このページでは、Google Kubernetes Engine(GKE)と GKE Enterprise のさまざまなセキュリティ ポスチャー管理機能とコンプライアンス ポスチャー管理機能の非推奨と削除について説明します。この情報は、 Google Cloud コンソールで次のいずれかの機能を使用している場合に適用されます。
ポスチャー管理ダッシュボードについて
GKE では、GKE クラスタのセキュリティ ポスチャーとフリートのコンプライアンス違反をモニタリングするためのダッシュボードが Google Cloud コンソールに用意されています。これらのダッシュボードは、次の機能をサポートしています。
GKE セキュリティ ポスチャー ダッシュボード: GKE クラスタとワークロードのセキュリティ ポスチャーをモニタリングします。次の機能をサポートしています。
Kubernetes セキュリティ ポスチャー - スタンダード ティア:
- ワークロード構成の監査
- 実行可能なセキュリティに関する公開情報の表示(プレビュー版)
Kubernetes セキュリティ ポスチャー - Advanced ティア:
- GKE Threat Detection(プレビュー)(GKE Enterprise のみ)
ワークロードの脆弱性スキャン - スタンダード ティア
ワークロードの脆弱性スキャン - Advanced Vulnerability Insights
サプライ チェーンの懸念 - Binary Authorization(プレビュー)
GKE Compliance ダッシュボード(プレビュー)(GKE Enterprise のみ): GKE の CIS Benchmark などの業界標準に対するワークロードのコンプライアンス ステータスをモニタリングします。
サポートが終了した機能
2025 年 1 月 28 日より、特定のポスチャー管理機能はサポートが終了します。次の表に、非推奨になった機能と、非推奨日、削除予定日、詳細情報のリンクを示します。
| 機能 | サポート終了日 | 削除日 | 詳細 |
|---|---|---|---|
| Kubernetes のセキュリティ ポスチャー - Advanced ティア(プレビュー版) | 2025 年 1 月 28 日 | 2025 年 3 月 31 日 | Kubernetes セキュリティ ポスチャー - Advanced ティア |
| サプライ チェーンの懸念 - Binary Authorization(プレビュー) | 2025 年 1 月 28 日 | 2025 年 3 月 31 日 | サプライ チェーンの懸念 - Binary Authorization |
| GKE Compliance ダッシュボード(プレビュー) | 2025 年 1 月 28 日 | 2025 年 6 月 30 日 | コンプライアンス ダッシュボード |
| ワークロードの脆弱性スキャン | GKE Standard エディション: 2024 年 7 月 23 日 | GKE Standard エディション: 2025 年 7 月 31 日 | ワークロードの脆弱性スキャン |
機能が削除された後の変更
機能の削除日以降、次の変更が行われます。
- Google Cloud コンソールでは、この機能に関する新しい結果は生成されなくなります。たとえば、2025 年 3 月 31 日以降、GKE は新しい GKE Threat Detection の結果を生成しません。
- 対応するポスチャー管理ダッシュボードで既存の結果を確認することはできません。たとえば、2025 年 7 月 31 日以降、GKE Standard Edition クラスタの既存のコンテナ OS 脆弱性スキャンの結果を表示することはできません。
- 機能の Security Command Center の検出結果は、
Inactive状態になります。検出結果は、Security Command Center のデータ保持期間が経過すると削除されます。
検出結果のログは、ログの保持期間の間、Cloud Logging の _Default ログバケットに保持されます。
お客様側で必要な操作
このセクションでは、クラスタとワークロードで同様のモニタリング機能を実現するために使用できる代替手段について説明します。
ワークロードの脆弱性スキャン
ワークロードの脆弱性スキャンは、次のティアで利用可能です。
- スタンダード ティア: コンテナ オペレーティング システム(OS)をスキャンして、対処可能な脆弱性を検出します。
- Advanced Vulnerability Insights: スタンダード ティアの OS 脆弱性スキャンに加えて、コンテナ言語パッケージをスキャンして、対処可能な脆弱性を検出します。
両方のティアでのワークロードの脆弱性スキャンは、2024 年 7 月 23 日をもって GKE Standard エディションで非推奨になりました。2025 年 7 月 31 日以降、ワークロードの脆弱性スキャンを使用できるのは GKE Enterprise クラスタのみです。
詳細については、GKE Standard Edition でのワークロードの脆弱性スキャンの廃止をご覧ください。
Kubernetes セキュリティ ポスチャー - Advanced ティア
Kubernetes セキュリティ ポスチャー機能の Advanced ティアには、GKE Threat Detection(プレビュー版)の検出結果が表示されます。GKE Threat Detection は、クラスタとワークロードの脅威に関する一連のルールと監査ログを照らし合わせて評価します。Google Cloud コンソールには、アクティブな脅威が脅威の修正方法とともに表示されます。
GKE Threat Detection は、Security Command Center の Event Threat Detection を利用しています。2025 年 3 月 31 日以降もアクティブな脅威に関する情報を引き続き取得するには、次の操作を行います。
- Security Command Center の Premium ティアまたは Enterprise ティアを有効にする
- Event Threat Detection サービスを有効にする
- Event Threat Detection の検出結果を表示する
サプライ チェーンの懸念 - Binary Authorization
プロジェクトで Binary Authorization API を有効にすると、GKE セキュリティ ポスチャー ダッシュボードに、次のいずれかの条件を満たす実行中のコンテナ イメージの結果が表示されます。
- 暗黙的または明示的に
latestタグを使用するイメージ - 30 日以上前に Artifact Registry または Container Registry にアップロードされた(ダイジェストによってデプロイされた)イメージ(非推奨)
2025 年 3 月 31 日以降も、実行中のコンテナでこれらの問題をモニタリングするには、次の操作を行います。
クラスタに Binary Authorization を設定すると、コンテナごとにコンテナ イメージ ダイジェストが指定されていない Pod はデプロイできなくなります。これにより、ワークロードで :latest タグが使用されたり、省略されたりすることはありません。
GKE Compliance ダッシュボード
GKE Compliance ダッシュボードは、GKE の CIS ベンチマークなど、事前定義された業界標準を使用してクラスタをスキャンできる GKE Enterprise の機能です。
2025 年 6 月 30 日より、GKE Compliance ダッシュボードに、対象となるクラスタのコンプライアンス違反の結果が表示されなくなります。新規または既存のクラスタでコンプライアンスの監査を有効にすることはできません。
コンプライアンス違反について同様の結果を取得するには、次の操作を行います。