Clústeres de auditoría para estándares de cumplimiento

En esta página, se muestra cómo auditar de forma automática tus clústeres en busca de problemas de cumplimiento y obtener recomendaciones prácticas para mejorar el cumplimiento de los clústeres de la edición empresarial de Google Kubernetes Engine (GKE). La auditoría de cumplimiento es una característica del panel de GKE Compliance. Para obtener más información, consulta Acerca del panel de GKE Compliance.

Estándares de cumplimiento compatibles

La auditoría de cumplimiento analiza tus clústeres en busca de cumplimiento de los siguientes estándares y proporciona recomendaciones para mejorar tu postura de cumplimiento:

Nombre

Descripción

Comparativa de CIS para Google Kubernetes Engine v1.5.0

Un conjunto de controles de seguridad recomendados para configurar Google Kubernetes Engine (GKE), basado en las comparativas de CIS para Google Kubernetes Engine (GKE) v1.5.0.

Modelo de referencia de los estándares de seguridad de los Pods

Un conjunto de protecciones recomendadas para los clústeres de Kubernetes, según la política de modelo de referencia de los estándares de seguridad de los Pods (PSS) de Kubernetes.

Modelo restrictivo de los estándares de seguridad de los Pods

Un conjunto de protecciones recomendadas para los clústeres de Kubernetes, basada en la política restringida de estándares de seguridad de los Pods (PSS) de Kubernetes.

Precios

El panel de GKE Compliance está disponible para los usuarios que habilitaron GKE Enterprise.

Antes de comenzar

Antes de comenzar, asegúrate de haber realizado las siguientes tareas:

Requisitos

Para obtener los permisos que necesitas para usar la auditoría de cumplimiento, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto de Google Cloud:

Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

Estos roles predefinidos contienen los permisos necesarios para usar la auditoría de cumplimiento. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para usar la auditoría de cumplimiento:

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • containersecurity.locations.list
  • containersecurity.locations.get
  • containersecurity.clusterSummaries.list
  • containersecurity.findings.list
  • container.clusters.list
  • gkehub.features.get
  • gkehub.memberships.list

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos

Audita el cumplimiento del clúster

Puedes habilitar la auditoría de cumplimiento en tu clúster con la consola de Google Cloud.

Habilita la auditoría de cumplimiento en un clúster existente

  1. Ve a la página Cumplimiento en la consola de Google Cloud.

    Ir a cumplimiento

  2. En la tarjeta Configuración, haz clic en Seleccionar clústeres.

  3. En la pestaña Auditoría desactivada, selecciona las casillas de verificación de los clústeres que deseas agregar.

  4. Haz clic en Habilitar para habilitar la auditoría en esos clústeres.

Prueba la auditoría de cumplimiento

Implementa un Pod de ejemplo que infrinja de manera intencional los Estándares de seguridad de Pods.

  1. Guarda el siguiente manifiesto como noncompliant-sample.yaml:

    apiVersion: v1
    kind: Pod
    metadata:
      namespace: default
      name: wp-non-compliant
      labels:
        app: wordpress
    spec:
      containers:
      - image: nginx
        name: wordpress
        securityContext:
          capabilities:
            add:
            - NET_RAW
    
  2. Aplica el recurso a tu clúster:

    kubectl apply -f noncompliant-sample.yaml
    

Si deseas probar otros incumplimientos, modifica noncompliant-sample.yaml con una configuración diferente que no cumpla con las políticas.

Visualiza y resuelve problemas de cumplimiento

El análisis inicial puede tardar hasta 30 minutos en mostrar los resultados. Puedes ver los resultados en la página Cumplimiento o como entradas en los registros de tu clúster.

Ver resultados

Para ver una descripción general de los problemas de cumplimiento en los clústeres de tu proyecto, haz lo siguiente:

  1. Ve a la página Cumplimiento en la consola de Google Cloud.

    Ir a cumplimiento

  2. Haz clic en la pestaña Problemas.

  3. En el panel Filtrar problemas, en la sección Estándares, selecciona el estándar sobre el que deseas obtener más detalles.

Visualiza detalles y recomendaciones estándar

Para ver información detallada sobre un estándar específico, expande la sección estándar hasta que veas el vínculo de descripción y, luego, haz clic en la descripción estándar a fin de abrir el panel Restricción de cumplimiento.

En la pestaña Detalles, se muestra la siguiente información:

  • Descripción: una descripción del estándar.
  • Acción recomendada: Una descripción general de las acciones que puedes realizar para corregir el problemas de cumplimiento.

En la pestaña Recursos afectados, se enumeran los recursos afectados por el estándar.

Consulta los registros de los problemas que se descubrieron

Para los problemas de cumplimiento detectados, puedes ver una entrada correspondiente en Logging.

  1. Ve al Explorador de registros en la consola de Google Cloud.

    Ir al Explorador de registros

  2. En el campo Consulta, ingresa la siguiente consulta:

    resource.type="k8s_cluster"
    jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
    jsonPayload.type="FINDING_TYPE_MISCONFIG"
    jsonPayload.configuration.violation:*
    
  3. Haz clic en Ejecutar consulta.

Para recibir notificaciones cuando GKE agregue resultados nuevos a Logging, configura alertas basadas en registros para esta consulta. Para obtener más información, consulta Configurar alertas basadas en registros.

Limpia

Borra el Pod de muestra que implementaste:

kubectl delete pod wp-non-compliant

Inhabilita la auditoría de cumplimiento

Puedes inhabilitar la auditoría de cumplimiento de la consola de Google Cloud.

  1. Ve a la página Cumplimiento en la consola de Google Cloud.

    Ir a cumplimiento

  2. En la tarjeta Configuración, haz clic en Seleccionar clústeres.

  3. En la pestaña Auditoría habilitada, selecciona las casillas de verificación de los clústeres que deseas quitar.

  4. Haz clic en Inhabilitar para inhabilitar la auditoría en esos clústeres.

Limitaciones

  • Los grupos de nodos de Windows Server no son compatibles.
  • La auditoría de cumplimiento no analiza las cargas de trabajo administradas por GKE, como las cargas de trabajo en el espacio de nombres de kube-system.
  • La auditoría de cumplimiento solo está disponible para clústeres con menos de 1,000 nodos.

¿Qué sigue?