Halaman ini menunjukkan cara mengaudit kepatuhan cluster secara otomatis kekhawatiran Anda dan mendapatkan rekomendasi yang dapat ditindaklanjuti untuk meningkatkan kepatuhan Cluster edisi Google Kubernetes Engine (GKE) Enterprise. Audit kepatuhan adalah fitur Dasbor Kepatuhan GKE. Untuk informasi selengkapnya, lihat Tentang dasbor Kepatuhan GKE.
Standar kepatuhan yang didukung
Audit kepatuhan memindai kepatuhan cluster Anda terhadap hal berikut standar dan memberikan rekomendasi untuk meningkatkan postur kepatuhan Anda:
Nama |
Deskripsi |
Tolok Ukur Google Kubernetes Engine CIS v1.5.0 |
Kumpulan kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE), berdasarkan CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0. |
Dasar Pengukuran Standar Keamanan Pod |
Kumpulan perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Dasar Pengukuran Pod Security Standards (PSS) Kubernetes. |
Standar Keamanan Pod Dibatasi |
Kumpulan perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Dibatasi Standar Keamanan Pod (PSS) Kubernetes. |
Rangkaian standar default mencakup ketiga standar yang didukung:
- Tolok Ukur Google Kubernetes Engine CIS v1.5.0
- Dasar Pengukuran Standar Keamanan Pod
- Standar Keamanan Pod Dibatasi
Harga
Dasbor Kepatuhan GKE tersedia bagi pengguna yang telah mengaktifkan GKE Enterprise.
Sebelum memulai
Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:
Mengaktifkan Container Security API.
Persyaratan
Untuk mendapatkan izin yang diperlukan untuk menggunakan audit kepatuhan, minta administrator untuk memberi Anda peran IAM berikut di project Google Cloud Anda:
-
Container Security Viewer (
roles/containersecurity.viewer
) -
Fleet Viewer (sebelumnya GKE Hub Viewer) (
roles/gkehub.viewer
)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk menggunakan audit kepatuhan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menggunakan audit kepatuhan:
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
containersecurity.locations.list
-
containersecurity.locations.get
-
containersecurity.clusterSummaries.list
-
containersecurity.findings.list
-
container.clusters.list
-
gkehub.features.get
-
gkehub.memberships.list
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Kepatuhan cluster audit
Anda dapat mengaktifkan audit kepatuhan pada cluster Anda dengan menggunakan Konsol Google Cloud Anda.
Mengaktifkan audit kepatuhan pada cluster yang ada
Buka halaman Kepatuhan di Konsol Google Cloud.
Di kartu Setelan, klik Pilih cluster.
Pada tab Audit dinonaktifkan, pilih kotak centang untuk cluster yang telah Anda Anda ingin tambahkan.
Klik Aktifkan untuk mengaktifkan pengauditan pada cluster tersebut.
Menguji audit kepatuhan
Deploy Pod sampel yang sengaja melanggar Standar Keamanan Pod.
Simpan manifes berikut sebagai
noncompliant-sample.yaml
:apiVersion: v1 kind: Pod metadata: namespace: default name: wp-non-compliant labels: app: wordpress spec: containers: - image: nginx name: wordpress securityContext: capabilities: add: - NET_RAW
Terapkan resource ke cluster Anda:
kubectl apply -f noncompliant-sample.yaml
Jika Anda ingin mencoba pelanggaran lain, ubah noncompliant-sample.yaml
dengan
konfigurasi yang berbeda dan tidak mematuhi kebijakan.
Melihat dan menyelesaikan masalah kepatuhan
Audit awal memerlukan waktu hingga 30 menit untuk memberikan hasil. Anda dapat melihat hasilnya di halaman Kepatuhan atau sebagai entri di log cluster.
Lihat hasil
Untuk melihat ringkasan masalah kepatuhan di seluruh cluster project Anda, lakukan berikut ini:
Buka halaman Kepatuhan di Konsol Google Cloud.
Klik tab Concerns.
Di panel Filter problems, di bagian Standards, pilih standar yang Anda inginkan detailnya.
Lihat detail dan rekomendasi standar
Untuk melihat informasi terperinci tentang standar tertentu, luaskan bagian standar hingga Anda melihat tautan deskripsi, lalu klik deskripsi standar untuk membuka panel Compliance Constraint.
Tab Details menampilkan informasi berikut:
- Deskripsi: deskripsi standar.
- Tindakan yang disarankan: ringkasan tindakan yang dapat Anda lakukan untuk memperbaiki masalah kepatuhan.
Tab Resource yang Terpengaruh mencantumkan resource yang terpengaruh oleh standar.
Lihat log untuk masalah yang ditemukan
Untuk masalah kepatuhan yang ditemukan, Anda dapat melihat entri terkait di Pembuatan Log.
Buka Logs Explorer di Konsol Google Cloud.
Di kolom Kueri, tentukan kueri berikut:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG" jsonPayload.configuration.violation:*
Klik Run query.
Untuk menerima notifikasi saat GKE menambahkan temuan baru ke Pencatatan log, atur pemberitahuan berbasis log untuk kueri ini. Untuk selengkapnya informasi, lihat Konfigurasi pemberitahuan berbasis log.
Pembersihan
Hapus contoh Pod yang telah di-deploy:
kubectl delete pod wp-non-compliant
Nonaktifkan pengauditan kepatuhan
Anda dapat menonaktifkan audit kepatuhan menggunakan Konsol Google Cloud.
Buka halaman Kepatuhan di Konsol Google Cloud.
Di kartu Setelan, klik Pilih cluster.
Pada tab Audit diaktifkan, centang kotak untuk cluster yang ingin dihapus.
Klik Disable untuk menonaktifkan pengauditan pada cluster tersebut.
Batasan
- Node pool Windows Server tidak didukung.
- Audit kepatuhan tidak memindai data yang dikelola GKE seperti workload dalam namespace sistem kube.
- Audit kepatuhan hanya tersedia untuk cluster dengan dari 1.000 node.