Mengaudit cluster untuk standar kepatuhan

Halaman ini menunjukkan cara mengaudit cluster secara otomatis untuk mengetahui masalah kepatuhan dan mendapatkan rekomendasi yang dapat ditindaklanjuti guna meningkatkan kepatuhan cluster edisi Enterprise Google Kubernetes Engine (GKE). Audit kepatuhan adalah fitur dari dasbor Kepatuhan GKE. Untuk mengetahui informasi selengkapnya, lihat Tentang dasbor Kepatuhan GKE.

Standar kepatuhan yang didukung

Audit kepatuhan memindai cluster Anda untuk kepatuhan terhadap standar berikut dan memberikan rekomendasi untuk meningkatkan postur kepatuhan Anda:

Nama

Deskripsi

CIS Google Kubernetes Engine Benchmark v1.5.0

Kumpulan kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE), berdasarkan CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0.

Dasar Pengukuran Standar Keamanan Pod

Serangkaian perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Dasar Pengukuran Standar Keamanan Pod (PSS) Kubernetes.

Standar Keamanan Pod Terbatas

Serangkaian perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Terbatas Standar Keamanan Pod Kubernetes (PSS).

Kumpulan standar default mencakup ketiga standar yang didukung:

  • CIS Google Kubernetes Engine Benchmark v1.5.0
  • Dasar Pengukuran Standar Keamanan Pod
  • Standar Keamanan Pod Terbatas

Harga

Dasbor Kepatuhan GKE tersedia untuk pengguna yang telah mengaktifkan GKE Enterprise.

Sebelum memulai

Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:

Persyaratan

Untuk mendapatkan izin yang diperlukan agar dapat menggunakan audit kepatuhan, minta administrator untuk memberi Anda peran IAM berikut di project Google Cloud Anda:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk menggunakan audit kepatuhan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan audit kepatuhan:

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • containersecurity.locations.list
  • containersecurity.locations.get
  • containersecurity.clusterSummaries.list
  • containersecurity.findings.list
  • container.clusters.list
  • gkehub.features.get
  • gkehub.memberships.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mengaktifkan audit di cluster yang ada

Anda dapat mengaktifkan audit kepatuhan di cluster menggunakan konsol Google Cloud.

  1. Buka halaman Compliance di konsol Google Cloud.

    Buka Kepatuhan

  2. Di kartu Settings, klik Select clusters.

  3. Di tab Audit disabled, pilih kotak centang untuk cluster yang ingin ditambahkan.

  4. Klik Enable untuk mengaktifkan audit di cluster tersebut.

Men-deploy workload pengujian

Men-deploy contoh Pod yang sengaja melanggar Standar Keamanan Pod.

  1. Simpan manifes berikut sebagai noncompliant-sample.yaml:

    apiVersion: v1
    kind: Pod
    metadata:
      namespace: default
      name: wp-non-compliant
      labels:
        app: wordpress
    spec:
      containers:
      - image: nginx
        name: wordpress
        securityContext:
          capabilities:
            add:
            - NET_RAW
    
  2. Terapkan resource ke cluster Anda:

    kubectl apply -f noncompliant-sample.yaml
    

Jika Anda ingin mencoba pelanggaran lain, ubah noncompliant-sample.yaml dengan konfigurasi yang berbeda dan tidak mematuhi kebijakan.

Melihat dan menyelesaikan masalah kepatuhan

Audit awal memerlukan waktu hingga 30 menit untuk menampilkan hasil. Anda dapat melihat hasilnya di halaman Compliance atau sebagai entri dalam log cluster.

Lihat hasil

Untuk melihat ringkasan masalah kepatuhan di seluruh cluster project Anda, lakukan hal berikut:

  1. Buka halaman Compliance di konsol Google Cloud.

    Buka Kepatuhan

  2. Klik tab Concerns.

  3. Di panel Filter problems, di bagian Standards, pilih standar yang detailnya Anda inginkan.

Melihat detail dan rekomendasi standar

Untuk melihat informasi mendetail tentang standar tertentu, luaskan bagian standar hingga Anda melihat link deskripsi, lalu klik deskripsi standar untuk membuka panel Batasan Kepatuhan.

Tab Detail menampilkan informasi berikut:

  • Deskripsi: deskripsi standar.
  • Tindakan yang disarankan: ringkasan tindakan yang dapat Anda lakukan untuk memperbaiki masalah kepatuhan.

Tab Referensi yang Terpengaruh mencantumkan referensi yang terpengaruh oleh standar.

Lihat log untuk masalah yang ditemukan

GKE menambahkan entri ke bucket log _Default di Logging untuk setiap masalah yang ditemukan. Log ini hanya disimpan selama jangka waktu tertentu. Untuk mengetahui detailnya, lihat Periode retensi log.

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer
  2. Di kolom Kueri, tentukan kueri berikut:

    resource.type="k8s_cluster"
    jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
    jsonPayload.type="FINDING_TYPE_MISCONFIG"
    jsonPayload.configuration.violation:*
  3. Klik Run query.

Untuk menerima notifikasi saat GKE menambahkan temuan baru ke Logging, siapkan pemberitahuan berbasis log untuk kueri ini. Untuk informasi selengkapnya, lihat Mengonfigurasi pemberitahuan berbasis log.

Pembersihan

Hapus contoh Pod yang Anda deploy:

kubectl delete pod wp-non-compliant

Menonaktifkan audit kepatuhan

Anda dapat menonaktifkan audit kepatuhan menggunakan Konsol Google Cloud.

  1. Buka halaman Compliance di konsol Google Cloud.

    Buka Kepatuhan

  2. Di kartu Setelan, klik Select clusters.

  3. Di tab Audit enabled, centang kotak untuk cluster yang ingin Anda hapus.

  4. Klik Nonaktifkan untuk menonaktifkan audit di cluster tersebut.

Batasan

  • Node pool Windows Server tidak didukung.
  • Audit kepatuhan tidak memindai workload yang dikelola GKE, seperti workload di namespace kube-system.
  • Audit kepatuhan hanya tersedia untuk cluster dengan node kurang dari 1.000.

Langkah selanjutnya