このページでは、Google Cloud コンソールの GKE Compliance ダッシュボードの概要について説明します。このダッシュボードには、セキュリティ ポスチャ―を強化するための実用的な分析情報が表示されます。ダッシュボード自体を調べるには、Google Cloud コンソールで [コンプライアンス] ページに移動します。
GKE Compliance ダッシュボードは、GKE Enterprise を有効にしたユーザーが使用できます。
GKE Compliance ダッシュボードを使用するタイミング
コンプライアンス担当者、セキュリティ管理者、またはプラットフォーム管理者であり、業界のベンチマークと基準に関するコンプライアンス レポートの自動化と、コンプライアンス上の懸念を解決するための組み込みガイダンスをご希望の場合は、GKE Compliance ダッシュボードをご利用ください。
広範なセキュリティ戦略の一環としての使用
ソース管理からメンテナンスまで、ライフサイクル全体でアプリケーションを包括的にカバーするには、ダッシュボードを他のセキュリティ ツールと一緒に使用することをおすすめします。
GKE では、Google Cloud コンソールでセキュリティとコンプライアンスをモニタリングするために、次のツールが用意されています。
- セキュリティ ポスチャー ダッシュボード: GKE スタンダード ティアと GKE エンタープライズ ティアで利用できます。
- GKE Compliance ダッシュボード: GKE エンタープライズ ティアで利用できます。
使用可能な他のツールと、アプリケーションをエンドツーエンドで保護するためのベスト プラクティスに関する詳細は、ソフトウェア サプライ チェーンを保護するをご覧ください。
また、クラスタのセキュリティを強化するの推奨事項を可能な限り多く実装することを強くおすすめします。
GKE Compliance ダッシュボードの仕組み
GKE Compliance ダッシュボードを使用するには、プロジェクトで Container Security API を有効にします。このダッシュボードには、次の基準に基づく分析情報が表示されます。
名前 |
説明 |
CIS Google Kubernetes Engine ベンチマーク v1.5.0 |
CIS Google Kubernetes Engine(GKE)ベンチマーク v1.5.0 に基づいて、Google Kubernetes Engine(GKE)を構成するために推奨される一連のセキュリティ管理。 |
Pod Security Standards Baseline |
Kubernetes Pod Security Standards(PSS)Baseline ポリシーに基づく、Kubernetes クラスタに推奨される一連の保護設定。 |
Pod Security Standards Restricted |
Kubernetes Pod Security Standards(PSS)Restricted ポリシーに基づく、Kubernetes クラスタに推奨される一連の保護設定。 |
GKE Compliance ダッシュボードのメリット
GKE Compliance ダッシュボードは、対象の GKE Enterprise クラスタに対して有効にできる基本的なコンプライアンス対策です。次の理由から、すべてのクラスタで GKE Compliance ダッシュボードを使用することをおすすめします。
- エンドツーエンドのコンプライアンス: クラスタからコンテナ ワークロードまで、包括的なコンプライアンス評価を実施します。
- 具体的な推奨事項: 利用可能な場合は、検出された懸案事項を解決するためのアクション アイテムがコンプライアンス体制ダッシュボードに表示されます。これらのアクションには、行う構成変更の例と、特定の標準に対してコンプライアンスを改善するためのアドバイスが含まれます。
- 一元的な可視化: コンプライアンス体制ダッシュボードでは、フリート全体のクラスタに影響する懸念事項の概要が可視化され、進捗状況と各懸念事項の潜在的な影響を示すチャートとグラフが含まれています。
- 自動レポート作成: 独自の業界基準に照らしてワークロードを自動的に監査し、実用的で証明可能なコンプライアンス レポートを作成します。
料金
コンプライアンス体制ダッシュボードは、GKE Enterprise API を通じて提供されます。GKE Enterprise の料金の詳細については、GKE の料金ページをご覧ください。
コンプライアンス ページについて
Google Cloud コンソールの [コンプライアンス] ページには、次のタブがあります。
- ダッシュボード: コンプライアンス監査の結果の概要を視覚的に表現したものです。
- 懸念事項: コンプライアンス監査で検出されたコンプライアンスの問題を、詳細でフィルタ可能なビューに表示します。
ダッシュボード
[ダッシュボード] タブには、クラスタとワークロードのコンプライアンスに関する問題が視覚的に表示されます。ダッシュボードには、グラフと標準固有の情報が表示されます。利用可能な標準の詳細については、コンプライアンス体制ダッシュボードの仕組みをご覧ください。
懸念事項
[懸念事項] タブには、クラスタとワークロードの監査時に検出されたアクティブなコンプライアンス懸念事項が一覧表示されます。
個々の標準を選択して、その詳細と緩和策を確認できます。ビューを変更して、個々の基準に関する問題を表示したり、影響を受けるクラスタでフィルタしたりできます。特定の懸念事項の詳細を表示するには、標準のセクションを開いて説明リンクを表示し、標準の説明をクリックして [Compliance Constraint] ペインを開きます。
ワークフローの例
このセクションでは、Pod Security Standards Baseline 基準に対するコンプライアンスの懸念事項についてクラスタを調べるクラスタ管理者のワークフローの例を示します。
- Google Cloud コンソールを使用してクラスタをコンプライアンスに登録します。
- GKE Compliance ダッシュボードで結果を確認します。結果が表示されるまでに 15 分ほどかかることがあります。
- [懸念事項] タブをクリックして、詳細な結果を開きます。
- [Pod Security Standards Baseline] 標準フィルタを選択します。
- [Pod Security Standards Baseline] と [Privileged Containers] を開き、[Disallow privileged containers] をクリックして Pod Security Standards Baseline 標準の [Compliance Constraint] ペインを表示します。
- [詳細] タブで、推奨される構成の変更をメモし、推奨事項を使用して Pod 仕様を更新します。
- 更新された Pod 仕様をクラスタに適用します。
次にコンプライアンス監査が実行されると、GKE Compliance ダッシュボードには修正した懸念事項が表示されなくなります。