在機群層級設定 GKE 安全防護機制資訊主頁功能


本頁說明如何為 Google Kubernetes Engine (GKE) 安全防護機制資訊主頁設定車隊層級的預設設定。安全防護機制資訊主頁會提供具體可行的建議,協助您提升叢集的安全防護機制。如果您已啟用 GKE Enterprise,可以在機群層級啟用安全防護機制資訊主頁的設定。

您可以為下列安全防護機制資訊主頁設定建立機群層級的預設值:

  • Kubernetes 安全防護機制掃描 standard 層級:稽核機群中的叢集和工作負載,找出常見的安全設定疑慮。
  • 工作負載安全漏洞掃描功能適用於下列層級:

    • 工作負載 OS 安全漏洞掃描 (standard 層級):掃描容器 OS,確認是否有已知的安全漏洞。
    • 進階安全漏洞分析 (enterprise 層級):掃描容器 OS 和語言套件,找出已知的安全漏洞。

本頁內容適用於想要在叢集機群中導入第一方安全漏洞偵測解決方案的安全專家。如要進一步瞭解 Google Cloud 內容中提及的常見角色和範例工作,請參閱常見的 GKE Enterprise 使用者角色和工作

閱讀本頁面之前,請先熟悉工作負載安全漏洞掃描的一般總覽。

如要瞭解如何為個別叢集設定這些設定,請參閱下列資源:

設定機群層級預設值

本節說明如何將安全防護狀態資訊主頁功能設為車隊層級的預設值。在叢集建立期間向機群註冊的所有新叢集,都會啟用您指定的安全防護機制功能。您設定的機群層級預設設定,會優先於任何預設 GKE 安全防護機制設定。如要查看適用於 GKE 版本預設設定,請參閱叢集專屬功能表

如要設定安全防護機制的機群層級預設值,請完成下列步驟:

控制台

  1. 前往 Google Cloud 控制台的「Feature Manager」頁面。

    前往功能管理工具

  2. 在「安全狀況」窗格中,按一下「設定」

  3. 檢查機群層級設定。您向機群註冊的所有新叢集都會沿用這些設定。

  4. 選用:如要變更預設設定,請按一下「自訂車隊設定」。在隨即顯示的「Customize fleet default configuration」(自訂機群預設設定) 對話方塊中,執行下列操作:

    1. 在「設定稽核」部分,選擇是否啟用或停用設定稽核
    2. 如果是安全漏洞掃描 (已淘汰),請選取要執行的安全漏洞掃描等級:「已停用」、「基本」或「進階 (建議)」
    3. 按一下 [儲存]

    如果之後停用這些功能的機群層級設定,系統仍會掃描現有成員叢集中的目前工作負載,您也可以在安全防護機制資訊主頁上查看安全疑慮。不過,除非您個別啟用這些新叢集的安全狀況功能,否則系統不會掃描這些叢集是否有疑慮。

  5. 如要將設定套用至新叢集,請按一下「設定」

  6. 在確認對話方塊中,按一下「確認」

  7. 選用步驟:將現有叢集與預設設定同步:

    1. 在「機群中的叢集」清單中,選取要同步的叢集。
    2. 按一下「Sync to fleet settings」(同步處理至車隊設定),然後在隨即顯示的確認對話方塊中,按一下「Confirm」(確認)。這項作業可能要幾分鐘才能完成。

gcloud

請確認您使用的是 gcloud CLI 455.0.0 以上版本

設定新機群的預設值

您可以建立空白車隊,並啟用所需安全防護機制資訊主頁功能。

  • 如要建立啟用工作負載設定稽核功能的機群,請執行下列指令:

    gcloud container fleet create --security-posture standard
    
  • 如要建立啟用工作負載安全漏洞掃描 (已淘汰) 的機群,請執行下列指令:

    gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    VULNERABILITY_SCANNING_TIER 取代為下列其中一個值:

    • standard:掃描容器 OS,確認是否有已知的安全漏洞。
    • enterprise:掃描容器 OS 和語言套件,找出已知的安全漏洞。

為現有機群設定預設值

  • 如要在現有車隊上啟用工作負載設定稽核功能,請執行下列指令:

    gcloud container fleet update --security-posture standard
    
  • 如要在現有機群上啟用工作負載安全漏洞掃描 (已淘汰),請執行下列指令:

    gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    VULNERABILITY_SCANNING_TIER 取代為下列其中一個值:

    • standard:掃描容器 OS,確認是否有已知的安全漏洞。
    • enterprise:掃描容器 OS 和語言套件,找出已知的安全漏洞。
  • 如要變更現有機群的工作負載安全漏洞掃描層級,請按照下列步驟操作:

    1. 檢查機群現有的安全防護機制資訊主頁設定:

      gcloud container fleet describe
      
    2. 如先前所述,使用 update 指令,並將工作負載掃描層級變更為所需層級:

      gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
      

在機群層級停用安全防護機制資訊主頁功能

  • 如要停用工作負載設定稽核功能,請執行下列指令:

    gcloud container fleet update --security-posture disabled
    
  • 如要停用工作負載安全漏洞掃描,請執行下列指令:

    gcloud container fleet update --workload-vulnerability-scanning disabled
    

如果停用這些功能的機群層級設定,系統仍會掃描現有成員叢集中的目前工作負載,您也可以在安全防護機制資訊主頁上查看安全疑慮。不過,除非您個別啟用安全狀態功能,否則在該機群中建立的任何新叢集都不會掃描問題。

後續步驟