Diese Seite bietet einen Überblick über das GKE-Compliance-Dashboard in der Google Cloud Console, das umsetzbare Informationen zur Verbesserung Ihres Sicherheitsstatus bietet. Rufen Sie die Seite Compliance in der Google Cloud Console auf, um sich das Dashboard selbst anzusehen.
Das GKE-Compliance-Dashboard ist für Nutzer verfügbar, die GKE Enterprise aktiviert haben.
Wann sollte das GKE-Compliance-Dashboard verwendet werden?
Sie sollten das GKE-Compliance-Dashboard verwenden, wenn Sie ein Compliance-Beauftragter, Sicherheitsadministrator oder Plattformadministrator sind und Compliance-Berichte für Branchen-Benchmarks und -Standards automatisieren möchten. Nutzen Sie dabei eine integrierte Anleitung zur Lösung von Compliance-Problemen.
Funktionsweise des GKE-Compliance-Dashboards
Damit Sie das GKE-Compliance-Dashboard verwenden können, aktivieren Sie in Ihrem Projekt die Container Security API. Im Dashboard werden Statistiken basierend auf den folgenden Standards angezeigt:
Name |
Beschreibung |
CIS Google Kubernetes Engine Benchmark v1.5.0 |
Eine Reihe empfohlener Sicherheitskontrollen für die Konfiguration von Google Kubernetes Engine (GKE), die auf CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0 basiert. |
Pod Security Standards Baseline |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Grundrichtlinie für Kubernetes Pod-Sicherheitsstandards (PSS) basieren. |
Pod Security Standards Restricted |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Richtlinie „Eingeschränkt“ für Kubernetes Pod-Sicherheitsstandards (PSS) basieren. |
Vorteile des GKE-Compliance-Dashboards
Das GKE-Compliance-Dashboard ist eine grundlegende Compliance-Maßnahme, die Sie für jeden zulässigen GKE Enterprise-Cluster aktivieren können. Google Cloud empfiehlt aus folgenden Gründen, das GKE-Compliance-Dashboard für alle Cluster zu verwenden:
- End-to-End-Compliance: Sie erhalten umfassende Compliancebewertungen von Cluster- zu Containerarbeitslasten.
- Umsetzbare Empfehlungen: Wenn verfügbar, zeigt das Dashboard zur Sicherheitsstatus-Compliance Maßnahmen zur Behebung erkannter Probleme auf. Diese Maßnahmen enthalten Beispiele für Konfigurationsänderungen, die Sie vornehmen sollten, und Ratschläge dazu, wie Sie Ihre Compliance anhand bestimmter Standards verbessern können.
- Zentralisierte Visualisierung: Das Dashboard zum Compliance-Status bietet eine allgemeine Visualisierung der Aspekt, die sich auf Cluster in Ihrer Flotte auswirken. Es enthält Diagramme und Grafiken, die Ihren Fortschritt und die potenziellen Auswirkungen der einzelnen Aspekte zeigen.
- Automatisierte Berichterstellung: Prüfen Sie Ihre Arbeitslasten automatisch anhand von Branchenstandards und erhalten Sie umsetzbare, nachweisbare Complianceberichte.
Preise
Das Dashboard zum Compliance-Status wird über die GKE Enterprise API angeboten. Weitere Informationen zu den GKE Enterprise-Preisen finden Sie auf der Seite GKE-Preise.
Seite „Compliance“
Die Seite „Compliance“ in der Google Cloud Console hat die folgenden Tabs:
- Dashboard: Eine allgemeine visuelle Darstellung der Ergebnisse der Compliance-Prüfung. Umfasst Diagramme und standardspezifische Informationen. Weitere Informationen zu den verfügbaren Standards finden Sie in diesem Dokument unter Funktionsweise des Dashboards für den Compliance-Status.
- Bedenken: Eine detaillierte, filterbare Ansicht aller Compliance-Probleme, die durch die Compliance-Prüfung erkannt wurden. Sie können für einzelne Standards Details und Optionen zur Risikominimierung aufrufen. Sie können die Ansicht ändern, um Probleme für einzelne Standards anzuzeigen, oder nach dem betroffenen Cluster filtern. Wenn Sie Details zu einem bestimmten Problem aufrufen möchten, maximieren Sie den Standardabschnitt, bis der Link zur Beschreibung angezeigt wird. Klicken Sie dann auf die Standardbeschreibung, um den Bereich Compliance-Einschränkung zu öffnen.
Beispielworkflow
Dieser Abschnitt ist ein Beispiel für den Workflow eines Clusteradministrators, der seine Cluster auf Compliance-Probleme in Hinsicht auf den Basisstandard der Pod-Sicherheitsstandards prüfen möchte.
- Registrieren Sie den Cluster mithilfe der Google Cloud Console gemäß Compliance.
- Prüfen Sie das GKE-Compliance-Dashboard auf Ergebnisse. Dies kann bis zu 15 Minuten dauern.
- Klicken Sie auf den Tab Bedenken, um die detaillierten Ergebnisse zu öffnen.
- Wählen Sie den Standardfilter Referenz der Pod-Sicherheitsstandards aus.
- Maximieren Sie die Referenz zu Pod-Sicherheitsstandards und zu Privilegierten Containern und klicken Sie dann auf Privilegierte Container nicht zulassen, um den Bereich Compliance-Einschränkung für den Basisstandard der Pod-Sicherheitsstandards aufzurufen.
- Beachten Sie auf dem Tab Details die empfohlene Konfigurationsänderung und aktualisieren Sie die Pod-Spezifikation mit der Empfehlung.
- Wenden Sie die aktualisierte Pod-Spezifikation auf den Cluster an.
Wenn die Compliance-Prüfung das nächste Mal ausgeführt wird, zeigt das GKE-Compliance-Dashboard nicht mehr das Problem an, das Sie behoben haben.