La piattaforma Google Kubernetes Engine (GKE) dashboard della security posture fornisce consigli utili e strategici per migliorare cluster strategia di sicurezza. Se hai attivato GKE Enterprise, può abilitare la security posture come configurazione predefinita del parco risorse. Questa pagina mostra come configurare questi valori predefiniti per il parco.
Puoi creare valori predefiniti a livello di parco risorse per le seguenti impostazioni della dashboard della security posture:
- Livello
standard
di analisi della security posture di Kubernetes: controlla i cluster e i carichi di lavoro nel tuo parco risorse per rilevare eventuali problemi comuni di configurazione della sicurezza. - Analisi delle vulnerabilità dei carichi di lavoro, disponibile nei seguenti livelli:
- Analisi delle vulnerabilità del sistema operativo per i carichi di lavoro (livello
standard
): analizza il sistema operativo del container per verificare se esistono vulnerabilità note. - Advanced Vulnerability Insights (livello
enterprise
): analizza il sistema operativo e i pacchetti di linguaggio dei container per rilevare le vulnerabilità note.
- Analisi delle vulnerabilità del sistema operativo per i carichi di lavoro (livello
Per scoprire come configurare queste impostazioni per i singoli cluster, consulta le seguenti risorse:
- Controllare automaticamente i carichi di lavoro per verificare la presenza di problemi di configurazione
- Analizza automaticamente i carichi di lavoro per rilevare le vulnerabilità note
Configura valori predefiniti a livello di parco risorse
Questa sezione descrive come configurare le funzionalità della dashboard della security posture come impostazioni predefinite a livello di parco risorse. Tutti i nuovi cluster che registri in un parco risorse durante la creazione del cluster hanno le funzionalità di security posture specificate abilitate. Le impostazioni predefinite a livello di parco risorse che configuri hanno la precedenza su qualsiasi impostazione predefinita della strategia di sicurezza di GKE. Per visualizzare il valore predefinito applicabili alla tua versione di GKE, consulta le Tabella delle funzionalità specifiche per i cluster.
Per configurare valori predefiniti a livello di parco risorse per la security posture, completa la seguenti passaggi:
Console
Nella console Google Cloud, vai alla pagina Gestore funzionalità.
Nel riquadro Security posture, fai clic su Configura.
Rivedi le tue impostazioni a livello di parco risorse. Tutti i nuovi cluster che registri nel del parco risorse ereditano queste impostazioni.
(Facoltativo) Per modificare le impostazioni predefinite, fai clic su Personalizza parco risorse impostazioni. Nella finestra di dialogo Personalizza la configurazione predefinita del parco risorse che procedi nel seguente modo:
- In Controllo configurazione, scegli se controllo della configurazione deve essere attivato o disattivato.
- Per Analisi delle vulnerabilità, seleziona il livello di analisi delle vulnerabilità che preferisci: Disattivata, Di base o Avanzata (consigliata).
- Fai clic su Salva.
Se in seguito disabiliti la configurazione a livello di parco risorse per queste funzionalità, carichi di lavoro attuali nei cluster membri esistenti vengono ancora analizzati i problemi di sicurezza sono visualizzati nella dashboard della security posture. Tuttavia, i nuovi cluster che crei nel parco risorse non verranno analizzati a meno che non abiliti le funzionalità della security posture singolarmente.
Per applicare l'impostazione ai nuovi cluster, fai clic su Configura.
Nella finestra di dialogo di conferma, fai clic su Conferma.
(Facoltativo) Sincronizza i cluster esistenti con le impostazioni predefinite:
- Nell'elenco Cluster nel parco risorse, seleziona i cluster che ti interessano da sincronizzare.
- Fai clic su Sincronizza con le impostazioni del parco risorse e fai clic su Conferma nella finestra di dialogo di conferma visualizzata. Il completamento dell'operazione può richiedere alcuni minuti.
gcloud
Assicurati di avere la versione 455.0.0 o successiva di gcloud CLI.
Configurare i valori predefiniti per un nuovo parco risorse
Puoi creare un parco vuoto con le funzionalità della dashboard della postura di sicurezza che vuoi attivare.
Per creare un parco risorse con il controllo della configurazione del carico di lavoro abilitato, esegui il seguente comando:
gcloud container fleet create --security-posture standard
Per creare un parco risorse con l'analisi delle vulnerabilità dei carichi di lavoro abilitata, esegui il seguente comando:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Sostituisci
VULNERABILITY_SCANNING_TIER
con uno dei seguenti valori:standard
: analizza il sistema operativo dei container per verificare se esistono vulnerabilità note.enterprise
: analizza i pacchetti di linguaggio e sistema operativo del container per le vulnerabilità.
Configura le impostazioni predefinite per un parco risorse esistente
Per abilitare il controllo della configurazione dei carichi di lavoro su un parco risorse esistente, esegui seguente comando:
gcloud container fleet update --security-posture standard
Per attivare l'analisi delle vulnerabilità dei carichi di lavoro in un parco risorse esistente, esegui il seguente comando:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Sostituisci
VULNERABILITY_SCANNING_TIER
con uno dei seguenti valori:standard
: analizza il sistema operativo dei container per verificare se esistono vulnerabilità note.enterprise
: analizza il sistema operativo e i pacchetti di lingua dei container per verificare se esistono vulnerabilità note.
Per modificare il livello di analisi delle vulnerabilità dei carichi di lavoro su un parco risorse esistente:
Controlla le impostazioni della dashboard della security posture esistenti su un parco risorse:
gcloud container fleet describe
Utilizza il comando
update
come descritto in precedenza con il livello di scansione del carico di lavoro a cui vuoi passare:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Disattivare le funzionalità della dashboard della postura di sicurezza a livello di parco risorse
Per disattivare il controllo della configurazione del carico di lavoro, esegui il seguente comando:
gcloud container fleet update --security-posture disabled
Per disattivare l'analisi delle vulnerabilità dei carichi di lavoro, esegui il seguente comando:
gcloud container fleet update --workload-vulnerability-scanning disabled
Se disabiliti la configurazione a livello di parco risorse per queste funzionalità, lo stato attuale carichi di lavoro nei cluster membro esistenti vengono ancora analizzati e puoi vedere sulla dashboard della security posture. Tuttavia, qualsiasi nuovo i cluster che crei in quel parco risorse non verranno analizzati per rilevare eventuali problemi, a meno che tu abilitare le funzionalità della security posture singolarmente.
Passaggi successivi
- Scopri la gamma di funzionalità di Google Cloud per proteggere i tuoi cluster e carichi di lavoro.
- Scopri come il controllo della configurazione del carico di lavoro rileva i problemi di configurazione di sicurezza più comuni.
- Scopri in che modo l'analisi delle vulnerabilità del carico di lavoro analizza il sistema operativo del contenitore e i pacchetti di linguaggio dell'applicazione per rilevare problemi di sicurezza.