Nesta página, descrevemos as suspensões de uso e remoções de vários recursos de gerenciamento de postura de segurança e conformidade no Google Kubernetes Engine (GKE) e no GKE Enterprise. Essas informações se aplicam a você se usar qualquer um dos seguintes recursos no console Google Cloud :
- Painel de postura de segurança do GKE
- Painel de compliance do GKE (pré-lançamento)
Sobre os painéis de gerenciamento de postura
O GKE fornece painéis no console Google Cloud para monitorar a postura de segurança dos clusters do GKE e violações de compliance na sua frota. Esses painéis oferecem suporte aos seguintes recursos:
Painel de postura de segurança do GKE: monitore a postura de segurança dos clusters e cargas de trabalho do GKE. Compatível com os seguintes recursos:
Postura de segurança do Kubernetes - nível Standard:
- Auditoria de configuração da carga de trabalho
- Exibição do boletim de segurança acionável (pré-lançamento)
Postura de segurança do Kubernetes - nível avançado:
- GKE Threat Detection (pré-lançamento) (somente GKE Enterprise)
Verificação de vulnerabilidades da carga de trabalho: nível padrão
Verificação de vulnerabilidades da carga de trabalho - Advanced Vulnerability Insights
Questões da cadeia de suprimentos: autorização binária (pré-lançamento)
Painel do GKE Compliance (prévia) (somente GKE Enterprise): monitore o status de conformidade das cargas de trabalho com padrões do setor como os comparativos de mercado do CIS para o GKE.
Recursos descontinuados
A partir de 28 de janeiro de 2025, algumas funcionalidades específicas de gerenciamento de postura serão descontinuadas. A tabela a seguir lista os recursos descontinuados com datas de descontinuação, datas estimadas de remoção e links para saber mais.
| Capacidade | Data da suspensão do uso | Data da remoção | Saiba mais |
|---|---|---|---|
| GKE Threat Detection (pré-lançamento) | 28 de janeiro de 2025 | 31 de março de 2025 | GKE Threat Detection |
| Questões da cadeia de suprimentos: autorização binária (pré-lançamento) | 28 de janeiro de 2025 | 31 de março de 2025 | Questões da cadeia de suprimentos: autorização binária |
| Painel de compliance do GKE (prévia) | 28 de janeiro de 2025 | 30 de junho de 2025 | Painel de compliance |
| Verificação de vulnerabilidades da carga de trabalho: nível padrão | 23 de julho de 2024 | 31 de julho de 2025 | Verificação de vulnerabilidades da carga de trabalho |
| Verificação de vulnerabilidades da carga de trabalho - Advanced Vulnerability Insights | 16 de junho de 2025 | 16 de junho de 2026 | Verificação de vulnerabilidades da carga de trabalho |
O que acontece quando uma capacidade é removida?
Após a data de remoção de um recurso, as seguintes mudanças ocorrem:
- O console Google Cloud não gera mais novos resultados para a capacidade. Por exemplo, o GKE não vai gerar novos resultados de detecção de ameaças após 31 de março de 2025.
- Não é possível ver os resultados no painel de gerenciamento de postura correspondente. Por exemplo, não será possível ver os resultados de verificação de vulnerabilidade do SO do contêiner para clusters da edição Standard do GKE após 31 de julho de 2025.
- As descobertas do Security Command Center para a capacidade recebem o estado
Inactive. As descobertas são excluídas após o período de retenção de dados do Security Command Center.
Os registros das descobertas permanecem no bucket de registros _Default no
Cloud Logging durante o
período de retenção de registros.
O que você deve fazer
Nesta seção, descrevemos as alternativas disponíveis que podem ser usadas para ter recursos de monitoramento semelhantes para seus clusters e cargas de trabalho.
Verificação de vulnerabilidades da carga de trabalho
Os dois níveis de verificação de vulnerabilidades da carga de trabalho foram descontinuados. Para mais informações, consulte Remoção da verificação de vulnerabilidades de carga de trabalho no GKE.
GKE Threat Detection
A detecção de ameaças do GKE avaliou seus registros de auditoria em relação a um conjunto de regras para ameaças a clusters e cargas de trabalho. As ameaças ativas eram mostradas no console do Google Cloud com informações sobre como corrigir a ameaça.
A detecção de ameaças do GKE era feita pela detecção de ameaças a eventos do Security Command Center. Para continuar recebendo informações do Security Command Center sobre ameaças ativas após 31 de março de 2025, consulte Integração com o Security Command Center.
Problemas da cadeia de suprimentos: autorização binária
Se você ativou a API Binary Authorization em um projeto, o painel de postura de segurança do GKE mostrou resultados para imagens de contêiner em execução que atendiam a qualquer um dos seguintes critérios:
- Imagens que usam a tag
latestde forma implícita ou explícita. - Imagens por resumo que foram enviadas por upload ao Artifact Registry ou ao Container Registry (descontinuado) há mais de 30 dias.
Para continuar monitorando seus contêineres em execução em busca desses problemas após 31 de março de 2025, faça o seguinte:
- Configure a autorização binária no cluster.
- Ative a verificação de atualização de imagem da validação contínua (pré-lançamento).
A configuração da autorização binária em um cluster impede a implantação de pods que
não especificam um resumo da imagem do contêiner para cada contêiner. Isso garante que as cargas de trabalho não usem a tag :latest nem omitam uma tag.
Painel de compliance do GKE
O painel de conformidade do GKE é um recurso do GKE Enterprise que permite verificar seus clusters em relação a padrões predefinidos do setor, como os comparativos de mercado do CIS para GKE.
A partir de 30 de junho de 2025, o painel de conformidade do GKE não vai mais mostrar resultados de violações de conformidade em clusters qualificados. Não é possível ativar a auditoria de conformidade para clusters novos ou atuais.
Para ter resultados semelhantes em relação a violações de compliance, faça o seguinte:
- Ative o nível Premium ou Enterprise do Security Command Center
- Avaliar e relatar a conformidade com os padrões de segurança