GKE セキュリティポスチャーダッシュボードの機能をフリートレベルで構成する

Autopilot Standard

Google Kubernetes Engine（GKE）セキュリティポスチャーダッシュボードには、クラスタのセキュリティポスチャーを改善するために役立つ推奨事項が出力されます。GKE Enterprise を有効にしている場合は、フリートのデフォルト構成としてセキュリティポスチャーを有効にできます。このページでは、これらのフリートのデフォルトを構成する方法について説明します。

セキュリティ対策ダッシュボードの次の設定について、フリートレベルのデフォルトを作成できます。

Kubernetes セキュリティ対策スキャン（standard ティア）: フリート内のクラスタとワークロードを監査し、一般的なセキュリティ構成の問題がないか調べます。
ワークロードの脆弱性スキャン（次のティアで利用可能）:
- ワークロード OS の脆弱性スキャン（standard ティア）: 既知の脆弱性についてコンテナ OS をスキャンします。
- Advanced Vulnerability Insights（enterprise ティア）: 既知の脆弱性についてコンテナ OS と言語パッケージをスキャンします。

これらの設定を個々のクラスタに構成する方法については、次のリソースをご覧ください。

フリートレベルのデフォルトを構成する

このセクションでは、セキュリティポスチャーダッシュボードの機能をフリートレベルのデフォルトとして構成する方法について説明します。クラスタの作成時にフリートに登録した新しいクラスタでは、指定したセキュリティポスチャー機能が有効になります。構成したフリートレベルのデフォルト設定は、GKE セキュリティポスチャーのデフォルト設定よりも優先されます。ご使用の GKE エディションに適用されるデフォルト設定については、クラスタ固有の機能の表をご覧ください。

セキュリティポスチャーのフリートレベルのデフォルトを構成するには、次の手順を行います。

コンソール

Google Cloud コンソールで、[機能マネージャー] ページに移動します。

機能マネージャーに移動
[セキュリティ対策] ペインで [構成] をクリックします。
フリートレベルの設定を確認します。フリートに登録した新しいクラスタすべてに、これらの設定が継承されます。
省略可: デフォルトの設定を変更するには、[フリートの設定をカスタマイズ] をクリックします。表示された [フリートのデフォルト構成をカスタマイズする] ダイアログで、次の操作を行います。
1. [構成の監査] では、構成の監査を有効にするかどうかを選択します。
2. [脆弱性スキャン] で、必要な脆弱性スキャンのレベルを選択します。[無効]、[基本]、[詳細（推奨）] のいずれかを選択します。
3. [保存] をクリックします。
これらの機能に対するフリートレベルの構成を後で無効にしても、既存のメンバークラスタ内の現在のワークロードはスキャンされ、セキュリティに関する懸念事項がセキュリティポスチャーダッシュボードに出力されます。ただし、そのフリートに作成した新しいクラスタは、セキュリティポスチャー機能を個別に有効にしない限り、スキャンされません。
新しいクラスタに設定を適用するには、[構成] をクリックします。
確認のダイアログで [確認] をクリックします。
省略可: 既存のクラスタをデフォルト設定に同期します。
1. [フリート内のクラスタ] リストで、同期するクラスタを選択します。
2. [フリートの設定に同期] をクリックし、表示された確認ダイアログで [確認] をクリックします。このオペレーションには数分かかることがあります。

gcloud

gcloud CLI バージョン 455.0.0 以降があることを確認します。

新しいフリートのデフォルトを構成する

有効にするセキュリティポスチャーダッシュボード機能で、空のフリートを作成できます。

ワークロード構成の監査を有効にしてフリートを作成するには、次のコマンドを実行します。
```
gcloud container fleet create --security-posture standard
```
ワークロードの脆弱性スキャンが有効になっているフリートを作成するには、次のコマンドを実行します。
```
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```
VULNERABILITY_SCANNING_TIER は次のいずれかの値に置き換えます。
- standard: 既知の脆弱性についてコンテナ OS をスキャンします。
- enterprise: 既知の脆弱性についてコンテナ OS と言語パッケージをスキャンします。

既存のフリートのデフォルトを構成する

既存のフリートでワークロード構成の監査を有効にするには、次のコマンドを実行します。
```
gcloud container fleet update --security-posture standard
```
既存のフリートでワークロードの脆弱性スキャンを有効にするには、次のコマンドを実行します。
```
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```
VULNERABILITY_SCANNING_TIER は次のいずれかの値に置き換えます。
- standard: 既知の脆弱性についてコンテナ OS をスキャンします。
- enterprise: 既知の脆弱性についてコンテナ OS と言語パッケージをスキャンします。
既存のフリートのワークロード脆弱性スキャンティアを変更するには:
1. フリートの既存のセキュリティポスチャーダッシュボードの設定を確認します。
```
gcloud container fleet describe
```
2. 変更先のワークロードのスキャンティアで、前述の update コマンドを使用します。
```
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```

フリートレベルでセキュリティポスチャーダッシュボードの機能を無効にする

ワークロード構成の監査を無効にするには、次のコマンドを実行します。
```
gcloud container fleet update --security-posture disabled
```
ワークロードの脆弱性スキャンを無効にするには、次のコマンドを実行します。
```
gcloud container fleet update --workload-vulnerability-scanning disabled
```

これらの機能に対するフリートレベルの構成を無効にしても、既存のメンバークラスタ内の現在のワークロードはスキャンされ、セキュリティに関する懸念事項がセキュリティポスチャーダッシュボードに出力されます。ただし、そのフリートに作成した新しいクラスタは、セキュリティポスチャー機能を個別に有効にしない限り、スキャンされません。

次のステップ

クラスタとワークロードを保護するための Google Cloud のさまざまな機能について学習する。
ワークロード構成の監査でセキュリティ構成に関する一般的な懸念事項を検出する方法を学習する。
ワークロードの脆弱性スキャンが、セキュリティの懸念事項についてコンテナ OS とアプリケーション言語パッケージをスキャンする方法を学習する。

GKE セキュリティ ポスチャー ダッシュボードの機能をフリートレベルで構成する