Halaman ini menunjukkan cara mengaudit cluster Anda secara otomatis untuk memeriksa masalah kepatuhan dan mendapatkan rekomendasi yang dapat ditindaklanjuti untuk meningkatkan kepatuhan cluster edisi Google Kubernetes Engine (GKE) Enterprise. Audit kepatuhan adalah fitur dasbor Kepatuhan GKE. Untuk informasi selengkapnya, lihat Tentang dasbor Kepatuhan GKE.
Standar kepatuhan yang didukung
Audit kepatuhan memindai cluster Anda untuk memastikan kepatuhannya terhadap standar berikut dan memberikan rekomendasi untuk meningkatkan postur kepatuhan Anda:
Nama |
Deskripsi |
CIS Google Kubernetes Engine Benchmark v1.5.0 |
Serangkaian kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE), berdasarkan CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0. |
Dasar Pengukuran Standar Keamanan Pod |
Kumpulan perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Dasar Pengukuran Standar Keamanan Pod Kubernetes (PSS). |
Standar Keamanan Pod Dibatasi |
Kumpulan perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Terbatas Keamanan Pod Kubernetes (PSS). |
Harga
Dasbor Kepatuhan GKE tersedia bagi pengguna yang telah mengaktifkan GKE Enterprise.
Sebelum memulai
Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:
Mengaktifkan Container Security API.
Buat cluster, lalu daftarkan ke fleet.
Persyaratan
Untuk mendapatkan izin yang Anda perlukan untuk menggunakan audit kepatuhan, minta administrator Anda untuk memberi Anda peran IAM berikut di project Google Cloud Anda:
-
Viewer Keamanan Container (
roles/containersecurity.viewer) -
Fleet Viewer (sebelumnya GKE Hub Viewer) (
roles/gkehub.viewer)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.
Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk menggunakan audit kepatuhan. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menggunakan audit kepatuhan:
-
resourcemanager.projects.get -
resourcemanager.projects.list -
containersecurity.locations.list -
containersecurity.locations.get -
containersecurity.clusterSummaries.list -
containersecurity.findings.list -
container.clusters.list -
gkehub.features.get -
gkehub.memberships.list
Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.
Mengaudit kepatuhan cluster
Anda dapat mengaktifkan audit kepatuhan pada cluster Anda menggunakan Konsol Google Cloud.
Mengaktifkan audit kepatuhan pada cluster yang ada
Buka halaman Kepatuhan di Konsol Google Cloud.
Di kartu Settings, klik Select clusters.
Di tab Audit disabled, centang kotak untuk cluster yang ingin Anda tambahkan.
Klik Enable untuk mengaktifkan pengauditan pada cluster tersebut.
Menguji audit kepatuhan
Men-deploy contoh Pod yang sengaja melanggar Standar Keamanan Pod.
Simpan manifes berikut sebagai
noncompliant-sample.yaml:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAWTerapkan resource ke cluster Anda:
kubectl apply -f noncompliant-sample.yaml
Jika Anda ingin mencoba pelanggaran lain, ubah noncompliant-sample.yaml dengan
konfigurasi lain yang tidak mematuhi kebijakan.
Melihat dan menyelesaikan masalah kepatuhan
Audit awal memerlukan waktu hingga 15 menit untuk menampilkan hasilnya. Anda dapat melihat hasilnya di halaman Kepatuhan atau sebagai entri dalam log cluster Anda.
Lihat hasil
Untuk melihat ringkasan masalah kepatuhan di seluruh cluster project Anda, lakukan langkah berikut:
Buka halaman Kepatuhan di Konsol Google Cloud.
Klik tab Concerns.
Di panel Filter problems, di bagian Standards, pilih standar yang ingin Anda lihat detailnya.
Lihat detail dan rekomendasi standar
Untuk melihat informasi detail tentang standar tertentu, luaskan bagian standar hingga Anda melihat link deskripsi, lalu klik deskripsi standar untuk membuka panel Compliance Constraint.
Tab Details menampilkan informasi berikut:
- Deskripsi: deskripsi standar.
- Tindakan yang disarankan: ringkasan tindakan yang dapat Anda lakukan untuk memperbaiki masalah kepatuhan.
Tab Resource yang Terpengaruh mencantumkan resource yang terpengaruh oleh standar.
Lihat log untuk masalah yang ditemukan
Untuk masalah kepatuhan yang ditemukan, Anda dapat melihat entri yang sesuai di Logging.
Buka Logs Explorer di Konsol Google Cloud.
Di kolom Query, tentukan kueri berikut:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*Klik Jalankan kueri.
Untuk menerima notifikasi saat GKE menambahkan temuan baru ke Logging, siapkan pemberitahuan berbasis log untuk kueri ini. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi pemberitahuan berbasis log.
Pembersihan
Hapus contoh Pod yang telah di-deploy:
kubectl delete pod wp-non-compliant
Menonaktifkan audit kepatuhan
Anda dapat menonaktifkan audit kepatuhan menggunakan konsol Google Cloud.
Buka halaman Kepatuhan di Konsol Google Cloud.
Di kartu Settings, klik Select clusters.
Di tab Audit enabled, centang kotak untuk cluster yang ingin Anda hapus.
Klik Disable untuk menonaktifkan pengauditan pada cluster tersebut.
Batasan
- Node pool Windows Server tidak didukung.
- Audit kepatuhan tidak memindai workload yang dikelola GKE, seperti beban kerja di namespace sistem kube.
- Audit kepatuhan hanya tersedia untuk cluster yang memiliki kurang dari 1.000 node.