Questa pagina mostra come verificare automaticamente i cluster per rilevare eventuali problemi di conformità e ricevere suggerimenti strategici per migliorare la conformità dei cluster della versione Google Kubernetes Engine (GKE) Enterprise. Il controllo della conformità è una funzionalità della dashboard Conformità di GKE. Per maggiori informazioni, consulta Informazioni sulla dashboard di conformità di GKE.
Standard di conformità supportati
Il controllo della conformità scansiona i cluster per verificarne la conformità in base ai seguenti standard e fornisce suggerimenti per migliorare la postura di conformità:
Nome |
Descrizione |
Benchmark CIS Google Kubernetes Engine v1.5.0 |
Un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE), in base ai Benchmark CIS Google Kubernetes Engine (GKE) v1.5.0. |
Standard di sicurezza dei pod - Baseline |
Un insieme di protezioni consigliate per i cluster Kubernetes, basate sul criterio Baseline degli standard di sicurezza dei pod di Kubernetes (PSS). |
Standard di sicurezza dei pod - Restricted |
Un insieme di protezioni consigliate per i cluster Kubernetes, basate sul criterio con restrizioni degli standard di sicurezza dei pod di Kubernetes. |
Prezzi
La dashboard per la conformità di GKE è disponibile per gli utenti che hanno abilitato GKE Enterprise.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
Abilitare l'API Container Security.
Requisiti
Per ottenere le autorizzazioni necessarie per utilizzare i controlli di conformità, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto Google Cloud:
-
Container Security Viewer (
roles/containersecurity.viewer
) -
Visualizzatore parco risorse (in precedenza Visualizzatore GKE Hub) (
roles/gkehub.viewer
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare il controllo di conformità. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per utilizzare il controllo di conformità sono necessarie le seguenti autorizzazioni:
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
containersecurity.locations.list
-
containersecurity.locations.get
-
containersecurity.clusterSummaries.list
-
containersecurity.findings.list
-
container.clusters.list
-
gkehub.features.get
-
gkehub.memberships.list
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Controlla la conformità del cluster
Puoi abilitare il controllo della conformità sul tuo cluster utilizzando la console Google Cloud.
Abilita i controlli di conformità su un cluster esistente
Vai alla pagina Conformità nella console Google Cloud.
Nella scheda Impostazioni, fai clic su Seleziona cluster.
Nella scheda Controllo disabilitato, seleziona le caselle di controllo relative ai cluster che vuoi aggiungere.
Fai clic su Abilita per abilitare il controllo su questi cluster.
Testa il controllo di conformità
Eseguire il deployment di un pod di esempio che viola intenzionalmente gli standard di sicurezza dei pod.
Salva il seguente manifest come
noncompliant-sample.yaml
:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAW
Applica la risorsa al tuo cluster:
kubectl apply -f noncompliant-sample.yaml
Se vuoi provare altre violazioni, modifica noncompliant-sample.yaml
con una
configurazione diversa non conforme.
Visualizza e risolvi i problemi di conformità
Il controllo iniziale richiede fino a 15 minuti per restituire i risultati. Puoi visualizzare i risultati nella pagina Conformità o come voci nei log del cluster.
Visualizza risultati
Per visualizzare una panoramica dei problemi di conformità nei cluster del tuo progetto:
Vai alla pagina Conformità nella console Google Cloud.
Fai clic sulla scheda Problemi.
Nel riquadro Problemi di filtro, nella sezione Standard, seleziona lo standard per cui vuoi visualizzare i dettagli.
Visualizzare dettagli e suggerimenti standard
Per visualizzare informazioni dettagliate su uno standard specifico, espandi la sezione Standard fino a quando non viene visualizzato il link della descrizione, quindi fai clic sulla descrizione standard per aprire il riquadro Vincolo di conformità.
La scheda Dettagli mostra le seguenti informazioni:
- Descrizione: una descrizione dello standard.
- Azione consigliata: panoramica delle azioni che puoi intraprendere per risolvere il problema di conformità.
Nella scheda Risorse interessate sono elencate le risorse interessate dallo standard.
Visualizza i log per i problemi rilevati
Per problemi di conformità rilevati, puoi visualizzare una voce corrispondente in Logging.
Vai a Esplora log nella console Google Cloud.
Nel campo Query, specifica la seguente query:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*
Fai clic su Esegui query.
Per ricevere notifiche quando GKE aggiunge nuovi risultati a Logging, configura avvisi basati su log per questa query. Per ulteriori informazioni, consulta Configurare gli avvisi basati su log.
Esegui la pulizia
Elimina il pod di esempio di cui hai eseguito il deployment:
kubectl delete pod wp-non-compliant
Disabilita il controllo di conformità
Puoi disabilitare il controllo della conformità utilizzando la console Google Cloud.
Vai alla pagina Conformità nella console Google Cloud.
Nella scheda Impostazioni, fai clic su Seleziona cluster.
Nella scheda Controllo abilitato, seleziona le caselle di controllo relative ai cluster che vuoi rimuovere.
Fai clic su Disabilita per disabilitare il controllo su questi cluster.
Limitazioni
- I pool di nodi Windows Server non sono supportati.
- I controlli di conformità non analizzano i carichi di lavoro gestiti da GKE, come quelli nello spazio dei nomi kube-system.
- Il controllo della conformità è disponibile solo per i cluster con meno di 1000 nodi.