Questa pagina mostra come verificare automaticamente i cluster per rilevare problemi di conformità e ricevere suggerimenti strategici per migliorare la conformità dei cluster della versione Google Kubernetes Engine (GKE) Enterprise. Il controllo della conformità è una funzionalità della dashboard Conformità di GKE. Per ulteriori informazioni, consulta Informazioni sulla dashboard di conformità GKE.
Standard di conformità supportati
Il controllo della conformità analizza i cluster per verificarne la conformità ai seguenti standard e fornisce suggerimenti per migliorare la postura di conformità:
Nome |
Descrizione |
Benchmark CIS Google Kubernetes Engine v1.5.0 |
Un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE), in base alla versione CIS di Google Kubernetes Engine (GKE) Benchmarks v1.5.0. |
Standard di sicurezza dei pod - Baseline |
Un insieme di protezioni consigliate per i cluster Kubernetes, in base al criterio di riferimento degli standard di sicurezza dei pod di Kubernetes (PSS). |
Standard di sicurezza dei pod - Restricted |
Un insieme di protezioni consigliate per i cluster Kubernetes, in base al criterio con restrizioni degli standard di sicurezza dei pod di Kubernetes (PSS). |
Prezzi
La dashboard di conformità di GKE è disponibile per gli utenti che hanno abilitato GKE Enterprise.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
Abilita l'API Container Security.
Requisiti
Per ottenere le autorizzazioni necessarie per utilizzare il controllo di conformità, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto Google Cloud:
-
Container Security Viewer (
roles/containersecurity.viewer) -
Visualizzatore parco risorse (in precedenza Visualizzatore GKE Hub) (
roles/gkehub.viewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare il controllo di conformità. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per utilizzare il controllo di conformità, sono necessarie le seguenti autorizzazioni:
-
resourcemanager.projects.get -
resourcemanager.projects.list -
containersecurity.locations.list -
containersecurity.locations.get -
containersecurity.clusterSummaries.list -
containersecurity.findings.list -
container.clusters.list -
gkehub.features.get -
gkehub.memberships.list
Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Controlla la conformità del cluster
Puoi abilitare il controllo di conformità sul tuo cluster utilizzando la console Google Cloud.
Abilita il controllo di conformità su un cluster esistente
Vai alla pagina Conformità nella console Google Cloud.
Nella scheda Impostazioni, fai clic su Seleziona cluster.
Nella scheda Controllo disabilitato, seleziona le caselle di controllo relative ai cluster che vuoi aggiungere.
Fai clic su Abilita per abilitare il controllo sui cluster.
Testa il controllo di conformità
Eseguire il deployment di un pod di esempio che viola intenzionalmente gli standard di sicurezza dei pod.
Salva il seguente manifest come
noncompliant-sample.yaml:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAWApplica la risorsa al cluster:
kubectl apply -f noncompliant-sample.yaml
Se vuoi provare altre violazioni, modifica noncompliant-sample.yaml con una
configurazione diversa e non conforme.
Visualizza e risolvi i problemi di conformità
La restituzione dei risultati del controllo iniziale può richiedere fino a 15 minuti. Puoi visualizzare i risultati nella pagina Conformità o sotto forma di voci nei log del cluster.
Visualizza risultati
Per visualizzare una panoramica dei problemi di conformità nei cluster del progetto, segui questi passaggi:
Vai alla pagina Conformità nella console Google Cloud.
Fai clic sulla scheda Problemi.
Nel riquadro Filtra i problemi, nella sezione Standard, seleziona lo standard di cui vuoi ottenere i dettagli.
Visualizza dettagli e suggerimenti standard
Per visualizzare informazioni dettagliate su uno standard specifico, espandi la sezione standard fino a visualizzare il link alla descrizione, quindi fai clic sulla descrizione standard per aprire il riquadro Vincolo di conformità.
La scheda Dettagli mostra le seguenti informazioni:
- Descrizione: una descrizione dello standard.
- Azione consigliata: una panoramica delle azioni che puoi intraprendere per risolvere il problema di conformità.
Nella scheda Risorse interessate sono elencate le risorse interessate dallo standard.
Visualizza i log per i problemi rilevati
Per rilevare i problemi di conformità, puoi visualizzare una voce corrispondente in Logging.
Vai a Esplora log nella console Google Cloud.
Nel campo Query specifica la seguente query:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*Fai clic su Esegui query.
Per ricevere notifiche quando GKE aggiunge nuovi risultati a Logging, configura avvisi basati su log per questa query. Per ulteriori informazioni, consulta Configurare gli avvisi basati su log.
Esegui la pulizia
Elimina il pod di esempio di cui hai eseguito il deployment:
kubectl delete pod wp-non-compliant
Disattiva il controllo di conformità
Puoi disabilitare il controllo di conformità utilizzando la console Google Cloud.
Vai alla pagina Conformità nella console Google Cloud.
Nella scheda Impostazioni, fai clic su Seleziona cluster.
Nella scheda Controllo abilitato, seleziona le caselle di controllo relative ai cluster che vuoi rimuovere.
Fai clic su Disabilita per disabilitare il controllo sui cluster.
Limitazioni
- I pool di nodi di Windows Server non sono supportati.
- Il controllo di conformità non analizza i carichi di lavoro gestiti da GKE, ad esempio quelli nello spazio dei nomi kube-system.
- Il controllo di conformità è disponibile solo per i cluster con meno di 1000 nodi.