el panel Postura de seguridad, haz clic en Configurar.
Revisa la configuración a nivel de la flota. Todos los clústeres nuevos que registres en la flota heredarán esta configuración.
Opcional: Para cambiar la configuración predeterminada, haz clic en Personalizar la configuración de la flota. En el cuadro de diálogo Personalizar la configuración predeterminada de la flota que aparece, haz lo siguiente:
1. En Auditoría de configuración, elige si la auditoría de configuración debe estar habilitada o inhabilitada.
2. En Análisis de vulnerabilidades, selecciona el nivel de análisis de vulnerabilidades que desees: Inhabilitado, Básico o Avanzado (recomendado).
3. Haz clic en Guardar.
Si luego inhabilitas la configuración a nivel de la flota para estas funciones, las cargas de trabajo actuales en los clústeres miembros existentes aún se analizan y puedes ver los problemas de seguridad en el panel de postura de seguridad. Sin embargo, los clústeres nuevos que crees en esa flota no se analizarán en busca de problemas, a menos que habilites las funciones de postura de seguridad en ellos de forma individual.
Para aplicar la configuración a los clústeres nuevos, haz clic en Configurar.
En el cuadro de diálogo Confirmación, haz clic en Confirmar.
Opcional: Sincroniza los clústeres existentes con la configuración predeterminada:
1. En la lista Clústeres de la flota, selecciona los clústeres que deseas sincronizar.
2. Haz clic en Sincronizar con la configuración de la flota y, luego, en Confirmar en el cuadro de diálogo de confirmación que aparece. Esta operación puede tardar unos minutos en completarse.

gcloud

Asegúrate de tener la versión 455.0.0 de gcloud CLI o una posterior.

Configura valores predeterminados para una flota nueva

Puedes crear una flota vacía con las funciones del panel de postura de seguridad que deseas habilitar.

Para crear una flota con la auditoría de configuración de las cargas de trabajo habilitada, ejecuta el siguiente comando:
```
gcloud container fleet create --security-posture standard
```
Para crear una flota con el análisis de vulnerabilidades de las cargas de trabajo habilitado, ejecuta el siguiente comando:
```
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```
Reemplaza VULNERABILITY_SCANNING_TIER por uno de los siguientes valores:
- standard: analiza el SO del contenedor en busca de vulnerabilidades conocidas.
- enterprise: analiza el SO del contenedor y los paquetes de lenguajes en busca de vulnerabilidades conocidas.

Configura valores predeterminados para una flota existente

Para habilitar la auditoría de configuración de las cargas de trabajo en una flota existente, ejecuta el siguiente comando:
```
gcloud container fleet update --security-posture standard
```
Para habilitar el análisis de vulnerabilidades de las cargas de trabajo en una flota existente, ejecuta el siguiente comando:
```
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```
Reemplaza VULNERABILITY_SCANNING_TIER por uno de los siguientes valores:
- standard: analiza el SO del contenedor en busca de vulnerabilidades conocidas.
- enterprise: analiza el SO del contenedor y los paquetes de lenguajes en busca de vulnerabilidades conocidas.
Para cambiar el nivel del análisis de vulnerabilidades de las cargas de trabajo en una flota existente, haz lo siguiente:
1. Verifica la configuración existente del panel de postura de seguridad en una flota:
```
gcloud container fleet describe
```
2. Usa el comando update como se describió antes con el nivel de análisis de las cargas de trabajo al que deseas cambiar:
```
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```

Inhabilita las funciones del panel de postura de seguridad a nivel de la flota

Para inhabilitar la auditoría de configuración de las cargas de trabajo, ejecuta el siguiente comando:
```
gcloud container fleet update --security-posture disabled
```
Para inhabilitar el análisis de vulnerabilidades de las cargas de trabajo, ejecuta el siguiente comando:
```
gcloud container fleet update --workload-vulnerability-scanning disabled
```

Si inhabilitas la configuración a nivel de la flota para estas funciones, tus cargas de trabajo actuales en los clústeres miembros existentes aún se analizan y puedes ver los problemas de seguridad en el panel de postura de seguridad. Sin embargo, los clústeres nuevos que crees en esa flota no se analizarán en busca de problemas, a menos que habilites las funciones de postura de seguridad en ellos de forma individual.

¿Qué sigue?

Obtén información sobre la gama de funciones de Google Cloud para proteger tus clústeres y cargas de trabajo.
Obtén información sobre cómo la auditoría de la configuración de las cargas de trabajo detecta problemas comunes de configuración de seguridad.
Obtén información sobre cómo el análisis de vulnerabilidades de las cargas de trabajo analiza el SO del contenedor y los paquetes de lenguaje de la aplicación en busca de problemas de seguridad.