弃用的安全状况管理功能

本页介绍了 Google Kubernetes Engine (GKE) 和 GKE Enterprise 中各种安全状况管理和合规状况管理功能的弃用和移除情况。如果您在 Google Cloud 控制台中使用以下任一功能,则此信息适用于您:

姿态管理信息中心简介

GKE 在 Google Cloud 控制台中提供信息中心,用于监控 GKE 集群的安全状况以及舰队中的任何违规情况。这些信息中心支持以下功能:

  • GKE 安全状况信息中心:监控 GKE 集群和工作负载的安全状况。支持以下功能:

    • Kubernetes 安全状况 - 标准层级:

      • 工作负载配置审核
      • 实用的安全公告呈现(预览版)

    • Kubernetes 安全状况 - 高级层级:

      • GKE 威胁检测(预览版)(仅限 GKE Enterprise)

    • 工作负载漏洞扫描 - 标准层级

    • 工作负载漏洞扫描 - Advanced Vulnerability Insights

    • 供应链问题 - Binary Authorization(预览版)

  • GKE Compliance 信息中心(预览版)(仅限 GKE Enterprise):监控工作负载是否符合行业标准,例如 CIS GKE 基准。

已弃用的功能

自 2025 年 1 月 28 日起,我们将弃用特定的姿势管理功能。下表列出了已弃用的功能以及弃用日期、预计移除日期,并提供了相关链接以供您了解详情。

能力 弃用日期 移除日期 了解详情
GKE 威胁检测(预览版) 2025 年 1 月 28 日 2025 年 3 月 31 日 GKE 威胁检测
供应链问题 - Binary Authorization(预览版) 2025 年 1 月 28 日 2025 年 3 月 31 日 供应链问题 - Binary Authorization
GKE Compliance 信息中心(预览版) 2025 年 1 月 28 日 2025 年 6 月 30 日 合规信息中心
工作负载漏洞扫描 - 标准层级 2024 年 7 月 23 日 2025 年 7 月 31 日 工作负载漏洞扫描
工作负载漏洞扫描 - Advanced Vulnerability Insights 2025 年 6 月 16 日 2026 年 6 月 16 日 工作负载漏洞扫描

移除功能后会发生什么情况?

在某项功能被移除后,会发生以下变化:

  • Google Cloud 控制台不再针对该功能生成新结果。例如,GKE 在 2025 年 3 月 31 日之后不会再生成新的 GKE 威胁检测结果。
  • 您无法在相应的安全状况管理信息中心内查看现有结果。例如,在 2025 年 7 月 31 日之后,您将无法查看 GKE Standard 版集群的现有容器操作系统漏洞扫描结果。
  • 相应功能的 Security Command Center 发现结果会获得 Inactive 状态。发现结果会在 Security Command Center 数据保留期限过后被删除。

检测结果的日志会在 Cloud Logging 中的 _Default 日志存储分区中保留日志保留期限

您应执行的操作

本部分介绍了可用于为集群和工作负载获得类似监控功能的任何可用替代方案。

工作负载漏洞扫描

已弃用这两个层级的工作负载漏洞扫描。如需了解详情,请参阅在 GKE 中移除工作负载漏洞扫描

GKE 威胁检测

GKE 威胁检测功能根据一组针对集群和工作负载威胁的规则评估了您的审核日志。Google Cloud 控制台中会显示有关如何修复威胁的信息。

GKE 威胁检测由 Security Command Center Event Threat Detection 提供支持。如需在 2025 年 3 月 31 日之后继续从 Security Command Center 获取有关活跃威胁的信息,请参阅与 Security Command Center 集成

供应链问题 - Binary Authorization

如果您在项目中启用了 Binary Authorization API,则 GKE 安全状况信息中心会显示满足以下任一条件的正在运行的容器映像的结果:

  • 隐式或显式使用 latest 标记的映像。
  • 超过 30 天前上传到 Artifact Registry 或 Container Registry(已弃用)的映像(按摘要)。

如需在 2025 年 3 月 31 日之后继续监控正在运行的容器是否存在这些问题,请执行以下操作:

  1. 在集群中设置 Binary Authorization
  2. 启用持续验证映像新鲜度检查(预览版)。

在集群中设置 Binary Authorization 可防止您部署未为每个容器指定容器映像摘要的 Pod。这样可确保工作负载不会使用 :latest 标记或省略标记。

GKE Compliance 信息中心

GKE Compliance 信息中心是一项 GKE Enterprise 功能,可让您根据预定义的行业标准(例如 CIS GKE 基准)扫描集群。

自 2025 年 6 月 30 日起,GKE Compliance 信息中心将不再显示符合条件的集群中违规行为的结果。您无法为新集群或现有集群启用合规性审核。

如需获得类似的合规性违规结果,请执行以下操作:

  1. 激活 Security Command Center 的高级层级或 Enterprise 层级
  2. 评估并报告是否符合安全标准