En esta página, se muestra cómo auditar de forma automática tus clústeres en busca de problemas de cumplimiento y obtener recomendaciones prácticas para mejorar el cumplimiento de los clústeres de la edición empresarial de Google Kubernetes Engine (GKE). La auditoría de cumplimiento es una característica del panel de GKE Compliance. Para obtener más información, consulta Acerca del panel de GKE Compliance.
Estándares de cumplimiento compatibles
La auditoría de cumplimiento analiza tus clústeres en busca de cumplimiento de los siguientes estándares y proporciona recomendaciones para mejorar tu postura de cumplimiento:
Nombre |
Descripción |
Comparativa de CIS para Google Kubernetes Engine v1.5.0 |
Un conjunto de controles de seguridad recomendados para configurar Google Kubernetes Engine (GKE), basado en las comparativas de CIS para Google Kubernetes Engine (GKE) v1.5.0. |
Modelo de referencia de los estándares de seguridad de los Pods |
Un conjunto de protecciones recomendadas para los clústeres de Kubernetes, según la política de modelo de referencia de los estándares de seguridad de los Pods (PSS) de Kubernetes. |
Modelo restrictivo de los estándares de seguridad de los Pods |
Un conjunto de protecciones recomendadas para los clústeres de Kubernetes, basado en la política restringida de estándares de seguridad de los Pods (PSS) de Kubernetes. |
El conjunto predeterminado de estándares incluye los tres estándares admitidos:
- Comparativa de CIS para Google Kubernetes Engine v1.5.0
- Modelo de referencia de los estándares de seguridad de los Pods
- Modelo restrictivo de los estándares de seguridad de los Pods
Precios
El panel de GKE Compliance está disponible para los usuarios que habilitaron GKE Enterprise.
Antes de comenzar
Antes de comenzar, asegúrate de haber realizado las siguientes tareas:
Habilita la API de seguridad de contenedores.
Requisitos
Para obtener los permisos que necesitas para usar la auditoría de cumplimiento, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto Google Cloud :
-
Visualizador de seguridad de contenedores (
roles/containersecurity.viewer) -
Visualizador de flotas (anteriormente, visualizador de GKE Hub) (
roles/gkehub.viewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para usar la auditoría de cumplimiento. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para usar la auditoría de cumplimiento:
-
resourcemanager.projects.get -
resourcemanager.projects.list -
containersecurity.locations.list -
containersecurity.locations.get -
containersecurity.clusterSummaries.list -
containersecurity.findings.list -
container.clusters.list -
gkehub.features.get -
gkehub.memberships.list
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Habilita la auditoría en un clúster existente
Puedes habilitar la auditoría de cumplimiento en tu clúster con la consola deGoogle Cloud .
Ve a la página Cumplimiento en la consola de Google Cloud .
En la tarjeta Configuración, haz clic en Seleccionar clústeres.
En la pestaña Auditoría desactivada, selecciona las casillas de verificación de los clústeres que deseas agregar.
Haz clic en Habilitar para habilitar la auditoría en esos clústeres.
Implementa una carga de trabajo de prueba
Implementa un Pod de ejemplo que infrinja de manera intencional los Estándares de seguridad de Pods.
Guarda el siguiente manifiesto como
noncompliant-sample.yaml:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAWAplica el recurso a tu clúster:
kubectl apply -f noncompliant-sample.yaml
Si deseas probar otros incumplimientos, modifica noncompliant-sample.yaml con una configuración diferente que no cumpla con las políticas.
Visualiza y resuelve problemas de cumplimiento
El análisis inicial puede tardar hasta 30 minutos en mostrar los resultados. Puedes ver los resultados en la página Cumplimiento o como entradas en los registros de tu clúster.
Ver resultados
Para ver una descripción general de los problemas de cumplimiento en los clústeres de tu proyecto, haz lo siguiente:
Ve a la página Cumplimiento en la consola de Google Cloud .
Haz clic en la pestaña Problemas.
En el panel Filtrar problemas, en la sección Estándares, selecciona el estándar sobre el que deseas obtener más detalles.
Visualiza detalles y recomendaciones estándar
Para ver información detallada sobre un estándar específico, expande la sección estándar hasta que veas el vínculo de descripción y, luego, haz clic en la descripción estándar para abrir el panel Restricción de cumplimiento.
En la pestaña Detalles, se muestra la siguiente información:
- Descripción: una descripción del estándar.
- Acción recomendada: Una descripción general de las acciones que puedes realizar para corregir el problemas de cumplimiento.
En la pestaña Recursos afectados, se enumeran los recursos afectados por el estándar.
Consulta los registros de los problemas que se descubrieron
GKE agrega entradas al bucket de registros _Default en Logging para cada problema descubierto. Estos registros solo se conservan durante un período específico. Para obtener más detalles, consulta Períodos de retención de registros.
En la consola de Google Cloud , ve al Explorador de registros:
Ir al Explorador de registrosEn el campo Consulta, ingresa la siguiente consulta:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*
Haz clic en Ejecutar consulta.
Para recibir notificaciones cuando GKE agregue resultados nuevos a Logging, configura alertas basadas en registros para esta consulta. Para obtener más información, consulta Configurar alertas basadas en registros.
Limpia
Borra el Pod de muestra que implementaste:
kubectl delete pod wp-non-compliant
Inhabilita la auditoría de cumplimiento
Puedes inhabilitar la auditoría de cumplimiento con la Google Cloud consola.
Ve a la página Cumplimiento en la consola de Google Cloud .
En la tarjeta Configuración, haz clic en Seleccionar clústeres.
En la pestaña Auditoría habilitada, selecciona las casillas de verificación de los clústeres que deseas quitar.
Haz clic en Inhabilitar para inhabilitar la auditoría en esos clústeres.
Limitaciones
- Los grupos de nodos de Windows Server no son compatibles.
- La auditoría de cumplimiento no analiza las cargas de trabajo administradas por GKE, como las cargas de trabajo en el espacio de nombres de kube-system.
- La auditoría de cumplimiento solo está disponible para clústeres con menos de 1,000 nodos.