Auditar clusters para padrões de conformidade

Nesta página, mostramos como auditar automaticamente seus clusters por questões de conformidade e receber recomendações úteis para melhorar a conformidade dos seus clusters do Google Kubernetes Engine (GKE) edição Enterprise. A auditoria de conformidade é um recurso do painel do GKE Compliance. Para mais informações, consulte Sobre o painel do GKE Compliance.

Padrões de conformidade compatíveis

A auditoria de conformidade verifica se os clusters estão em conformidade com os padrões a seguir e fornece recomendações para melhorar sua postura de conformidade:

Nome

Descrição

Comparativo de mercado CIS do Google Kubernetes Engine v1.5.0

Um conjunto de controles de segurança recomendados para configurar o Google Kubernetes Engine (GKE), com base nos Comparativos de mercado CIS do Google Kubernetes Engine (GKE) v1.5.0.

Valor de referência de padrões de segurança de pods

Um conjunto de proteções recomendadas para clusters do Kubernetes com base na política de referência dos padrões de segurança de pods (PSS) do Kubernetes.

Padrões de segurança de pods restritos

Um conjunto de proteções recomendadas para clusters do Kubernetes com base na Política de padrões de segurança de pods (PSS) do Kubernetes.

O conjunto padrão de padrões inclui os três padrões com suporte:

  • Comparativo de mercado CIS do Google Kubernetes Engine v1.5.0
  • Valor de referência de padrões de segurança de pods
  • Padrões de segurança de pods restritos

Preços

O painel do GKE Compliance está disponível para usuários que ativaram o GKE Enterprise.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

Requisitos

Para receber as permissões necessárias para usar a auditoria de conformidade, peça ao administrador para conceder a você os seguintes papéis do IAM no seu projeto do Google Cloud:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para usar a auditoria de conformidade. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para usar a auditoria de conformidade:

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • containersecurity.locations.list
  • containersecurity.locations.get
  • containersecurity.clusterSummaries.list
  • containersecurity.findings.list
  • container.clusters.list
  • gkehub.features.get
  • gkehub.memberships.list

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Auditar conformidade do cluster

É possível ativar a auditoria de conformidade no cluster usando o console do Google Cloud.

Ativar a auditoria de conformidade em um cluster já existente

  1. Acesse a página Conformidade no console do Google Cloud.

    Acesse Conformidade

  2. No card Configurações, clique em Selecionar clusters.

  3. Na guia Auditoria desativada, marque as caixas de seleção dos clusters que você quer adicionar.

  4. Clique em Ativar para ativar a auditoria nesses clusters.

Testar auditoria de conformidade

Implantar um pod de amostra que viole intencionalmente os padrões de segurança de pods.

  1. Salve o seguinte manifesto como noncompliant-sample.yaml:

    apiVersion: v1
    kind: Pod
    metadata:
      namespace: default
      name: wp-non-compliant
      labels:
        app: wordpress
    spec:
      containers:
      - image: nginx
        name: wordpress
        securityContext:
          capabilities:
            add:
            - NET_RAW
    
  2. Aplique o recurso ao cluster:

    kubectl apply -f noncompliant-sample.yaml
    

Se você quiser tentar outras violações, modifique noncompliant-sample.yaml com uma configuração diferente e não compatível.

Ver e resolver problemas de conformidade

A auditoria inicial leva até 30 minutos para retornar os resultados. É possível ver os resultados na página Conformidade ou como entradas nos registros do cluster.

Ver resultados

Para ter uma visão geral dos problemas de conformidade nos clusters do projeto, faça isto:

  1. Acesse a página Conformidade no console do Google Cloud.

    Acesse Conformidade

  2. Clique na guia Preocupações.

  3. No painel Filtrar preocupações, na seção Padrões, selecione o padrão sobre o qual você quer detalhes.

Ver detalhes e recomendações de padrões

Para informações detalhadas sobre um padrão específico, expanda a seção de padrões até ver o link de descrição. Clique na descrição do padrão para abrir o painel Restrição de conformidade.

A guia Detalhes mostra as seguintes informações:

  • Descrição: uma descrição do padrão.
  • Ação recomendada: uma visão geral das ações que podem ser realizadas para corrigir o problema de conformidade.

A guia Recursos afetados lista os recursos afetados pelo padrão.

Ver registros de problemas descobertos

O GKE adiciona entradas ao bucket de registro _Default no Logging para cada problema descoberto. Esses registros são mantidos apenas por um período específico. Para mais detalhes, consulte Períodos de armazenamento dos registros.

  1. No console do Google Cloud, acesse a página de Análise de registros:

    Acessar a Análise de registros
  2. No campo Consulta, insira a seguinte consulta:

    resource.type="k8s_cluster"
    jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
    jsonPayload.type="FINDING_TYPE_MISCONFIG"
    jsonPayload.configuration.violation:*
  3. Clique em Executar consulta.

Para receber notificações quando o GKE adicionar novas descobertas ao Logging, configure alertas com base em registros para essa consulta. Para mais informações, consulte Como gerenciar alertas com base em registros.

Limpar

Exclua o pod de amostra que você implantou:

kubectl delete pod wp-non-compliant

Desativar auditoria de conformidade

É possível desativar a auditoria de conformidade usando o console do Google Cloud.

  1. Acesse a página Conformidade no console do Google Cloud.

    Acesse Conformidade

  2. No card "Configurações", clique em Selecionar clusters.

  3. Na guia Auditoria ativada, marque as caixas de seleção dos clusters que você quer remover.

  4. Clique em Desativar para desativar a auditoria nesses clusters.

Limitações

  • Os pools de nós do Windows Server não são compatíveis.
  • A auditoria de conformidade não verifica cargas de trabalho gerenciadas pelo GKE, como cargas de trabalho no namespace kube-system.
  • A auditoria de conformidade só está disponível para clusters com menos de 1.000 nós.

A seguir