Dasbor postur keamanan Google Kubernetes Engine (GKE) menyediakan rekomendasi opini yang dapat ditindaklanjuti untuk meningkatkan postur keamanan cluster Anda. Jika telah mengaktifkan GKE Enterprise, Anda dapat mengaktifkan postur keamanan sebagai konfigurasi default fleet. Halaman ini menunjukkan cara mengonfigurasi fleet default ini.
Anda dapat membuat setelan default tingkat fleet untuk setelan dasbor postur keamanan berikut:
- Tingkat
standard
pemindaian postur keamanan Kubernetes: audit cluster dan beban kerja di fleet Anda untuk masalah konfigurasi keamanan yang umum. - Pemindaian kerentanan workload, tersedia dalam tingkat berikut:
- Pemindaian kerentanan OS workload (tingkat
standard
): memindai OS container untuk menemukan kerentanan yang diketahui. - Insight kerentanan lanjutan (tingkat
enterprise
): memindai OS container dan paket bahasa untuk menemukan kerentanan yang diketahui.
- Pemindaian kerentanan OS workload (tingkat
Untuk mempelajari cara mengonfigurasi setelan ini bagi masing-masing cluster, lihat referensi berikut:
- Mengaudit workload secara otomatis untuk menemukan masalah konfigurasi
- Memindai beban kerja secara otomatis untuk mencari kerentanan yang diketahui
Mengonfigurasi setelan default tingkat fleet
Bagian ini menjelaskan cara mengonfigurasi fitur dasbor postur keamanan sebagai default tingkat fleet. Setiap cluster baru yang Anda daftarkan ke fleet selama pembuatan cluster akan mengaktifkan fitur postur keamanan yang Anda tentukan. Anda dapat mencari tahu konfigurasi default fleet di Mengelola fitur level fleet.
Guna mengonfigurasi setelan default tingkat fleet untuk postur keamanan, selesaikan langkah-langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Feature Manager.
Di panel Security Posture, klik Configure.
Tinjau setelan tingkat perangkat Anda. Semua klaster baru yang Anda daftarkan ke armada akan mewarisi pengaturan ini.
Opsional: Untuk mengubah setelan default, klik Sesuaikan setelan perangkat. Pada dialog Customize fleet default configuration yang muncul, lakukan tindakan berikut:
- Untuk Audit konfigurasi, pilih apakah audit konfigurasi harus diaktifkan atau dinonaktifkan.
- Untuk Pemindaian kerentanan, pilih tingkat pemindaian kerentanan yang Anda inginkan; Disabled, Basic, atau Advanced (direkomendasikan).
- Klik Save.
Jika nantinya Anda menonaktifkan konfigurasi tingkat fleet untuk fitur ini, beban kerja Anda saat ini di cluster anggota yang ada akan tetap dipindai dan Anda dapat melihat masalah keamanan di dasbor postur keamanan. Namun, cluster baru yang Anda buat di fleet tersebut tidak akan dipindai untuk mendeteksi masalah, kecuali jika Anda mengaktifkan fitur postur keamanan di cluster tersebut satu per satu.
Untuk menerapkan setelan ke cluster baru, klik Konfigurasi.
Pada dialog konfirmasi, klik Confirm.
Opsional: Sinkronkan cluster yang ada ke setelan default:
- Pada daftar Clusters in the fleet, pilih cluster yang ingin Anda sinkronkan.
- Klik Sinkronkan ke setelan fleet, lalu klik Konfirmasi di dialog konfirmasi yang muncul. Operasi ini dapat memerlukan waktu beberapa menit hingga selesai.
gcloud
Pastikan Anda memiliki gcloud CLI versi 455.0.0 atau yang lebih baru.
Mengonfigurasi default untuk perangkat baru
Anda dapat membuat fleet kosong dengan fitur dasbor postur keamanan yang ingin diaktifkan.
Untuk membuat fleet dengan audit konfigurasi workload diaktifkan, jalankan perintah berikut:
gcloud container fleet create --security-posture standard
Untuk membuat fleet yang mengaktifkan pemindaian kerentanan workload, jalankan perintah berikut:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Ganti
VULNERABILITY_SCANNING_TIER
dengan salah satu nilai berikut:standard
: memindai OS container untuk mencari kerentanan yang diketahui.enterprise
: memindai container OS dan paket bahasa untuk mendeteksi kerentanan yang diketahui.
Mengonfigurasi setelan default untuk perangkat yang ada
Untuk mengaktifkan audit konfigurasi workload pada fleet yang ada, jalankan perintah berikut:
gcloud container fleet update --security-posture standard
Untuk mengaktifkan pemindaian kerentanan workload pada fleet yang ada, jalankan perintah berikut:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Ganti
VULNERABILITY_SCANNING_TIER
dengan salah satu nilai berikut:standard
: memindai OS container untuk mencari kerentanan yang diketahui.enterprise
: memindai container OS dan paket bahasa untuk mendeteksi kerentanan yang diketahui.
Untuk mengubah tingkat pemindaian kerentanan workload pada fleet yang ada:
Periksa setelan dasbor postur keamanan yang ada di suatu perangkat:
gcloud container fleet describe
Gunakan perintah
update
seperti yang dijelaskan sebelumnya dengan tingkat pemindaian beban kerja yang ingin Anda ubah:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Nonaktifkan fitur dasbor postur keamanan di tingkat perangkat
Untuk menonaktifkan pengauditan konfigurasi workload, jalankan perintah berikut:
gcloud container fleet update --security-posture disabled
Untuk menonaktifkan pemindaian kerentanan workload, jalankan perintah berikut:
gcloud container fleet update --workload-vulnerability-scanning disabled
Jika Anda menonaktifkan konfigurasi tingkat fleet untuk fitur ini, beban kerja Anda saat ini di cluster anggota yang ada akan tetap dipindai dan Anda dapat melihat masalah keamanan di dasbor postur keamanan. Namun, cluster baru yang Anda buat di fleet tersebut tidak akan dipindai untuk mendeteksi masalah, kecuali jika Anda mengaktifkan fitur postur keamanan di cluster tersebut satu per satu.
Langkah selanjutnya
- Pelajari rangkaian fitur Google Cloud untuk mengamankan cluster dan workload Anda.
- Pelajari cara audit konfigurasi workload mendeteksi masalah konfigurasi keamanan yang umum.
- Pelajari cara pemindaian kerentanan workload memindai container OS dan paket bahasa aplikasi Anda untuk masalah keamanan.