Mengaudit cluster untuk standar kepatuhan

Halaman ini menunjukkan cara mengaudit kepatuhan cluster secara otomatis kekhawatiran Anda dan mendapatkan rekomendasi yang dapat ditindaklanjuti untuk meningkatkan kepatuhan Cluster edisi Google Kubernetes Engine (GKE) Enterprise. Audit kepatuhan adalah fitur Dasbor Kepatuhan GKE. Untuk informasi selengkapnya, lihat Tentang dasbor Kepatuhan GKE.

Standar kepatuhan yang didukung

Audit kepatuhan memindai kepatuhan cluster Anda terhadap hal berikut standar dan memberikan rekomendasi untuk meningkatkan postur kepatuhan Anda:

Nama	Deskripsi
Tolok Ukur Google Kubernetes Engine CIS v1.5.0	Kumpulan kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE), berdasarkan CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0.
Dasar Pengukuran Standar Keamanan Pod	Kumpulan perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Dasar Pengukuran Pod Security Standards (PSS) Kubernetes.
Standar Keamanan Pod Dibatasi	Kumpulan perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Dibatasi Standar Keamanan Pod (PSS) Kubernetes.

Harga

Dasbor Kepatuhan GKE tersedia bagi pengguna yang telah mengaktifkan GKE Enterprise.

Sebelum memulai

Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:

• Aktifkan GKE Enterprise API.

  Mengaktifkan GKE Enterprise API

• Mengaktifkan Container Security API.

  Mengaktifkan Container Security API

• Membuat cluster dan mendaftarkannya ke fleet.

Persyaratan

Untuk mendapatkan izin yang diperlukan untuk menggunakan audit kepatuhan, minta administrator untuk memberi Anda peran IAM berikut di project Google Cloud Anda:

• Container Security Viewer (roles/containersecurity.viewer)
• Fleet Viewer (sebelumnya GKE Hub Viewer) (roles/gkehub.viewer)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Peran bawaan ini berisi izin yang diperlukan untuk menggunakan audit kepatuhan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan audit kepatuhan:

• resourcemanager.projects.get
• resourcemanager.projects.list
• containersecurity.locations.list
• containersecurity.locations.get
• containersecurity.clusterSummaries.list
• containersecurity.findings.list
• container.clusters.list
• gkehub.features.get
• gkehub.memberships.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Kepatuhan cluster audit

Anda dapat mengaktifkan audit kepatuhan pada cluster Anda dengan menggunakan Konsol Google Cloud Anda.

Mengaktifkan audit kepatuhan pada cluster yang ada

1. Buka halaman Kepatuhan di Konsol Google Cloud.

   Buka Kepatuhan

2. Di kartu Setelan, klik Pilih cluster.

3. Pada tab Audit dinonaktifkan, pilih kotak centang untuk cluster yang telah Anda Anda ingin tambahkan.

4. Klik Aktifkan untuk mengaktifkan pengauditan pada cluster tersebut.

Menguji audit kepatuhan

Deploy Pod sampel yang sengaja melanggar Standar Keamanan Pod.

1. Simpan manifes berikut sebagai noncompliant-sample.yaml:

   apiVersion: v1
   kind: Pod
   metadata:
     namespace: default
     name: wp-non-compliant
     labels:
       app: wordpress
   spec:
     containers:
     - image: nginx
       name: wordpress
       securityContext:
         capabilities:
           add:
           - NET_RAW
   

2. Terapkan resource ke cluster Anda:

   kubectl apply -f noncompliant-sample.yaml
   

Jika Anda ingin mencoba pelanggaran lain, ubah noncompliant-sample.yaml dengan konfigurasi yang berbeda dan tidak mematuhi kebijakan.

Melihat dan menyelesaikan masalah kepatuhan

Audit awal memerlukan waktu hingga 30 menit untuk memberikan hasil. Anda dapat melihat hasilnya di halaman Kepatuhan atau sebagai entri di log cluster.

Lihat hasil

Untuk melihat ringkasan masalah kepatuhan di seluruh cluster project Anda, lakukan berikut ini:

1. Buka halaman Kepatuhan di Konsol Google Cloud.

   Buka Kepatuhan

2. Klik tab Concerns.

3. Di panel Filter problems, di bagian Standards, pilih standar yang Anda inginkan detailnya.

Lihat detail dan rekomendasi standar

Untuk melihat informasi terperinci tentang standar tertentu, luaskan bagian standar hingga Anda melihat tautan deskripsi, lalu klik deskripsi standar untuk membuka panel Compliance Constraint.

Tab Details menampilkan informasi berikut:

• Deskripsi: deskripsi standar.
• Tindakan yang disarankan: ringkasan tindakan yang dapat Anda lakukan untuk memperbaiki masalah kepatuhan.

Tab Resource yang Terpengaruh mencantumkan resource yang terpengaruh oleh standar.

Lihat log untuk masalah yang ditemukan

Untuk masalah kepatuhan yang ditemukan, Anda dapat melihat entri terkait di Pembuatan Log.

1. Buka Logs Explorer di Konsol Google Cloud.

   Buka Logs Explorer

2. Di kolom Kueri, tentukan kueri berikut:

   resource.type="k8s_cluster"
   jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
   jsonPayload.type="FINDING_TYPE_MISCONFIG"
   jsonPayload.configuration.violation:*
   

3. Klik Run query.

Untuk menerima notifikasi saat GKE menambahkan temuan baru ke Pencatatan log, atur pemberitahuan berbasis log untuk kueri ini. Untuk selengkapnya informasi, lihat Konfigurasi pemberitahuan berbasis log.

Pembersihan

Hapus contoh Pod yang telah di-deploy:

kubectl delete pod wp-non-compliant

Nonaktifkan pengauditan kepatuhan

Anda dapat menonaktifkan audit kepatuhan menggunakan Konsol Google Cloud.

1. Buka halaman Kepatuhan di Konsol Google Cloud.

   Buka Kepatuhan

2. Di kartu Setelan, klik Pilih cluster.

3. Pada tab Audit diaktifkan, centang kotak untuk cluster yang ingin dihapus.

4. Klik Disable untuk menonaktifkan pengauditan pada cluster tersebut.

Batasan

• Node pool Windows Server tidak didukung.
• Audit kepatuhan tidak memindai data yang dikelola GKE seperti workload dalam namespace sistem kube.
• Audit kepatuhan hanya tersedia untuk cluster dengan dari 1.000 node.

Langkah selanjutnya

• Pelajari lebih lanjut dasbor Kepatuhan GKE