Auf dieser Seite werden die Einstellung und Entfernung verschiedener Funktionen für die Verwaltung der Sicherheits- und Compliance-Konfiguration in Google Kubernetes Engine (GKE) und GKE Enterprise beschrieben. Diese Informationen gelten für Sie, wenn Sie eine der folgenden Funktionen in der Google Cloud Console verwenden:
- GKE-Sicherheitsstatus-Dashboard
- GKE-Compliance-Dashboard (Vorabversion)
Dashboards für die Statusverwaltung
GKE bietet Dashboards in der Google Cloud Console, mit denen Sie den Sicherheitsstatus Ihrer GKE-Cluster und alle Compliance-Verstöße in Ihrer Flotte überwachen können. Diese Dashboards unterstützen die folgenden Funktionen:
GKE-Dashboard für den Sicherheitsstatus: Überwachen Sie den Sicherheitsstatus von GKE-Clustern und ‑Arbeitslasten. Unterstützt die folgenden Funktionen:
Kubernetes-Sicherheitsstatus – Standardstufe:
- Prüfung der Arbeitslastkonfiguration
- Einblenden relevanter Sicherheitsbulletins (Vorschau)
Kubernetes-Sicherheitsstatus – Advanced-Stufe:
- GKE Threat Detection (Vorschau) (nur GKE Enterprise)
Scannen auf Sicherheitslücken in Arbeitslasten – Standard-Stufe
Scannen von Arbeitslasten auf Sicherheitslücken – Advanced Vulnerability Insights
Bedenken hinsichtlich der Lieferkette – Binärautorisierung (Vorschau)
GKE-Compliance-Dashboard (Vorschau) (nur GKE Enterprise): Überwachen Sie den Compliance-Status Ihrer Arbeitslasten in Bezug auf Branchenstandards wie die CIS-Benchmarks für GKE.
Eingestellte Funktionen
Ab dem 28. Januar 2025 werden bestimmte Funktionen zur Verwaltung von Gerätepositionen eingestellt. In der folgenden Tabelle sind die verworfenen Funktionen mit dem Datum der Einstellung, dem geschätzten Datum der Entfernung und Links zu weiteren Informationen aufgeführt.
| Leistungsvermögen | Einstellungsdatum | Entfernungsdatum | Weitere Informationen |
|---|---|---|---|
| GKE-Bedrohungserkennung (Vorschau) | 28. Januar 2025 | 31. März 2025 | GKE-Bedrohungserkennung |
| Bedenken hinsichtlich der Lieferkette – Binärautorisierung (Vorschau) | 28. Januar 2025 | 31. März 2025 | Bedenken hinsichtlich der Lieferkette – Binärautorisierung |
| GKE-Compliance-Dashboard (Vorschau) | 28. Januar 2025 | 30. Juni 2025 | Compliance-Dashboard |
| Scannen auf Sicherheitslücken in Arbeitslasten – Standard-Stufe | 23. Juli 2024 | 31. Juli 2024 | Scannen von Arbeitslasten auf Sicherheitslücken |
| Scannen von Arbeitslasten auf Sicherheitslücken – Advanced Vulnerability Insights | 16. Juni 2025 | 16. Juni 2026 | Scannen von Arbeitslasten auf Sicherheitslücken |
Was passiert, wenn eine Funktion entfernt wird?
Nach dem Entfernen einer Funktion treten die folgenden Änderungen ein:
- In der Google Cloud Console werden keine neuen Ergebnisse für die Funktion mehr generiert. GKE generiert beispielsweise nach dem 31. März 2025 keine neuen Ergebnisse der GKE-Bedrohungserkennung mehr.
- Sie können keine vorhandenen Ergebnisse im entsprechenden Dashboard für die Haltungsanalyse aufrufen. Nach dem 31. Juli 2025 können Sie beispielsweise keine vorhandenen Scanergebnisse für Sicherheitslücken im Container-Betriebssystem für GKE Standard-Cluster mehr ansehen.
- Security Command Center-Ergebnisse für die Funktion erhalten den Status
Inactive. Ergebnisse werden nach dem Aufbewahrungszeitraum für Security Command Center-Daten gelöscht.
Die Logs für Ihre Ergebnisse verbleiben für den Aufbewahrungszeitraum für Logs im _Default-Log-Bucket in Cloud Logging.
Was Sie tun sollten
In diesem Abschnitt werden alle verfügbaren Alternativen beschrieben, mit denen Sie ähnliche Monitoring-Funktionen für Ihre Cluster und Arbeitslasten erhalten können.
Scannen von Arbeitslasten auf Sicherheitslücken
Beide Stufen des Scannens auf Sicherheitslücken in Arbeitslasten sind eingestellt. Weitere Informationen finden Sie unter Entfernen des Scannens auf Sicherheitslücken in Arbeitslasten in GKE.
GKE Threat Detection
Die GKE-Bedrohungserkennung hat Ihre Audit-Logs anhand einer Reihe von Regeln für Cluster- und Arbeitslastbedrohungen ausgewertet. Aktive Bedrohungen wurden in derGoogle Cloud -Konsole mit Informationen zur Behebung der Bedrohung angezeigt.
Die GKE-Bedrohungserkennung wurde vom Security Command Center Event Threat Detection-Dienst unterstützt. Wenn Sie nach dem 31. März 2025 weiterhin Informationen zu aktiven Bedrohungen aus Security Command Center erhalten möchten, lesen Sie den Abschnitt Integration mit Security Command Center.
Bedenken hinsichtlich der Lieferkette – Binärautorisierung
Wenn Sie die Binary Authorization API in einem Projekt aktiviert haben, wurden im GKE-Sicherheitsstatus-Dashboard Ergebnisse für ausgeführte Container-Images angezeigt, die eines der folgenden Kriterien erfüllten:
- Bilder, die das Tag
latestimplizit oder explizit verwendet haben. - Images nach Digest, die vor mehr als 30 Tagen in Artifact Registry oder Container Registry (eingestellt) hochgeladen wurden.
Wenn Sie Ihre laufenden Container nach dem 31. März 2025 weiterhin auf diese Probleme prüfen möchten, gehen Sie so vor:
- Binärautorisierung in Ihrem Cluster einrichten.
- Aktualitätsprüfung für Bilder im Rahmen der kontinuierlichen Validierung aktivieren (Vorabversion)
Wenn Sie die Binärautorisierung in einem Cluster einrichten, können Sie keine Pods bereitstellen, in denen für jeden Container kein Container-Image-Digest angegeben ist. So wird sichergestellt, dass für Arbeitslasten nicht das :latest-Tag verwendet oder ein Tag ausgelassen wird.
GKE-Compliance-Dashboard
Das GKE-Compliance-Dashboard ist ein GKE Enterprise-Feature, mit dem Sie Ihre Cluster anhand vordefinierter Branchenstandards wie den CIS-Benchmarks für GKE scannen können.
Ab dem 30. Juni 2025 werden im GKE-Compliance-Dashboard keine Ergebnisse für Compliance-Verstöße in infrage kommenden Clustern mehr angezeigt. Sie können die Compliance-Prüfung nicht für neue oder vorhandene Cluster aktivieren.
So erhalten Sie ähnliche Ergebnisse für Compliance-Verstöße:
- Aktivieren Sie entweder die Premium- oder die Enterprise-Stufe von Security Command Center.
- Compliance mit Sicherheitsstandards bewerten und melden