Halaman ini menunjukkan cara mengaudit cluster secara otomatis untuk mengetahui masalah kepatuhan dan mendapatkan rekomendasi yang dapat ditindaklanjuti guna meningkatkan kepatuhan cluster edisi Enterprise Google Kubernetes Engine (GKE). Audit kepatuhan adalah fitur dari dasbor Kepatuhan GKE. Untuk mengetahui informasi selengkapnya, lihat Tentang dasbor Kepatuhan GKE.
Standar kepatuhan yang didukung
Audit kepatuhan memindai cluster Anda untuk kepatuhan terhadap standar berikut dan memberikan rekomendasi untuk meningkatkan postur kepatuhan Anda:
Nama |
Deskripsi |
CIS Google Kubernetes Engine Benchmark v1.5.0 |
Kumpulan kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE), berdasarkan CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0. |
Dasar Pengukuran Standar Keamanan Pod |
Serangkaian perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Dasar Pengukuran Standar Keamanan Pod (PSS) Kubernetes. |
Standar Keamanan Pod Terbatas |
Serangkaian perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Terbatas Standar Keamanan Pod Kubernetes (PSS). |
Kumpulan standar default mencakup ketiga standar yang didukung:
- CIS Google Kubernetes Engine Benchmark v1.5.0
- Dasar Pengukuran Standar Keamanan Pod
- Standar Keamanan Pod Terbatas
Harga
Dasbor Kepatuhan GKE tersedia untuk pengguna yang telah mengaktifkan GKE Enterprise.
Sebelum memulai
Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:
Mengaktifkan Container Security API.
Persyaratan
Untuk mendapatkan izin yang diperlukan agar dapat menggunakan audit kepatuhan, minta administrator untuk memberi Anda peran IAM berikut di project Google Cloud Anda:
-
Container Security Viewer (
roles/containersecurity.viewer) -
Fleet Viewer (sebelumnya GKE Hub Viewer) (
roles/gkehub.viewer)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk menggunakan audit kepatuhan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menggunakan audit kepatuhan:
-
resourcemanager.projects.get -
resourcemanager.projects.list -
containersecurity.locations.list -
containersecurity.locations.get -
containersecurity.clusterSummaries.list -
containersecurity.findings.list -
container.clusters.list -
gkehub.features.get -
gkehub.memberships.list
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Mengaktifkan audit di cluster yang ada
Anda dapat mengaktifkan audit kepatuhan di cluster menggunakan konsol Google Cloud.
Buka halaman Compliance di konsol Google Cloud.
Di kartu Settings, klik Select clusters.
Di tab Audit disabled, pilih kotak centang untuk cluster yang ingin ditambahkan.
Klik Enable untuk mengaktifkan audit di cluster tersebut.
Men-deploy workload pengujian
Men-deploy contoh Pod yang sengaja melanggar Standar Keamanan Pod.
Simpan manifes berikut sebagai
noncompliant-sample.yaml:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAWTerapkan resource ke cluster Anda:
kubectl apply -f noncompliant-sample.yaml
Jika Anda ingin mencoba pelanggaran lain, ubah noncompliant-sample.yaml dengan
konfigurasi yang berbeda dan tidak mematuhi kebijakan.
Melihat dan menyelesaikan masalah kepatuhan
Audit awal memerlukan waktu hingga 30 menit untuk menampilkan hasil. Anda dapat melihat hasilnya di halaman Compliance atau sebagai entri dalam log cluster.
Lihat hasil
Untuk melihat ringkasan masalah kepatuhan di seluruh cluster project Anda, lakukan hal berikut:
Buka halaman Compliance di konsol Google Cloud.
Klik tab Concerns.
Di panel Filter problems, di bagian Standards, pilih standar yang detailnya Anda inginkan.
Melihat detail dan rekomendasi standar
Untuk melihat informasi mendetail tentang standar tertentu, luaskan bagian standar hingga Anda melihat link deskripsi, lalu klik deskripsi standar untuk membuka panel Batasan Kepatuhan.
Tab Detail menampilkan informasi berikut:
- Deskripsi: deskripsi standar.
- Tindakan yang disarankan: ringkasan tindakan yang dapat Anda lakukan untuk memperbaiki masalah kepatuhan.
Tab Resource yang Terpengaruh mencantumkan resource yang terpengaruh oleh standar.
Lihat log untuk masalah yang ditemukan
GKE menambahkan entri ke bucket log _Default di Logging untuk setiap masalah yang ditemukan. Log ini hanya disimpan selama jangka waktu tertentu. Untuk mengetahui detailnya, lihat Periode retensi log.
Di konsol Google Cloud, buka Logs Explorer.
Buka Logs ExplorerDi kolom Kueri, tentukan kueri berikut:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*
Klik Run query.
Untuk menerima notifikasi saat GKE menambahkan temuan baru ke Logging, siapkan pemberitahuan berbasis log untuk kueri ini. Untuk informasi selengkapnya, lihat Mengonfigurasi pemberitahuan berbasis log.
Pembersihan
Hapus contoh Pod yang Anda deploy:
kubectl delete pod wp-non-compliant
Menonaktifkan audit kepatuhan
Anda dapat menonaktifkan audit kepatuhan menggunakan Konsol Google Cloud.
Buka halaman Compliance di konsol Google Cloud.
Di kartu Setelan, klik Select clusters.
Di tab Audit enabled, centang kotak untuk cluster yang ingin Anda hapus.
Klik Nonaktifkan untuk menonaktifkan audit di cluster tersebut.
Batasan
- Node pool Windows Server tidak didukung.
- Audit kepatuhan tidak memindai workload yang dikelola GKE, seperti workload di namespace kube-system.
- Audit kepatuhan hanya tersedia untuk cluster dengan node kurang dari 1.000.