Audit-Cluster für Compliance-Standards

Auf dieser Seite erfahren Sie, wie Sie Ihre Cluster automatisch auf Compliance-Probleme prüfen und umsetzbare Empfehlungen erhalten, um die Compliance Ihrer GKE Enterprise-Cluster (Google Kubernetes Engine) zu verbessern. Die Compliance-Prüfung ist ein Feature des GKE-Compliance-Dashboards. Weitere Informationen finden Sie unter GKE-Compliance-Dashboard.

Unterstützte Compliance-Standards

Die Complianceprüfung scannt Ihre Cluster auf Compliance anhand der folgenden Standards und gibt Empfehlungen zur Verbesserung Ihres Compliancestatus:

Name	Beschreibung
CIS Google Kubernetes Engine Benchmark v1.5.0	Eine Reihe empfohlener Sicherheitskontrollen für die Konfiguration von Google Kubernetes Engine (GKE), die auf CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0 basiert.
Referenz zu Pod-Sicherheitsstandards	Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Grundrichtlinie für Kubernetes Pod-Sicherheitsstandards (PSS) basieren.
Eingeschränkte Pod-Sicherheitsstandards	Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Richtlinie „Eingeschränkt“ für Kubernetes Pod-Sicherheitsstandards (PSS) basieren.

Preise

Das GKE-Compliance-Dashboard ist für Nutzer verfügbar, die GKE Enterprise aktiviert haben.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

• Aktivieren Sie die GKE Enterprise API.

  GKE Enterprise API aktivieren

• Aktivieren Sie die Container Security API.

  Container Security API aktivieren

• Erstellen Sie einen Cluster und registrieren Sie ihn für eine Flotte.

Voraussetzungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen in Ihrem Google Cloud-Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Complianceprüfung benötigen:

• Containersicherheitsbetrachter (roles/containersecurity.viewer)
• Fleet Viewer (früher GKE Hub Viewer)(roles/gkehub.viewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwenden der Complianceprüfung erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Für die Verwendung der Complianceprüfung sind die folgenden Berechtigungen erforderlich:

• resourcemanager.projects.get
• resourcemanager.projects.list
• containersecurity.locations.list
• containersecurity.locations.get
• containersecurity.clusterSummaries.list
• containersecurity.findings.list
• container.clusters.list
• gkehub.features.get
• gkehub.memberships.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Cluster-Compliance prüfen

Sie können die Complianceprüfung für Ihren Cluster mit der Google Cloud Console aktivieren.

Compliance-prüfung für einen vorhandenen Cluster aktivieren

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Klicken Sie auf der Karte Einstellungen auf Cluster auswählen.

3. Klicken Sie im Tab Prüfung deaktiviert die Kästchen für die Cluster an, die Sie hinzufügen möchten.

4. Klicken Sie auf Aktivieren, um die Prüfung für diese Cluster zu aktivieren.

Complianceprüfung testen

Stellen Sie eine Beispiel-Pod bereit, die absichtlich gegen die Pod-Sicherheitsstandards verstößt.

1. Speichern Sie das folgende Manifest als noncompliant-sample.yaml:

   apiVersion: v1
   kind: Pod
   metadata:
     namespace: default
     name: wp-non-compliant
     labels:
       app: wordpress
   spec:
     containers:
     - image: nginx
       name: wordpress
       securityContext:
         capabilities:
           add:
           - NET_RAW
   

2. Wenden Sie die Ressource auf Ihren Cluster an:

   kubectl apply -f noncompliant-sample.yaml
   

Wenn Sie andere Verstöße ausprobieren möchten, ändern Sie noncompliant-sample.yaml mit einer anderen, nicht konformen Konfiguration.

Compliance-Probleme anzeigen und beheben

Es dauert bis zu 15 Minuten, bis die erste Prüfung Ergebnisse zurückgibt. Sie können die Ergebnisse auf der Seite Compliance oder als Einträge in Ihren Clusterlogs anzeigen.

Ergebnisse ansehen

So erhalten Sie eine Übersicht über Compliance-Probleme in den Clustern Ihres Projekts:

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Klicken Sie auf den Tab Bedenken.

3. Wählen Sie im Bereich Bedenken filtern im Abschnitt Standards den Standard aus, für den Sie Details wünschen.

Standarddetails und -empfehlungen ansehen

Wenn Sie detaillierte Informationen zu einem bestimmten Standard anzeigen möchten, maximieren Sie den Standardabschnitt, bis der Beschreibungslink angezeigt wird. Klicken Sie dann auf die Standardbeschreibung, um den Bereich Compliance-Einschränkung zu öffnen.

Der Tab Details enthält folgende Informationen:

• Beschreibung: Eine Beschreibung des Standards.
• Empfohlene Maßnahme: Eine Übersicht über die Maßnahmen, die Sie zur Behebung des Compliance-problems ergreifen können.

Auf dem Tab Betroffene Ressourcen werden die vom Standard betroffenen Ressourcen aufgelistet.

Logs für erkannte Bedenken aufrufen

Bei erkannten Compliance-Problemen können Sie sich einen entsprechenden Eintrag in Logging ansehen.

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

   Zum Log-Explorer

2. Geben Sie im Feld Abfrage die folgende Abfrage ein:

   resource.type="k8s_cluster"
   jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
   jsonPayload.type="FINDING_TYPE_MISCONFIG"
   jsonPayload.configuration.violation:*
   

3. Klicken Sie auf Abfrage ausführen.

Um Benachrichtigungen zu erhalten, wenn GKE neue Ergebnisse zu Logging hinzufügt, richten Sie für diese Abfrage logbasierte Benachrichtigungen ein. Weitere Informationen finden Sie unter Logbasierte Benachrichtigungen konfigurieren.

Bereinigen

Löschen Sie die bereitgestellte Beispiel-Pod.

kubectl delete pod wp-non-compliant

Complianceprüfung deaktivieren

Sie können die Complianceprüfung mit der Google Cloud Console deaktivieren.

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

   Zu Compliance

2. Klicken Sie auf der Karte „Einstellungen“ auf Cluster auswählen.

3. Wählen Sie auf dem Tab Prüfung aktiviert die Kästchen für die Cluster aus, die Sie entfernen möchten.

4. Klicken Sie auf Deaktivieren, um die Prüfung für diese Cluster zu deaktivieren.

Beschränkungen

• Windows Server-Knotenpools werden nicht unterstützt.
• Die Complianceprüfung scannt keine von GKE verwalteten Arbeitslasten, z. B. Arbeitslasten im kube-system-Namespace.
• Die Complianceprüfung ist nur für Cluster mit weniger als 1.000 Knoten verfügbar.

Nächste Schritte

• Weitere Informationen zum GKE-Compliance-Dashboard