Auf dieser Seite erfahren Sie, wie Sie Ihre Cluster automatisch auf Compliance-Probleme prüfen und umsetzbare Empfehlungen zur Verbesserung der Compliance Ihrer GKE Enterprise-Cluster (Google Kubernetes Engine) erhalten. Die Complianceprüfung ist ein Feature des GKE-Compliance-Dashboards. Weitere Informationen finden Sie unter GKE-Compliance-Dashboard.
Unterstützte Compliance-Standards
Die Complianceprüfung scannt Ihre Cluster auf Compliance mit den folgenden Standards und gibt Empfehlungen zur Verbesserung Ihres Compliancestatus:
Name |
Beschreibung |
CIS Google Kubernetes Engine Benchmark v1.5.0 |
Eine Reihe empfohlener Sicherheitskontrollen für die Konfiguration von Google Kubernetes Engine (GKE), basierend auf den CIS-Benchmarks für Google Kubernetes Engine (GKE) v1.5.0. |
Pod Security Standards Baseline |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Grundrichtlinie für Kubernetes Pod-Sicherheitsstandards (PSS) basieren. |
Pod Security Standards Restricted |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Kubernetes Pod Security Standards (PSS) Restricted-Richtlinie basieren. |
Preise
Das GKE-Compliance-Dashboard ist für Nutzer verfügbar, die GKE Enterprise aktiviert haben.
Hinweise
Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:
Aktivieren Sie die Container Security API.
Erstellen Sie einen Cluster und registrieren Sie ihn bei einer Flotte.
Voraussetzungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Google Cloud-Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Compliance-Prüfung benötigen:
-
Container Security Viewer (
roles/containersecurity.viewer) -
Fleet Viewer (früher GKE Hub Viewer)(
roles/gkehub.viewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwenden der Compliance-Prüfung erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind für die Verwendung der Compliance-Prüfung erforderlich:
-
resourcemanager.projects.get -
resourcemanager.projects.list -
containersecurity.locations.list -
containersecurity.locations.get -
containersecurity.clusterSummaries.list -
containersecurity.findings.list -
container.clusters.list -
gkehub.features.get -
gkehub.memberships.list
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Cluster-Compliance prüfen
Sie können die Compliance-Prüfung für Ihren Cluster mit der Google Cloud Console aktivieren.
Compliance-prüfung für einen vorhandenen Cluster aktivieren
Rufen Sie in der Google Cloud Console die Seite Compliance auf.
Klicken Sie in der Karte Einstellungen auf Cluster auswählen.
Klicken Sie im Tab Prüfung deaktiviert die Kästchen für die Cluster an, die Sie hinzufügen möchten.
Klicken Sie auf Aktivieren, um die Prüfung für diese Cluster zu aktivieren.
Compliance-Prüfung testen
Stellen Sie eine Beispiel-Pod bereit, die absichtlich gegen die Pod-Sicherheitsstandards verstößt.
Speichern Sie das folgende Manifest als
noncompliant-sample.yaml:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAWWenden Sie die Ressource auf Ihren Cluster an:
kubectl apply -f noncompliant-sample.yaml
Wenn Sie andere Verstöße ausprobieren möchten, ändern Sie noncompliant-sample.yaml mit einer anderen, nicht konformen Konfiguration.
Compliance-Probleme ansehen und beheben
Es dauert bis zu 30 Minuten, bis die erste Prüfung Ergebnisse zurückgibt. Sie können die Ergebnisse auf der Seite Compliance oder als Einträge in Ihren Clusterlogs aufrufen.
Ergebnisse ansehen
So erhalten Sie einen Überblick über Complianceprobleme in allen Clustern Ihres Projekts:
Rufen Sie in der Google Cloud Console die Seite Compliance auf.
Klicken Sie auf den Tab Bedenken.
Wählen Sie im Bereich Bedenken filtern im Abschnitt Standards den Standard aus, für den Sie Details sehen möchten.
Standarddetails und Empfehlungen ansehen
Wenn Sie detaillierte Informationen zu einem bestimmten Standard sehen möchten, maximieren Sie den Abschnitt "Standard", bis Sie den Beschreibungslink sehen. Klicken Sie dann auf die Standardbeschreibung, um den Bereich Compliance-Einschränkung zu öffnen.
Auf dem Tab Details finden Sie folgende Informationen:
- Beschreibung: Eine Beschreibung des Standards.
- Empfohlene Maßnahme: Eine Übersicht über die Maßnahmen, die Sie zur Behebung des Compliance-problems ergreifen können.
Auf dem Tab Betroffene Ressourcen werden die vom Standard betroffenen Ressourcen aufgeführt.
Logs für erkannte Bedenken aufrufen
Bei erkannten Compliance-Problemen können Sie den entsprechenden Eintrag in Logging aufrufen.
Rufen Sie in der Google Cloud Console den Log-Explorer auf.
Geben Sie im Feld Abfrage die folgende Abfrage ein:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*Klicken Sie auf Abfrage ausführen.
Um Benachrichtigungen zu erhalten, wenn GKE neue Ergebnisse zu Logging hinzufügt, richten Sie für diese Abfrage logbasierte Benachrichtigungen ein. Weitere Informationen finden Sie unter Logbasierte Benachrichtigungen konfigurieren.
Bereinigen
Löschen Sie die bereitgestellte Beispiel-Pod.
kubectl delete pod wp-non-compliant
Complianceprüfung deaktivieren
Sie können die Compliance-Prüfung über die Google Cloud Console deaktivieren.
Rufen Sie in der Google Cloud Console die Seite Compliance auf.
Klicken Sie in der Karte „Einstellungen“ auf Cluster auswählen.
Wählen Sie auf dem Tab Prüfung aktiviert die Kästchen für die Cluster aus, die Sie entfernen möchten.
Klicken Sie auf Deaktivieren, um die Prüfung für diese Cluster zu deaktivieren.
Beschränkungen
- Windows Server-Knotenpools werden nicht unterstützt.
- Beim der Compliance-Prüfung werden keine von GKE verwalteten Arbeitslasten gescannt, z. B. Arbeitslasten im kube-system-Namespace.
- Die Complianceprüfung ist nur für Cluster mit weniger als 1.000 Knoten verfügbar.