Questa pagina spiega come configurare le impostazioni predefinite a livello di parco per la dashboard della strategia di sicurezza di Google Kubernetes Engine (GKE). La dashboard sulla postura di sicurezza fornisce suggerimenti attendibili e strategici per migliorare la postura di sicurezza dei cluster. Se hai abilitato GKE Enterprise, puoi attivare le impostazioni per la dashboard della postura di sicurezza a livello di parco risorse.
Puoi creare valori predefiniti a livello di parco risorse per le seguenti impostazioni della dashboard della security posture:
- Livello
standard
di analisi della strategia di sicurezza di Kubernetes: controlla i cluster e i workload nel tuo parco risorse per rilevare eventuali problemi comuni di configurazione della sicurezza. - Analisi delle vulnerabilità dei workload, disponibile nei seguenti livelli:
- Analisi delle vulnerabilità del sistema operativo per i carichi di lavoro (livello
standard
): analizza il sistema operativo del container per verificare se esistono vulnerabilità note. - Advanced Vulnerability Insights (livello
enterprise
): analizza il sistema operativo e i pacchetti di linguaggio dei container per rilevare le vulnerabilità note.
- Analisi delle vulnerabilità del sistema operativo per i carichi di lavoro (livello
Questa pagina è rivolta agli esperti di sicurezza che vogliono implementare soluzioni di rilevamento delle vulnerabilità proprietarie in un parco di cluster. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività utente comuni di GKE Enterprise.
Prima di leggere questa pagina, assicurati di conoscere la panoramica generale della scansione delle vulnerabilità del carico di lavoro.
Per scoprire come configurare queste impostazioni per i singoli cluster, consulta le seguenti risorse:
- Eseguire automaticamente il controllo dei workload per rilevare problemi di configurazione
- Eseguire automaticamente la scansione dei carichi di lavoro per rilevare vulnerabilità note
Configura i valori predefiniti a livello di parco risorse
Questa sezione descrive come configurare le funzionalità della dashboard della posizione di sicurezza come predefinite a livello di parco risorse. Tutti i nuovi cluster che registri in un parco risorse durante la creazione del cluster hanno le funzionalità di security posture specificate abilitate. Le impostazioni predefinite a livello di parco risorse che configuri hanno la precedenza su qualsiasi impostazione predefinita della strategia di sicurezza di GKE. Per visualizzare le impostazioni predefinite che si applicano alla tua versione di GKE, consulta la tabella delle funzionalità specifiche del cluster.
Per configurare i valori predefiniti a livello di parco risorse per la security posture, completa i seguenti passaggi:
Console
Nella console Google Cloud, vai alla pagina Gestione funzionalità.
Nel riquadro Posizione di sicurezza, fai clic su Configura.
Rivedi le impostazioni a livello di parco risorse. Tutti i nuovi cluster che registri nel parco risorse erediteranno queste impostazioni.
(Facoltativo) Per modificare le impostazioni predefinite, fai clic su Personalizza le impostazioni del parco. Nella finestra di dialogo Personalizza la configurazione predefinita del parco risorse che viene visualizzata, procedi nel seguente modo:
- In Controllo della configurazione, scegli se attivare o disattivare il controllo della configurazione.
- Per Analisi delle vulnerabilità, seleziona il livello di analisi delle vulnerabilità che preferisci: Disattivata, Di base o Avanzata (consigliata).
- Fai clic su Salva.
Se in un secondo momento disattivi la configurazione a livello di parco risorse per queste funzionalità, i workload attuali nei cluster membri esistenti vengono comunque analizzati e puoi visualizzare i problemi di sicurezza nella dashboard della sicurezza. Tuttavia, i nuovi cluster che crei nel parco risorse non verranno sottoposti a scansione per rilevare eventuali problemi, a meno che non attivi le funzionalità di stato di sicurezza su ciascun cluster.
Per applicare l'impostazione ai nuovi cluster, fai clic su Configura.
Nella finestra di dialogo di conferma, fai clic su Conferma.
(Facoltativo) Sincronizza i cluster esistenti con le impostazioni predefinite:
- Nell'elenco Cluster nel parco risorse, seleziona i cluster che vuoi sincronizzare.
- Fai clic su Sincronizza con le impostazioni del parco e poi su Conferma nella finestra di dialogo di conferma visualizzata. Il completamento dell'operazione può richiedere alcuni minuti.
gcloud
Assicurati di avere la versione 455.0.0 o successiva di gcloud CLI.
Configurare i valori predefiniti per un nuovo parco risorse
Puoi creare un parco vuoto con le funzionalità della dashboard della postura di sicurezza che vuoi attivare.
Per creare un parco risorse con il controllo della configurazione del workload abilitato, esegui il seguente comando:
gcloud container fleet create --security-posture standard
Per creare un parco risorse con l'analisi delle vulnerabilità dei workload abilitata, esegui il seguente comando:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Sostituisci
VULNERABILITY_SCANNING_TIER
con uno dei seguenti valori:standard
: esegui la scansione del sistema operativo del contenitore per rilevare vulnerabilità note.enterprise
: analizza il sistema operativo e i pacchetti di lingua dei container per verificare se esistono vulnerabilità note.
Configurare i valori predefiniti per un parco risorse esistente
Per attivare il controllo della configurazione dei workload in un parco risorse esistente, esegui il seguente comando:
gcloud container fleet update --security-posture standard
Per attivare l'analisi delle vulnerabilità dei workload in un parco risorse esistente, esegui il seguente comando:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Sostituisci
VULNERABILITY_SCANNING_TIER
con uno dei seguenti valori:standard
: esegui la scansione del sistema operativo del contenitore per rilevare vulnerabilità note.enterprise
: analizza il sistema operativo e i pacchetti di lingua dei container per verificare se esistono vulnerabilità note.
Per modificare il livello di analisi delle vulnerabilità dei workload in un parco risorse esistente:
Controlla le impostazioni esistenti della dashboard della security posture in un parco risorse:
gcloud container fleet describe
Utilizza il comando
update
come descritto in precedenza con il livello di scansione del carico di lavoro a cui vuoi passare:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Disattivare le funzionalità della dashboard della postura di sicurezza a livello di parco risorse
Per disattivare il controllo della configurazione del carico di lavoro, esegui il seguente comando:
gcloud container fleet update --security-posture disabled
Per disattivare l'analisi delle vulnerabilità dei workload, esegui il seguente comando:
gcloud container fleet update --workload-vulnerability-scanning disabled
Se disattivi la configurazione a livello di parco risorse per queste funzionalità, i workload attuali nei cluster di membri esistenti vengono comunque analizzati e puoi visualizzare i problemi di sicurezza nella dashboard della security posture. Tuttavia, i nuovi cluster che crei nel parco risorse non verranno sottoposti a scansione per rilevare eventuali problemi, a meno che non attivi le funzionalità di stato di sicurezza su ciascun cluster.
Passaggi successivi
- Scopri la gamma di Google Cloud funzionalità per proteggere i tuoi cluster e i tuoi carichi di lavoro.
- Scopri come il controllo della configurazione del workload rileva i problemi di configurazione di sicurezza più comuni.
- Scopri in che modo l'analisi delle vulnerabilità del carico di lavoro esegue la scansione del sistema operativo del contenitore e dei pacchetti di linguaggio dell'applicazione per rilevare problemi di sicurezza.