이 페이지에서는 클러스터에서 규정 준수 문제를 자동으로 감사하고 Google Kubernetes Engine(GKE) Enterprise 버전 클러스터의 규정 준수를 개선하기 위한 실천 가능한 권장사항을 가져오는 방법을 보여줍니다. 규정 준수 감사는 GKE Compliance 대시보드의 기능입니다. 자세한 내용은 GKE Compliance 대시보드 정보를 참조하세요.
지원되는 규정 준수 표준
규정 준수 감사는 클러스터에서 다음 표준에 대한 규정 준수 여부를 검사하고 규정 준수 상태를 개선하기 위한 권장사항을 제공합니다.
이름 |
설명 |
CIS Google Kubernetes Engine 벤치마크 v1.5.0 |
CIS Google Kubernetes Engine(GKE) 벤치마크 v1.5.0을 기반으로 Google Kubernetes Engine(GKE)을 구성하는 데 권장되는 보안 제어 집합입니다. |
포드 보안 표준 기준 |
Kubernetes 포드 보안 표준(PSS) 기준 정책에 따라 Kubernetes 클러스터에 권장되는 보호 조치 집합입니다. |
포드 보안 표준 제한 |
Kubernetes 포드 보안 표준(PSS) 제한 정책에 따라 Kubernetes 클러스터에 권장되는 보호 조치 집합입니다. |
기본 표준 세트에는 지원되는 세 가지 표준이 모두 포함됩니다.
- CIS Google Kubernetes Engine 벤치마크 v1.5.0
- 포드 보안 표준 기준
- 포드 보안 표준 제한
가격 책정
GKE Compliance 대시보드는 GKE Enterprise를 사용 설정한 사용자에게 제공됩니다.
시작하기 전에
시작하기 전에 다음 태스크를 수행했는지 확인합니다.
Container Security API를 사용 설정합니다.
요구사항
규정 준수 감사를 사용하는 데 필요한 권한을 얻으려면 관리자에게 Google Cloud 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
-
컨테이너 보안 뷰어(
roles/containersecurity.viewer
) -
Fleet 뷰어(이전 명칭: GKE 허브 뷰어)(
roles/gkehub.viewer
)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이러한 사전 정의된 역할에는 규정 준수 감사를 사용하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
규정 준수 감사를 사용하려면 다음 권한이 필요합니다.
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
containersecurity.locations.list
-
containersecurity.locations.get
-
containersecurity.clusterSummaries.list
-
containersecurity.findings.list
-
container.clusters.list
-
gkehub.features.get
-
gkehub.memberships.list
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
클러스터 규정 준수 감사
Google Cloud 콘솔을 사용하여 클러스터에서 규정 준수 감사를 사용 설정할 수 있습니다.
기존 클러스터에서 규정 준수 감사 사용 설정
Google Cloud 콘솔의 규정 준수 페이지로 이동합니다.
설정 카드에서 클러스터 선택을 클릭합니다.
감사 사용 중지됨 탭에서 추가할 클러스터의 체크박스를 선택합니다.
사용 설정을 클릭하여 해당 클러스터에서 감사를 사용 설정합니다.
규정 준수 감사 테스트
포드 보안 표준을 의도적으로 위반하는 샘플 포드를 배포합니다.
다음 매니페스트를
noncompliant-sample.yaml
로 저장합니다.apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAW
리소스를 클러스터에 적용합니다.
kubectl apply -f noncompliant-sample.yaml
다른 위반 사항을 시도해 보려면 표준을 준수하지 않는 다른 구성으로 noncompliant-sample.yaml
을 수정하세요.
규정 준수 문제 확인 및 해결
초기 감사에서는 결과가 반환되는 데 최대 30분이 걸립니다. 규정 준수 페이지 또는 클러스터 로그의 항목으로 결과를 볼 수 있습니다.
결과 보기
프로젝트 클러스터의 규정 준수 문제를 간략히 확인하려면 다음을 수행하세요.
Google Cloud 콘솔의 규정 준수 페이지로 이동합니다.
문제 탭을 클릭합니다.
필터 문제 창의 표준 섹션에서 세부정보를 확인할 표준을 선택합니다.
표준 세부정보 및 권장사항 보기
특정 표준에 대한 자세한 정보를 보려면 설명 링크가 표시될 때까지 표준 섹션을 펼친 다음 표준 설명을 클릭하여 규정 준수 제약조건 창을 엽니다.
세부정보 탭에는 다음 정보가 표시됩니다.
- 설명: 표준에 대한 설명입니다.
- 권장 조치: 규정 준수 문제를 해결하기 위해 취할 수 있는 조치의 개요입니다.
영향을 받는 리소스 탭에는 표준의 영향을 받는 리소스가 나열됩니다.
발견된 문제의 로그 보기
GKE는 발견된 각 문제에 대해 Logging의 _Default
로그 버킷에 항목을 추가합니다. 이러한 로그는 특정 기간 동안만 보관됩니다. 자세한 내용은 로그 보관 기간을 참조하세요.
Google Cloud 콘솔에서 로그 탐색기로 이동합니다.
로그 탐색기로 이동쿼리 필드에 다음 쿼리를 지정합니다.
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*
쿼리 실행을 클릭합니다.
GKE가 Logging에 새 발견 항목을 추가할 때 알림을 받으려면 이 쿼리에 대해 로그 기반 알림을 설정합니다. 자세한 내용은 로그 기반 알림 구성을 참조하세요.
삭제
배포한 샘플 포드를 삭제합니다.
kubectl delete pod wp-non-compliant
규정 준수 감사 사용 중지
Google Cloud 콘솔을 사용하여 규정 준수 감사를 사용 중지할 수 있습니다.
Google Cloud 콘솔의 규정 준수 페이지로 이동합니다.
설정 카드에서 클러스터 선택을 클릭합니다.
감사 사용 설정 탭에서 삭제하려는 클러스터의 체크박스를 선택합니다.
사용 중지를 클릭하여 해당 클러스터에서 감사를 사용 중지합니다.
제한사항
- Windows Server 노드 풀은 지원되지 않습니다.
- 규정 준수 감사는 kube-system 네임스페이스의 워크로드와 같은 GKE 관리 워크로드를 검사하지 않습니다.
- 규정 준수 감사는 노드가 1,000개 미만인 클러스터에만 사용할 수 있습니다.