Questa pagina spiega come configurare le impostazioni predefinite a livello di parco risorse per la dashboard di gestione della strategia di sicurezza di Google Kubernetes Engine (GKE). La dashboard sulla postura di sicurezza fornisce suggerimenti attendibili e strategici per migliorare la postura di sicurezza dei tuoi cluster. Se hai abilitato GKE Enterprise, puoi abilitare le impostazioni per la dashboard della postura di sicurezza a livello di parco risorse.
Puoi creare impostazioni predefinite a livello di parco risorse per le seguenti impostazioni della dashboard della security posture:
- Livello
standarddi scansione della strategia di sicurezza di Kubernetes: controlla i cluster e i workload nel tuo parco risorse per rilevare problemi comuni di configurazione della sicurezza. Analisi delle vulnerabilità dei workload, disponibile nei seguenti livelli:
- Analisi delle vulnerabilità del sistema operativo per i workload (livello
standard): analizza il sistema operativo dei container per verificare se esistono vulnerabilità note. - Advanced Vulnerability Insights (livello
enterprise): analizza il sistema operativo e i pacchetti di linguaggio dei container per individuare le vulnerabilità note.
- Analisi delle vulnerabilità del sistema operativo per i workload (livello
Questa pagina è destinata agli esperti di sicurezza che vogliono implementare soluzioni di rilevamento delle vulnerabilità proprietarie in una flotta di cluster. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli utente e attività comuni di GKE Enterprise.
Prima di leggere questa pagina, assicurati di conoscere la panoramica generale della scansione delle vulnerabilità del carico di lavoro.
Per scoprire come configurare queste impostazioni per i singoli cluster, consulta le seguenti risorse:
- Controllare automaticamente i workload per rilevare problemi di configurazione
- Esegui automaticamente la scansione dei carichi di lavoro per individuare vulnerabilità note (Ritirato)
Configura i valori predefiniti a livello di parco risorse
Questa sezione descrive come configurare le funzionalità della dashboard della security posture come impostazioni predefinite a livello di parco risorse. Tutti i nuovi cluster che registri in un parco risorse durante la creazione del cluster hanno le funzionalità di postura di sicurezza specificate abilitate. Le impostazioni predefinite a livello di parco risorse che configuri hanno la priorità su qualsiasi impostazione predefinita della postura di sicurezza di GKE. Per visualizzare le impostazioni predefinite che si applicano alla tua edizione di GKE, consulta la tabella delle funzionalità specifiche del cluster.
Per configurare i valori predefiniti a livello di parco risorse per la security posture:
Console
Nella console Google Cloud , vai alla pagina Feature Manager.
Nel riquadro Security Posture (Postura di sicurezza), fai clic su Configura.
Rivedi le impostazioni a livello di parco risorse. Tutti i nuovi cluster che registri nel parco risorse ereditano queste impostazioni.
(Facoltativo) Per modificare le impostazioni predefinite, fai clic su Personalizza impostazioni flotta. Nella finestra di dialogo Personalizza la configurazione predefinita del parco risorse visualizzata, procedi nel seguente modo:
- Per Controllo della configurazione, scegli se il controllo della configurazione deve essere attivato o disattivato.
- Per Analisi delle vulnerabilità (ritirata), seleziona il livello di analisi delle vulnerabilità che preferisci: Disabilitata, Di base o Avanzata (opzione consigliata).
- Fai clic su Salva.
Se in un secondo momento disattivi la configurazione a livello di parco risorse per queste funzionalità, i workload attuali nei cluster membri esistenti vengono comunque analizzati e puoi visualizzare i problemi di sicurezza nella dashboard della postura di sicurezza. Tuttavia, i nuovi cluster che crei nel parco risorse non verranno analizzati per rilevare problemi, a meno che tu non attivi le funzionalità di postura di sicurezza su ciascuno di essi singolarmente.
Per applicare l'impostazione ai nuovi cluster, fai clic su Configura.
Nella finestra di dialogo di conferma, fai clic su Conferma.
(Facoltativo) Sincronizza i cluster esistenti con le impostazioni predefinite:
- Nell'elenco Cluster nel parco risorse, seleziona i cluster che vuoi sincronizzare.
- Fai clic su Sincronizza con le impostazioni della flotta e poi su Conferma nella finestra di dialogo di conferma visualizzata. Il completamento di questa operazione può richiedere alcuni minuti.
gcloud
Assicurati di avere gcloud CLI versione 455.0.0 o successive.
Configurare le impostazioni predefinite per un nuovo parco risorse
Puoi creare una flotta vuota con le funzionalità della dashboard della postura di sicurezza che vuoi attivare.
Per creare un parco risorse con il controllo della configurazione del workload abilitato, esegui il seguente comando:
gcloud container fleet create --security-posture standardPer creare un parco risorse con l'analisi delle vulnerabilità dei workload (ritirata) abilitata, esegui questo comando:
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIERSostituisci
VULNERABILITY_SCANNING_TIERcon uno dei seguenti valori:standard: analizza il sistema operativo dei container per verificare se esistono vulnerabilità note.enterprise: analizza il sistema operativo e i pacchetti di linguaggio del container per verificare se esistono vulnerabilità note.
Configurare i valori predefiniti per un parco risorse esistente
Per abilitare il controllo della configurazione del workload su un parco risorse esistente, esegui il comando seguente:
gcloud container fleet update --security-posture standardPer abilitare l'analisi delle vulnerabilità dei workload (ritirata) in un parco risorse esistente, esegui questo comando:
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIERSostituisci
VULNERABILITY_SCANNING_TIERcon uno dei seguenti valori:standard: analizza il sistema operativo dei container per verificare se esistono vulnerabilità note.enterprise: analizza il sistema operativo e i pacchetti di linguaggio del container per verificare se esistono vulnerabilità note.
Per modificare il livello di analisi delle vulnerabilità dei workload in un parco risorse esistente:
Controlla le impostazioni della dashboard della security posture esistente in un parco risorse:
gcloud container fleet describeUtilizza il comando
updatedescritto in precedenza con il livello di analisi del workload a cui vuoi passare:gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
Disattivare le funzionalità della dashboard sulla postura di sicurezza a livello di parco risorse
Per disattivare il controllo della configurazione del carico di lavoro, esegui questo comando:
gcloud container fleet update --security-posture disabledPer disattivare l'analisi delle vulnerabilità dei workload, esegui questo comando:
gcloud container fleet update --workload-vulnerability-scanning disabled
Se disattivi la configurazione a livello di parco risorse per queste funzionalità, i tuoi workload attuali nei cluster membri esistenti vengono comunque analizzati e puoi visualizzare i problemi di sicurezza nella dashboard di security posture. Tuttavia, i nuovi cluster che crei nel parco risorse non verranno analizzati per rilevare problemi, a meno che tu non attivi individualmente le funzionalità di postura di sicurezza.
Passaggi successivi
- Scopri la gamma di Google Cloud funzionalità per proteggere i tuoi cluster e workload.
- Scopri in che modo il controllo della configurazione del workload rileva i problemi comuni di configurazione della sicurezza.