Auf dieser Seite erfahren Sie, wie Sie Ihre Cluster automatisch auf Compliance-Probleme prüfen und umsetzbare Empfehlungen erhalten, um die Compliance Ihrer Google Kubernetes Engine (GKE) Enterprise-Cluster zu verbessern. Die Compliance-Prüfung ist ein Feature des GKE-Compliance-Dashboards. Weitere Informationen finden Sie unter GKE-Compliance-Dashboard.
Unterstützte Compliance-Standards
Bei der Compliance-Prüfung werden Ihre Cluster auf die Einhaltung der folgenden Standards gescannt. Sie erhalten Empfehlungen zur Verbesserung Ihrer Compliance:
Name |
Beschreibung |
CIS Google Kubernetes Engine Benchmark v1.5.0 |
Eine Reihe empfohlener Sicherheitskontrollen zum Konfigurieren von Google Kubernetes Engine (GKE), die auf den CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0 basieren. |
Pod Security Standards Baseline |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Grundrichtlinie für Kubernetes Pod-Sicherheitsstandards (PSS) basieren. |
Pod Security Standards Restricted |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Kubernetes Pod Security Standards (PSS) Restricted-Richtlinie basieren. |
Das übliche Standardset umfasst alle drei unterstützten Standards:
- CIS Google Kubernetes Engine Benchmark v1.5.0
- Pod Security Standards Baseline
- Pod Security Standards Restricted
Preise
Das GKE-Compliance-Dashboard ist für Nutzer verfügbar, die GKE Enterprise aktiviert haben.
Hinweise
Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:
Aktivieren Sie die Container Security API.
Erstellen Sie einen Cluster und registrieren Sie ihn bei einer Flotte.
Voraussetzungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Google Cloud Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung von Compliance-Auditing benötigen:
-
Container Security Viewer (
roles/containersecurity.viewer) -
Fleet Viewer (früher GKE Hub Viewer)(
roles/gkehub.viewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zur Compliance-Prüfung erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind für die Compliance-Prüfung erforderlich:
-
resourcemanager.projects.get -
resourcemanager.projects.list -
containersecurity.locations.list -
containersecurity.locations.get -
containersecurity.clusterSummaries.list -
containersecurity.findings.list -
container.clusters.list -
gkehub.features.get -
gkehub.memberships.list
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Prüfung für einen vorhandenen Cluster aktivieren
Sie können die Complianceprüfung für Ihren Cluster über dieGoogle Cloud Console aktivieren.
Rufen Sie in der Google Cloud Console die Seite Compliance auf.
Klicken Sie auf der Karte Einstellungen auf Cluster auswählen.
Klicken Sie im Tab Prüfung deaktiviert die Kästchen für die Cluster an, die Sie hinzufügen möchten.
Klicken Sie auf Aktivieren, um die Prüfung für diese Cluster zu aktivieren.
Testarbeitslast bereitstellen
Stellen Sie eine Beispiel-Pod bereit, die absichtlich gegen die Pod-Sicherheitsstandards verstößt.
Speichern Sie das folgende Manifest als
noncompliant-sample.yaml:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAWWenden Sie die Ressource auf Ihren Cluster an:
kubectl apply -f noncompliant-sample.yaml
Wenn Sie andere Verstöße ausprobieren möchten, ändern Sie noncompliant-sample.yaml mit einer anderen, nicht konformen Konfiguration.
Compliance-Probleme ansehen und beheben
Es dauert bis zu 30 Minuten, bis die erste Prüfung Ergebnisse zurückgibt. Sie können die Ergebnisse auf der Seite Compliance oder als Einträge in Ihren Clusterlogs ansehen.
Ergebnisse ansehen
So erhalten Sie einen Überblick über die Compliance-Probleme in den Clustern Ihres Projekts:
Rufen Sie in der Google Cloud Console die Seite Compliance auf.
Klicken Sie auf den Tab Bedenken.
Wählen Sie im Bereich Bedenken filtern im Abschnitt Standards den Standard aus, zu dem Sie Details aufrufen möchten.
Standarddetails und Empfehlungen ansehen
Wenn Sie detaillierte Informationen zu einem bestimmten Standard aufrufen möchten, maximieren Sie den Standardbereich, bis der Link zur Beschreibung angezeigt wird, und klicken Sie dann auf die Standardbeschreibung, um den Bereich Compliance-Einschränkung zu öffnen.
Auf dem Tab Details werden die folgenden Informationen angezeigt:
- Beschreibung: Eine Beschreibung des Standards.
- Empfohlene Maßnahme: Eine Übersicht über die Maßnahmen, die Sie zur Behebung des Compliance-problems ergreifen können.
Auf dem Tab Betroffene Ressourcen werden die Ressourcen aufgeführt, die von der Norm betroffen sind.
Logs für erkannte Bedenken aufrufen
GKE fügt dem _Default-Log-Bucket in Logging für jedes erkannte Problem Einträge hinzu. Diese Logs werden nur für einen bestimmten Zeitraum aufbewahrt. Weitere Informationen finden Sie unter Aufbewahrungsdauer von Logs.
Rufen Sie in der Google Cloud Console den Log-Explorer auf:
Zum Log-ExplorerGeben Sie im Feld Abfrage die folgende Abfrage ein:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*
Klicken Sie auf Abfrage ausführen.
Um Benachrichtigungen zu erhalten, wenn GKE neue Ergebnisse zu Logging hinzufügt, richten Sie für diese Abfrage logbasierte Benachrichtigungen ein. Weitere Informationen finden Sie unter Logbasierte Benachrichtigungen konfigurieren.
Bereinigen
Löschen Sie die bereitgestellte Beispiel-Pod.
kubectl delete pod wp-non-compliant
Complianceprüfung deaktivieren
Sie können die Compliance-Prüfung über die Google Cloud Console deaktivieren.
Rufen Sie in der Google Cloud Console die Seite Compliance auf.
Klicken Sie auf der Karte „Einstellungen“ auf Cluster auswählen.
Wählen Sie auf dem Tab Prüfung aktiviert die Kästchen für die Cluster aus, die Sie entfernen möchten.
Klicken Sie auf Deaktivieren, um die Prüfung für diese Cluster zu deaktivieren.
Beschränkungen
- Windows Server-Knotenpools werden nicht unterstützt.
- Beim der Compliance-Prüfung werden keine von GKE verwalteten Arbeitslasten gescannt, z. B. Arbeitslasten im kube-system-Namespace.
- Die Compliance-Prüfung ist nur für Cluster mit weniger als 1.000 Knoten verfügbar.