本页面简要介绍了 Google Cloud 控制台中的 GKE 合规性信息中心,其中提供了富有实用价值的分析洞见来加强安全状况。如需自行探索该信息中心,请转到 Google Cloud 控制台中的合规性页面。
启用了 GKE Enterprise 的用户可使用 GKE Compliance 信息中心。
何时使用 GKE 合规性信息中心
如果您是合规专员、安全管理员或平台管理员,希望针对行业基准和标准自动执行合规性报告,并获得有关解决合规性问题的内置指导,那么应使用 GKE 合规性信息中心。
作为广泛安全策略的一部分使用
为了在从源代码控制到维护的整个生命周期内全面覆盖您的应用,我们建议您将该信息中心与其他安全工具结合使用。
GKE 在 Google Cloud 控制台中提供了以下工具来监控安全性和合规性:
- 安全状况信息中心:在 GKE Standard 层级和 GKE Enterprise 层级提供。
- GKE 合规性信息中心:在 GKE Enterprise 层级提供。
如需详细了解其他可用的工具以及端到端保护应用的最佳实践,请参阅保护软件供应链。
我们还强烈建议您参阅加固集群安全性来实施尽可能多的建议。
GKE 合规性信息中心的工作方式
如需使用 GKE Compliance 信息中心,请在项目中启用 Container Security API。该信息中心会根据以下标准显示分析洞见:
名称 |
说明 |
CIS Google Kubernetes Engine 基准 v1.5.0 |
一组用于配置 Google Kubernetes Engine (GKE) 的建议安全控制措施,基于 CIS Google Kubernetes Engine (GKE) 基准 v1.5.0。 |
Pod 安全标准基准 |
一组适用于 Kubernetes 集群的建议保护措施,基于 Kubernetes Pod 安全标准 (PSS) 基准政策。 |
Pod 安全标准受限 |
一组适用于 Kubernetes 集群的建议保护措施,基于 Kubernetes Pod 安全标准 (PSS) 受限政策。 |
GKE 合规性信息中心的优势
GKE Compliance 信息中心是您可以为任何符合条件的 GKE Enterprise 集群启用的基础合规性措施。Google Cloud 建议您对所有集群使用 GKE Compliance 信息中心,原因如下:
- 端到端合规性:获取从集群到容器工作负载的全面合规性评估。
- 切实可行的建议:合规状况信息中心(如果有)提供操作项以解决发现的问题。这些操作包括要进行的配置更改示例以及有关如何针对特定标准提高合规性的建议。
- 集中式可视化:合规状况信息中心会简明地显示影响整个舰队中的集群的问题,并包含图表和图形以显示您取得的进展以及每个问题的潜在影响。
- 自动报告:根据针对性的行业标准自动审核工作负载,并获取切实可行、可证明的合规性报告。
价格
合规状况信息中心通过 GKE Enterprise API 提供。如需详细了解 GKE Enterprise 价格,请参阅 GKE 价格页面。
“合规性”页面简介
Google Cloud 控制台中的“合规性”页面具有以下标签页:
- 信息中心:合规性审核结果的简明直观表示。包含图表和特定于标准的信息。如需详细了解可用标准,请参阅本文档中的合规状况信息中心的工作方式。
- 问题:通过合规性审核检测到的任何合规性问题的可过滤详细视图。您可以选择各个标准以获得详细信息和缓解选项。您可以更改视图以显示各个标准的相关问题,也可以按受影响的集群进行过滤。如需查看特定问题的详细信息,请展开标准部分,直到看到说明链接,然后点击标准说明以打开合规限制条件窗格。
工作流示例
本部分是一种工作流示例,适用于希望根据 Pod 安全标准基准标准检查集群是否存在合规性问题的集群管理员。
- 使用 Google Cloud 控制台在合规性方面注册集群。
- 查看 GKE Compliance 信息中心以获取结果,最多可能需要 15 分钟才会显示。
- 点击问题标签页以打开详细结果。
- 选择 Pod 安全标准基准标准过滤条件。
- 展开 Pod 安全标准基准和特权容器,然后点击 Disallow privileged containers(禁止特权容器)以打开 Pod 安全标准基准标准的对应合规限制条件窗格。
- 在详细信息标签页上,记下建议的配置更改并按照建议更新 Pod 规范。
- 将更新后的 Pod 规范应用于集群。
下次合规性审核运行时,GKE Compliance 信息中心将不再显示您已修复的问题。