Auditar clusters para padrões de conformidade

Nesta página, mostramos como auditar automaticamente seus clusters por questões de conformidade e receber recomendações úteis para melhorar a conformidade dos seus clusters do Google Kubernetes Engine (GKE) edição Enterprise. A auditoria de conformidade é um recurso do painel do GKE Compliance. Para mais informações, consulte Sobre o painel do GKE Compliance.

Padrões de conformidade compatíveis

A auditoria de conformidade verifica se os clusters estão em conformidade com os padrões a seguir e fornece recomendações para melhorar sua postura de conformidade:

O conjunto padrão de padrões inclui todos os três padrões aceitos:

• Comparativo de mercado CIS do Google Kubernetes Engine v1.5.0
• Valor de referência de padrões de segurança de pods
• Padrões de segurança de pods restritos

Preços

O painel do GKE Compliance está disponível para usuários que ativaram o GKE Enterprise.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

• Ative a API GKE Enterprise.

  Ativar a API GKE Enterprise

• Ative a API Container Security.

  Ativar a API Container Security

• Crie um cluster e registre-o em uma frota.

Requisitos

Para receber as permissões necessárias para usar a auditoria de conformidade, peça ao administrador para conceder a você os seguintes papéis do IAM no seu projeto Google Cloud :

• Leitor de segurança do contêiner (roles/containersecurity.viewer)
• Leitor da frota (antigo Leitor do GKE Hub) (roles/gkehub.viewer)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para usar a auditoria de conformidade. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ativar a auditoria em um cluster atual

É possível ativar a auditoria de compliance no cluster usando o console doGoogle Cloud .

1. Acesse a página Compliance no console do Google Cloud .

   Acesse Conformidade

2. No card Configurações, clique em Selecionar clusters.

3. Na guia Auditoria desativada, marque as caixas de seleção dos clusters que você quer adicionar.

4. Clique em Ativar para ativar a auditoria nesses clusters.

Implantar uma carga de trabalho de teste

Implantar um pod de amostra que viole intencionalmente os padrões de segurança de pods.

1. Salve o seguinte manifesto como noncompliant-sample.yaml:

   apiVersion: v1
   kind: Pod
   metadata:
     namespace: default
     name: wp-non-compliant
     labels:
       app: wordpress
   spec:
     containers:
     - image: nginx
       name: wordpress
       securityContext:
         capabilities:
           add:
           - NET_RAW
   

2. Aplique o recurso ao cluster:

   kubectl apply -f noncompliant-sample.yaml
   

Se você quiser tentar outras violações, modifique noncompliant-sample.yaml com uma configuração diferente e não compatível.

Ver e resolver problemas de conformidade

A auditoria inicial leva até 30 minutos para retornar os resultados. É possível ver os resultados na página Conformidade ou como entradas nos registros do cluster.

Ver resultados

Para ter uma visão geral dos problemas de conformidade nos clusters do projeto, faça isto:

1. Acesse a página Compliance no console do Google Cloud .

   Acesse Conformidade

2. Clique na guia Preocupações.

3. No painel Filtrar preocupações, na seção Padrões, selecione o padrão sobre o qual você quer detalhes.

Ver detalhes e recomendações de padrões

Para informações detalhadas sobre um padrão específico, expanda a seção de padrões até ver o link de descrição. Clique na descrição do padrão para abrir o painel Restrição de conformidade.

A guia Detalhes mostra as seguintes informações:

• Descrição: uma descrição do padrão.
• Ação recomendada: uma visão geral das ações que podem ser realizadas para corrigir o problema de conformidade.

A guia Recursos afetados lista os recursos afetados pelo padrão.

Ver registros de problemas descobertos

O GKE adiciona entradas ao bucket de registros _Default no Logging para cada questão descoberta. Esses registros são mantidos apenas por um período específico. Para mais detalhes, consulte Períodos de armazenamento dos registros.

1. No console do Google Cloud , acesse o Explorador de registros:

   Acessar a Análise de registros

2. No campo Consulta, insira a seguinte consulta:

   resource.type="k8s_cluster"
   jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
   jsonPayload.type="FINDING_TYPE_MISCONFIG"
   jsonPayload.configuration.violation:*

3. Clique em Executar consulta.

Para receber notificações quando o GKE adicionar novas descobertas ao Logging, configure alertas com base em registros para essa consulta. Para mais informações, consulte Como gerenciar alertas com base em registros.

Limpar

Exclua o pod de amostra que você implantou:

kubectl delete pod wp-non-compliant

Desativar auditoria de conformidade

É possível desativar a auditoria de conformidade usando o console do Google Cloud .

1. Acesse a página Compliance no console do Google Cloud .

   Acesse Conformidade

2. No card "Configurações", clique em Selecionar clusters.

3. Na guia Auditoria ativada, marque as caixas de seleção dos clusters que você quer remover.

4. Clique em Desativar para desativar a auditoria nesses clusters.

Limitações

• Os pools de nós do Windows Server não são compatíveis.
• A auditoria de conformidade não verifica cargas de trabalho gerenciadas pelo GKE, como cargas de trabalho no namespace kube-system.
• A auditoria de conformidade só está disponível para clusters com menos de 1.000 nós.

A seguir

• Saiba mais sobre o painel do GKE Compliance