Policy Controller-Dashboards verwenden

Auf dieser Seite wird erläutert, wie Sie mithilfe von Policy Controller-Dashboards die Richtlinienabdeckung und Clusterverstöße ermitteln.

Diese Seite richtet sich an IT-Administratoren und -Betreiber, die dafür sorgen möchten, dass alle auf der Cloud-Plattform ausgeführten Ressourcen die Compliance-Anforderungen des Unternehmens erfüllen, indem sie Automatisierungsfunktionen zur Prüfung oder Durchsetzung bereitstellen und aufrechterhalten und Benachrichtigungen einrichten und IT-Systeme auf Leistung und Sicherheitslücken überwachen. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud-Inhalten verweisen, finden Sie unter Häufig verwendete GKE Enterprise-Nutzerrollen und -Aufgaben.

Verwenden Sie die Google Cloud Console, um ein Dashboard mit Informationen zu Ihrer Richtlinienabdeckung aufzurufen. Das Dashboard enthält unter anderem folgende Informationen:

  • Die Anzahl der Cluster in einer Flotte (einschließlich nicht registrierter Cluster), für die Policy Controller installiert ist.
  • Die Anzahl der Cluster mit installiertem Policy Controller, die Richtlinienverstöße enthalten.
  • Die Anzahl der Einschränkungen, die pro Maßnahme auf Ihre Cluster angewendet werden.

Wenn Sie Policy Controller-Bundles verwenden, können Sie sich eine Übersicht über Ihre Compliance ansehen, die auf den Standards in einem oder mehreren Bundles basiert. Diese Übersicht wird auf Flottenebene erstellt und enthält auch Ihre nicht registrierten Cluster (Vorschau).

Hinweise

  1. Achten Sie darauf, dass Ihre Cluster bei einer Flotte registriert sind und in Ihren Clustern Policy Controller installiert ist.

  2. Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung des Policy Controller-Dashboards benötigen:

    • GKE-Hub-Betrachter (roles/gkehub.viewer) für das Projekt, das Ihre Flotte enthält
    • Monitoring-Betrachter (roles/monitoring.viewer) für jedes Projekt mit einem Cluster in Ihrer Flotte

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Policy Controller-Status aufrufen

Informationen zu Ihrer Richtlinienabdeckung finden Sie in der Google Cloud Console.

  1. Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite GKE Enterprise-Richtlinie auf.

    Zur Richtlinie

    Auf dem Tab Dashboard finden Sie eine Übersicht über Ihre Policy Controller-Abdeckung mit den folgenden Informationen:

    • Die Policy Controller-Abdeckung zeigt die Anzahl der Cluster mit und ohne installiertem Policy Controller an.
    • Cluster mit Verstößen zeigt die Anzahl der Cluster ohne Verstöße und die Anzahl der Cluster mit Verstößen an. Die Verstöße basieren darauf, welche Einschränkungen auf den Cluster angewendet werden.
    • Die Maßnahme zeigt die für jede Einschränkung angegebene Aktion an. Weitere Informationen zu Maßnahmen finden Sie unter Auditing mit Einschränkungen.
    • Compliance nach Standards: Eine Übersicht über Ihre Compliance basierend auf den Standards in einem oder mehreren Policy Controller-Bundles. Wenn Sie keine Bundles verwenden, wird für den Status in diesem Abschnitt „100 % nicht angewendet“ angezeigt.
  2. Ausführlichere Informationen zu Richtlinienverstößen in Ihrem Cluster finden Sie auf dem Tab Verstöße:

    1. Wählen Sie im Bereich Anzeigen nach eine der folgenden Optionen aus:

      • Einschränkung: Damit rufen Sie eine einfache Liste aller Einschränkungen mit Verstößen in Ihrem Cluster auf.
      • Namespace: Damit rufen Sie Einschränkungen mit Verstößen auf, sortiert nach dem Namespace, der die Ressource mit einem Verstoß enthält.
      • Ressourcentyp: Damit rufen Sie Einschränkungen mit Verstößen auf, organisiert nach der Ressource mit einem Verstoß.
    2. Wählen Sie in einer beliebigen Ansicht den Namen der Einschränkung aus, die Sie aufrufen möchten.

      Der Tab Details enthält Informationen zum Verstoß, einschließlich der empfohlenen Maßnahme zur Behebung.

      Auf dem Tab Betroffene Ressourcen finden Sie Informationen dazu, welche Ressourcen von der Einschränkung evaluiert werden und Richtlinienverstöße haben.

Richtlinienergebnisse in Security Command Center aufrufen

Wenn Policy Controller installiert ist, können Sie Richtlinienverstöße in Security Command Center aufrufen. Auf diese Weise können Sie den Sicherheitsstatus für Ihre Google Cloud-Ressourcen und Ihre Kubernetes-Ressourcen an derselben Stelle aufrufen. Security Command Center muss in Ihrer Organisation aktiviert sein, und zwar in der Standard- oder Premium-Stufe.

In Security Command Center werden Richtlinienverstöße als Misconfiguration-Ergebnisse angezeigt. Die Kategorie und die nächsten Schritte für jedes Ergebnis sind mit der Beschreibung der Einschränkung und den Abhilfeschritten identisch.

Weitere Informationen zur Verwendung von Policy Controller in Security Command Center finden Sie unter Ergebnisse zu Policy Controller-Sicherheitslücken.