Auf dieser Seite erhalten Sie einen Überblick über das GKE-Compliance-Dashboard in der Google Cloud Console. Es bietet umsetzbare Informationen zur Verbesserung Ihres Sicherheitsstatus. Weitere Informationen zum Dashboard finden Sie auf der Seite Compliance in der Google Cloud Console.
Das GKE-Compliance-Dashboard ist für Nutzer verfügbar, die GKE Enterprise aktiviert haben.
Wann sollte das GKE-Compliance-Dashboard verwendet werden?
Sie sollten das GKE-Compliance-Dashboard verwenden, wenn Sie ein Compliance-Beauftragter, Sicherheitsadministrator oder Plattformadministrator sind und Compliance-Berichte für Branchen-Benchmarks und -Standards automatisieren möchten. Nutzen Sie dabei eine integrierte Anleitung zur Lösung von Compliance-Problemen.
Nutzung als Teil einer umfassenden Sicherheitsstrategie
Um eine umfassende Abdeckung Ihrer Anwendungen während des gesamten Lebenszyklus von der Versionsverwaltung bis zur Wartung zu erreichen, empfehlen wir die Verwendung des Dashboards mit anderen Sicherheitstools.
GKE bietet die folgenden Tools zur Überwachung von Sicherheit und Compliance in der Google Cloud Console:
- Sicherheitsstatus-Dashboard: Verfügbar in der GKE Standard- und der GKE Enterprise-Stufe.
- GKE-Compliance-Dashboard: Verfügbar in der GKE Enterprise-Stufe.
Weitere Informationen zu anderen verfügbaren Tools und Best Practices zum Schutz Ihrer Anwendungen von Anfang bis Ende finden Sie unter Softwarelieferkette schützen.
Außerdem empfehlen wir dringend, so viele Empfehlungen wie möglich aus Clustersicherheit erhöhen zu implementieren.
Funktionsweise des GKE-Compliance-Dashboards
Wenn Sie das GKE-Compliance-Dashboard verwenden möchten, aktivieren Sie die Container Security API in Ihrem Projekt. Das Dashboard enthält Statistiken zu den folgenden Standards:
Name |
Beschreibung |
CIS Google Kubernetes Engine Benchmark v1.5.0 |
Eine Reihe empfohlener Sicherheitskontrollen zum Konfigurieren von Google Kubernetes Engine (GKE), die auf den CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0 basieren. |
Pod Security Standards Baseline |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Grundrichtlinie für Kubernetes Pod-Sicherheitsstandards (PSS) basieren. |
Pod Security Standards Restricted |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Kubernetes Pod Security Standards (PSS) Restricted-Richtlinie basieren. |
Vorteile des GKE-Compliance-Dashboards
Das GKE-Compliance-Dashboard ist eine grundlegende Compliance-Maßnahme, die Sie für jeden zulässigen GKE Enterprise-Cluster aktivieren können. Google Cloud empfiehlt aus folgenden Gründen, das GKE-Compliance-Dashboard für alle Cluster zu verwenden:
- End-to-End-Compliance: Sie erhalten umfassende Compliance-Bewertungen von Cluster- bis hin zu Containerarbeitslasten.
- Umsetzbare Empfehlungen: Wenn verfügbar, zeigt das Dashboard zur Sicherheitsstatus-Compliance Maßnahmen zur Behebung erkannter Probleme auf. Zu diesen Maßnahmen gehören Beispiele für Konfigurationsänderungen, die Sie vornehmen sollten, und Ratschläge zur Verbesserung der Einhaltung bestimmter Standards.
- Zentralisierte Visualisierung: Das Dashboard zum Compliance-Status bietet eine allgemeine Visualisierung der Aspekt, die sich auf Cluster in Ihrer Flotte auswirken. Es enthält Diagramme und Grafiken, die Ihren Fortschritt und die potenziellen Auswirkungen der einzelnen Aspekte zeigen.
- Automatisierte Berichterstellung: Sie können Ihre Arbeitslasten automatisch anhand von branchenüblichen Standards prüfen und umsetzbare, nachweisbare Berichte zur Compliance erhalten.
Preise
Das Dashboard zum Compliance-Status wird über die GKE Enterprise API angeboten. Weitere Informationen zu den Preisen für GKE Enterprise finden Sie auf der Preisseite für GKE.
Die Seite „Compliance“
Die Seite „Compliance“ in der Google Cloud Console hat die folgenden Tabs:
- Dashboard: Eine allgemeine visuelle Darstellung der Ergebnisse der Compliance-Audit.
- Bedenken: Eine detaillierte, filterbare Ansicht aller Compliance-Probleme, die durch die Compliance-Prüfung erkannt wurden.
Dashboard
Auf dem Tab Dashboard werden alle Compliance-Probleme in Ihren Clustern und Arbeitslasten visuell dargestellt. Das Dashboard enthält Diagramme und standardspezifische Informationen. Weitere Informationen zu den verfügbaren Standards finden Sie unter Funktionsweise des Dashboards für den Compliance-Status.
Bedenken
Auf dem Tab Bedenken werden aktive Compliance-Bedenken aufgeführt, die bei der Prüfung Ihrer Cluster und Arbeitslasten erkannt wurden.
Sie können für einzelne Standards Details und Optionen zur Risikominimierung aufrufen. Sie können die Ansicht ändern, um Probleme für einzelne Standards anzuzeigen, oder nach dem betroffenen Cluster filtern. Wenn Sie Details zu einem bestimmten Problem aufrufen möchten, maximieren Sie den Bereich für den Standard, bis der Link zur Beschreibung angezeigt wird. Klicken Sie dann auf die Standardbeschreibung, um den Bereich Compliance-Einschränkung zu öffnen.
Beispielworkflow
Dieser Abschnitt ist ein Beispiel für den Workflow eines Clusteradministrators, der seine Cluster auf Compliance-Probleme in Hinsicht auf den Basisstandard der Pod-Sicherheitsstandards prüfen möchte.
- Registrieren Sie den Cluster mithilfe der Google Cloud Console für die Compliance.
- Prüfen Sie das GKE-Compliance-Dashboard auf Ergebnisse. Es kann bis zu 15 Minuten dauern, bis diese angezeigt werden.
- Klicken Sie auf den Tab Bedenken, um die detaillierten Ergebnisse zu öffnen.
- Wählen Sie den Standardfilter Grundlegende Pod-Sicherheitsstandards aus.
- Maximieren Sie die Referenz zu Pod-Sicherheitsstandards und zu Privilegierten Containern und klicken Sie dann auf Privilegierte Container nicht zulassen, um den Bereich Compliance-Einschränkung für den Basisstandard der Pod-Sicherheitsstandards aufzurufen.
- Beachten Sie auf dem Tab Details die empfohlene Konfigurationsänderung und aktualisieren Sie die Pod-Spezifikation mit der Empfehlung.
- Wenden Sie die aktualisierte Pod-Spezifikation auf den Cluster an.
Wenn die Compliance-Prüfung das nächste Mal ausgeführt wird, zeigt das GKE-Compliance-Dashboard nicht mehr das Problem an, das Sie behoben haben.