Questa pagina mostra come eseguire automaticamente la verifica dei cluster per rilevare eventuali problemi di conformità e ricevere consigli utili per migliorare la conformità dei cluster Google Kubernetes Engine (GKE) Enterprise. I controlli di conformità sono una funzionalità della dashboard GKE Compliance. Per ulteriori informazioni, vedi Informazioni sulla dashboard di conformità GKE.
Standard di conformità supportati
Il controllo della conformità analizza i cluster per verificarne la conformità rispetto ai seguenti standard e fornisce suggerimenti per migliorare la tua postura di conformità:
Nome |
Descrizione |
Benchmark CIS Google Kubernetes Engine v1.5.0 |
Un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE), basato sui benchmark di Google Kubernetes Engine (GKE) del CIS v1.5.0. |
Standard di sicurezza dei pod - Baseline |
Un insieme di protezioni consigliate per i cluster Kubernetes, basate sui criteri Baseline degli standard di sicurezza dei pod di Kubernetes (PSS). |
Standard di sicurezza dei pod - Restricted |
Un insieme di protezioni consigliate per i cluster Kubernetes, basate sui criteri con restrizioni degli standard di sicurezza dei pod di Kubernetes (PSS). |
L'insieme di standard predefinito include tutti e tre gli standard supportati:
- CIS Google Kubernetes Engine Benchmark v1.5.0
- Standard di sicurezza dei pod - Baseline
- Standard di sicurezza dei pod - Restricted
Prezzi
La dashboard GKE Compliance è disponibile per gli utenti che hanno attivato GKE Enterprise.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:
Abilita l'API Container Security.
Requisiti
Per ottenere le autorizzazioni necessarie per utilizzare il controllo di conformità, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto Google Cloud:
-
Container Security Viewer (
roles/containersecurity.viewer) -
Fleet Viewer (in precedenza GKE Hub Viewer) (
roles/gkehub.viewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare il controllo della conformità. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per utilizzare il controllo della conformità sono necessarie le seguenti autorizzazioni:
-
resourcemanager.projects.get -
resourcemanager.projects.list -
containersecurity.locations.list -
containersecurity.locations.get -
containersecurity.clusterSummaries.list -
containersecurity.findings.list -
container.clusters.list -
gkehub.features.get -
gkehub.memberships.list
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.
Abilita il controllo su un cluster esistente
Puoi attivare i controlli di conformità sul tuo cluster utilizzando la console Google Cloud.
Vai alla pagina Conformità nella console Google Cloud.
Nella scheda Impostazioni, fai clic su Seleziona cluster.
Nella scheda Controllo disattivato, seleziona le caselle di controllo per i cluster che vuoi aggiungere.
Fai clic su Attiva per attivare i controlli su questi cluster.
esegui il deployment di un carico di lavoro di test
Esegui il deployment di un pod di esempio che viola intenzionalmente gli standard di sicurezza dei pod.
Salva il seguente manifest come
noncompliant-sample.yaml:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAWApplica la risorsa al tuo cluster:
kubectl apply -f noncompliant-sample.yaml
Se vuoi provare altre violazioni, modifica noncompliant-sample.yaml con un
diversa configurazione non conforme.
Visualizza e risolvi i problemi di conformità
La restituzione dei risultati del controllo iniziale può richiedere fino a 30 minuti. Puoi visualizzare i risultati nella pagina Conformità o sotto forma di voci nel log del cluster.
Visualizza risultati
Per vedere una panoramica dei problemi di conformità nei cluster del progetto, esegui la seguenti:
Vai alla pagina Conformità nella console Google Cloud.
Fai clic sulla scheda Problemi.
Nel riquadro Filtra i problemi, nella sezione Standard, seleziona lo standard di cui vuoi ottenere i dettagli.
Visualizzare i dettagli e i consigli relativi allo standard
Per visualizzare informazioni dettagliate su uno standard specifico, espandi la sezione standard finché non vedi il link alla descrizione, quindi fai clic su la descrizione standard per aprire il riquadro Vincolo di conformità.
La scheda Dettagli mostra le seguenti informazioni:
- Descrizione: una descrizione dello standard.
- Azione consigliata: una panoramica delle azioni che puoi intraprendere per risolvere il problema problema di conformità.
Nella scheda Risorse interessate sono elencate le risorse interessate dallo standard.
Visualizza i log relativi ai problemi rilevati
GKE aggiunge voci al bucket di log _Default in Logging
per ogni problema rilevato. Questi log vengono conservati solo per un periodo specifico. Per maggiori dettagli, vedi
Registra i periodi di conservazione.
Nella console Google Cloud, vai a Esplora log:
Vai a Esplora logNel campo Query, specifica la seguente query:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*
Fai clic su Esegui query.
Per ricevere notifiche quando GKE aggiunge nuovi risultati a Logging, configura gli avvisi basati su log per questa query. Per maggiori informazioni le informazioni, vedi Configurare avvisi basati su log.
Esegui la pulizia
Elimina il pod di esempio di cui hai eseguito il deployment:
kubectl delete pod wp-non-compliant
Disattiva il controllo di conformità
Puoi disattivare il controllo della conformità utilizzando la console Google Cloud.
Vai alla pagina Conformità nella console Google Cloud.
Nella scheda Impostazioni, fai clic su Seleziona cluster.
Nella scheda Controllo abilitato, seleziona le caselle di controllo relative ai cluster da rimuovere.
Fai clic su Disabilita per disabilitare il controllo sui cluster.
Limitazioni
- I pool di nodi di Windows Server non sono supportati.
- Il controllo della conformità non esegue la scansione dei carichi di lavoro gestiti da GKE, ad esempio i carichi di lavoro nello spazio dei nomi kube-system.
- Il controllo della conformità è disponibile solo per i cluster con meno di 1000 nodi.