Nesta página, mostramos como auditar automaticamente seus clusters por questões de conformidade e receber recomendações úteis para melhorar a conformidade dos seus clusters do Google Kubernetes Engine (GKE) edição Enterprise. A auditoria de conformidade é um recurso do painel do GKE Compliance. Para mais informações, consulte Sobre o painel do GKE Compliance.
Padrões de conformidade compatíveis
A auditoria de conformidade verifica se os clusters estão em conformidade com os padrões a seguir e fornece recomendações para melhorar sua postura de conformidade:
Nome |
Descrição |
Comparativo de mercado CIS do Google Kubernetes Engine v1.5.0 |
Um conjunto de controles de segurança recomendados para configurar o Google Kubernetes Engine (GKE), com base nos Comparativos de mercado CIS do Google Kubernetes Engine (GKE) v1.5.0. |
Valor de referência de padrões de segurança de pods |
Um conjunto de proteções recomendadas para clusters do Kubernetes com base na política de referência dos padrões de segurança de pods (PSS) do Kubernetes. |
Padrões de segurança de pods restritos |
Um conjunto de proteções recomendadas para clusters do Kubernetes com base na Política de padrões de segurança de pods (PSS) do Kubernetes. |
Preços
O painel do GKE Compliance está disponível para usuários que ativaram o GKE Enterprise.
Antes de começar
Antes de começar, verifique se você realizou as tarefas a seguir:
Ative a API Container Security.
Requisitos
Para receber as permissões necessárias para usar a auditoria de conformidade, peça ao administrador para conceder a você os seguintes papéis do IAM no seu projeto do Google Cloud:
-
Leitor de segurança do contêiner (
roles/containersecurity.viewer
) -
Leitor da frota (antigo Leitor do GKE Hub) (
roles/gkehub.viewer
)
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Esses papéis predefinidos contêm as permissões necessárias para usar a auditoria de conformidade. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para usar a auditoria de conformidade:
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
containersecurity.locations.list
-
containersecurity.locations.get
-
containersecurity.clusterSummaries.list
-
containersecurity.findings.list
-
container.clusters.list
-
gkehub.features.get
-
gkehub.memberships.list
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Auditar conformidade do cluster
É possível ativar a auditoria de conformidade no cluster usando o console do Google Cloud.
Ativar a auditoria de conformidade em um cluster já existente
Acesse a página Conformidade no console do Google Cloud.
No card Configurações, clique em Selecionar clusters.
Na guia Auditoria desativada, marque as caixas de seleção dos clusters que você quer adicionar.
Clique em Ativar para ativar a auditoria nesses clusters.
Testar auditoria de conformidade
Implantar um pod de amostra que viole intencionalmente os padrões de segurança de pods.
Salve o seguinte manifesto como
noncompliant-sample.yaml
:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAW
Aplique o recurso ao cluster:
kubectl apply -f noncompliant-sample.yaml
Se você quiser tentar outras violações, modifique noncompliant-sample.yaml
com uma configuração diferente e não compatível.
Ver e resolver problemas de conformidade
A auditoria inicial leva até 30 minutos para retornar os resultados. É possível ver os resultados na página Conformidade ou como entradas nos registros do cluster.
Ver resultados
Para ter uma visão geral dos problemas de conformidade nos clusters do projeto, faça isto:
Acesse a página Conformidade no console do Google Cloud.
Clique na guia Preocupações.
No painel Filtrar preocupações, na seção Padrões, selecione o padrão sobre o qual você quer detalhes.
Ver detalhes e recomendações de padrões
Para informações detalhadas sobre um padrão específico, expanda a seção de padrões até ver o link de descrição e clique na descrição do padrão para abrir o painel Restrição de conformidade.
A guia Detalhes mostra as seguintes informações:
- Descrição: uma descrição do padrão.
- Ação recomendada: uma visão geral das ações que podem ser realizadas para corrigir o problema de conformidade.
A guia Recursos afetados lista os recursos afetados pelo padrão.
Ver registros de problemas descobertos
Para questões de conformidade descobertas, é possível ver uma entrada correspondente no Logging.
Acesse o Explorador de registros no console do Google Cloud:
No campo Consulta, insira a seguinte consulta:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*
Clique em Executar consulta.
Para receber notificações quando o GKE adicionar novas descobertas ao Logging, configure alertas com base em registros para essa consulta. Para mais informações, consulte Como gerenciar alertas com base em registros.
Limpar
Exclua o pod de amostra que você implantou:
kubectl delete pod wp-non-compliant
Desativar auditoria de conformidade
É possível desativar a auditoria de conformidade usando o console do Google Cloud.
Acesse a página Conformidade no console do Google Cloud.
No card "Configurações", clique em Selecionar clusters.
Na guia Auditoria ativada, marque as caixas de seleção dos clusters que você quer remover.
Clique em Desativar para desativar a auditoria nesses clusters.
Limitações
- Os pools de nós do Windows Server não são compatíveis.
- A auditoria de conformidade não verifica cargas de trabalho gerenciadas pelo GKE, como cargas de trabalho no namespace kube-system.
- A auditoria de conformidade só está disponível para clusters com menos de 1.000 nós.