Esta página foi traduzida pela API Cloud Translation.

Configurar os recursos do painel de postura de segurança do GKE no nível da frota

Autopilot Standard

Nesta página, explicamos como configurar as opções padrão no nível da frota para o painel de postura de segurança do Google Kubernetes Engine (GKE). O painel de postura de segurança fornece recomendações opinativas e práticas para melhorar a postura de segurança dos seus clusters. Se você tiver ativado o GKE Enterprise, poderá ativar as configurações do painel de postura de segurança no nível da frota.

É possível criar padrões no nível da frota para as seguintes configurações do painel de postura de segurança:

Verificação de postura de segurança do Kubernetes no nível standard: faça a auditoria dos clusters e das cargas de trabalho na sua frota em busca de preocupações comuns com a configuração de segurança.
Verificação de vulnerabilidades da carga de trabalho, disponível nos seguintes níveis:
- Verificação de vulnerabilidades do SO da carga de trabalho (nível standard): verifique se há vulnerabilidades conhecidas no SO do contêiner.
- Advanced Vulnerability Insights (nível enterprise): verifique se há vulnerabilidades conhecidas no SO e nos pacotes de linguagens do contêiner.
Atenção:a partir de 23 de julho de 2024, a verificação de vulnerabilidades do SO do contêiner será descontinuada e está programada para ser desativada em 31 de julho de 2025. A partir de 16 de junho de 2025, o Advanced Vulnerability Insights será descontinuado e está programado para ser desativado em 16 de junho de 2026. Para mais informações sobre datas de descontinuação e desligamento, consulte Remoção da verificação de vulnerabilidades do GKE.

Esta página é destinada a especialistas em segurança que querem implementar soluções primárias de detecção de vulnerabilidades em uma frota de clusters. Para saber mais sobre papéis comuns e exemplos de tarefas que mencionamos no conteúdo do Google Cloud , consulte Tarefas e funções de usuário comuns do GKE.

Antes de ler esta página, familiarize-se com a visão geral do verificação de vulnerabilidades de carga de trabalho.

Para saber como definir essas configurações para clusters individuais, consulte os recursos a seguir:

Configurar padrões no nível da frota

Nesta seção, descrevemos como configurar os recursos do painel de postura de segurança como padrões no nível da frota. Todos os clusters novos registrados em uma frota durante a criação deles têm os recursos de postura de segurança especificados ativados. As configurações padrão da frota que você definir têm prioridade sobre qualquer configuração padrão de postura de segurança do GKE. Para acessar o padrão que se aplicam à sua edição do GKE, consulte Tabela de recursos específicos do cluster.

Para configurar os padrões da frota para a postura de segurança, siga estas etapas:

Console

No console Google Cloud , acesse a página Gerenciador de recursos.

Acessar o gerenciador de recursos
No painel Security posture, clique em Configure.
Revisar as configurações da frota Todos os novos clusters registrados na frota vão herdar essas configurações.
Opcional: para mudar as configurações padrão, clique em Personalizar configurações da frota. Na caixa de diálogo Personalizar a configuração padrão da frota que aparece, faça o seguinte:
1. Para auditoria de configuração, escolha se a auditoria de configuração precisa ser ativada ou desativada.
2. Para Verificação de vulnerabilidades (descontinuada), selecione o nível de verificação de vulnerabilidades que você quer. Desativado, Básico ou Avançado (recomendado).
3. Clique em Salvar.
Se você desativar a configuração no nível da frota para esses recursos, as cargas de trabalho atuais nos clusters de membros atuais ainda serão verificadas. Além disso, será possível questões de segurança no painel de postura de segurança. No entanto, os novos clusters criados nela não serão verificados quanto a problemas, a menos que você ative os recursos de postura de segurança individualmente.
Para aplicar a configuração a novos clusters, clique em Configurar.
Na caixa de diálogo, clique em Confirmar.
Opcional: sincronize os clusters atuais com as configurações padrão:
1. Na lista Clusters na frota, selecione os clusters que você quer sincronizar.
2. Clique em Sincronizar com as configurações da frota e em Confirmar na caixa de diálogo de confirmação mostrada. Esta operação leva alguns minutos para ser concluída.

gcloud

Verifique se você tem a CLI gcloud versão 455.0.0 ou mais recente.

Configurar padrões para uma nova frota

É possível criar uma frota vazia com os recursos do painel de postura de segurança que você quer ativar.

Para criar uma frota com a auditoria de configuração da carga de trabalho ativada, execute o seguinte comando:
```
gcloud container fleet create --security-posture standard
```
Para criar uma frota com a verificação de vulnerabilidades de carga de trabalho (descontinuada) ativada, execute o seguinte comando:
```
gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```
Substitua VULNERABILITY_SCANNING_TIER por um dos seguintes valores:
- standard: verifica se há vulnerabilidades conhecidas no SO do contêiner.
- enterprise: verifica se há vulnerabilidades conhecidas no SO do contêiner e os pacotes de linguagens.

Configurar padrões para uma frota atual

Para ativar a auditoria de configuração da carga de trabalho em uma frota atual, execute o seguinte comando:
```
gcloud container fleet update --security-posture standard
```
Para ativar a verificação de vulnerabilidades da carga de trabalho (descontinuada) em uma frota atual, execute o seguinte comando:
```
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```
Substitua VULNERABILITY_SCANNING_TIER por um dos seguintes valores:
- standard: verifica se há vulnerabilidades conhecidas no SO do contêiner.
- enterprise: verifica se há vulnerabilidades conhecidas no SO do contêiner e os pacotes de linguagens.
Para mudar o nível de verificação de vulnerabilidades da carga de trabalho em uma frota atual:
1. Verifique as configurações do painel de postura de segurança em uma frota:
```
gcloud container fleet describe
```
2. Use o comando update, conforme descrito anteriormente, com o nível de verificação de vulnerabilidades da carga de trabalho para o qual você quer mudar:
```
gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
```

Desativar recursos do painel de postura de segurança no nível da frota

Para desativar a auditoria de configuração da carga de trabalho, execute o seguinte comando:
```
gcloud container fleet update --security-posture disabled
```
Para desativar a verificação de vulnerabilidades da carga de trabalho, execute o seguinte comando:
```
gcloud container fleet update --workload-vulnerability-scanning disabled
```

Se você desativar a configuração no nível da frota para esses recursos, as cargas de trabalho atuais nos clusters de membros atuais ainda serão verificadas. Além disso, será possível questões de segurança no painel de postura de segurança. No entanto, os novos clusters criados nela não serão verificados quanto a problemas, a menos que você ative os recursos de postura de segurança individualmente.

A seguir

Conheça os vários recursos do Google Cloud para proteger clusters e cargas de trabalho.
Saiba como a auditoria de configuração da carga de trabalho detecta problemas comuns de configuração de segurança.