Auf dieser Seite erhalten Sie einen Überblick über das GKE-Compliance-Dashboard in der Google Cloud-Konsole, das umsetzbare Informationen zur Verbesserung Ihres Sicherheitsstatus bietet. Wenn Sie das Dashboard selbst aufrufen möchten, rufen Sie in der Google Cloud-Konsole die Seite Compliance auf.
Das GKE-Compliance-Dashboard ist für Nutzer verfügbar, die GKE Enterprise aktiviert haben.
Wann sollte das GKE-Compliance-Dashboard verwendet werden?
Sie sollten das GKE-Compliance-Dashboard verwenden, wenn Sie ein Compliance-Beauftragter, Sicherheitsadministrator oder Plattformadministrator sind und Compliance-Berichte für Branchen-Benchmarks und -Standards automatisieren möchten. Nutzen Sie dabei eine integrierte Anleitung zur Lösung von Compliance-Problemen.
Nutzung als Teil einer umfassenden Sicherheitsstrategie
Um eine umfassende Abdeckung Ihrer Anwendungen während des gesamten Lebenszyklus von der Versionsverwaltung bis zur Wartung zu erreichen, empfehlen wir die Verwendung des Dashboards mit anderen Sicherheitstools.
GKE bietet die folgenden Tools zum Überwachen von Sicherheit und Compliance in der Google Cloud -Konsole:
- Das Dashboard zum Sicherheitsstatus ist in der GKE Standard- und der GKE Enterprise-Stufe verfügbar.
- Das GKE-Compliance-Dashboard ist in der GKE Enterprise-Stufe verfügbar.
Weitere Informationen zu anderen verfügbaren Tools und Best Practices zum Schutz Ihrer Anwendungen von Anfang bis Ende finden Sie unter Softwarelieferkette schützen.
Außerdem empfehlen wir dringend, so viele Empfehlungen wie möglich aus Clustersicherheit erhöhen zu implementieren.
Funktionsweise des GKE-Compliance-Dashboards
Wenn Sie das GKE-Compliance-Dashboard verwenden möchten, müssen Sie die Container Security API in Ihrem Projekt aktivieren. Das Dashboard enthält Statistiken, die auf den folgenden Standards basieren:
Name |
Beschreibung |
CIS Google Kubernetes Engine Benchmark v1.5.0 |
Eine Reihe empfohlener Sicherheitskontrollen zum Konfigurieren von Google Kubernetes Engine (GKE), die auf den CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0 basieren. |
Pod Security Standards Baseline |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Grundrichtlinie für Kubernetes Pod-Sicherheitsstandards (PSS) basieren. |
Pod Security Standards Restricted |
Eine Reihe empfohlener Schutzmaßnahmen für Kubernetes-Cluster, die auf der Kubernetes Pod Security Standards (PSS) Restricted-Richtlinie basieren. |
Vorteile des GKE-Compliance-Dashboards
Das GKE-Compliance-Dashboard ist eine grundlegende Compliance-Maßnahme, die Sie für jeden zulässigen GKE Enterprise-Cluster aktivieren können. Google Cloud empfiehlt aus folgenden Gründen, das GKE-Compliance-Dashboard für alle Ihre Cluster zu verwenden:
- End-to-End-Compliance: Sie erhalten umfassende Compliance-Bewertungen von Cluster- bis hin zu Containerarbeitslasten.
- Umsetzbare Empfehlungen: Wenn verfügbar, zeigt das Dashboard zur Sicherheitsstatus-Compliance Maßnahmen zur Behebung erkannter Probleme auf. Zu diesen Maßnahmen gehören Beispiele für Konfigurationsänderungen, die Sie vornehmen sollten, und Ratschläge zur Verbesserung der Compliance in Bezug auf bestimmte Standards.
- Zentralisierte Visualisierung: Das Dashboard zum Compliance-Status bietet eine allgemeine Visualisierung der Aspekt, die sich auf Cluster in Ihrer Flotte auswirken. Es enthält Diagramme und Grafiken, die Ihren Fortschritt und die potenziellen Auswirkungen der einzelnen Aspekte zeigen.
- Automatisierte Berichterstellung: Ihre Arbeitslasten werden automatisch anhand von branchenüblichen Standards geprüft und Sie erhalten umsetzbare, nachweisbare Compliance-Berichte.
Preise
Das Dashboard zum Compliance-Status wird über die GKE Enterprise API angeboten. Weitere Informationen zu den Preisen für GKE Enterprise finden Sie auf der GKE-Preisseite.
Seite „Compliance“
Die Seite „Compliance“ in der Google Cloud -Konsole enthält die folgenden Tabs:
- Dashboard: Eine allgemeine, visuelle Darstellung der Ergebnisse des Compliance-Audits.
- Bedenken: Eine detaillierte, filterbare Ansicht aller Compliance-Probleme, die durch die Compliance-Prüfung erkannt wurden.
Dashboard
Auf dem Tab Dashboard finden Sie eine visuelle Darstellung aller Compliance-Probleme in Ihren Clustern und Arbeitslasten. Das Dashboard enthält Diagramme und standardspezifische Informationen. Weitere Informationen zu den verfügbaren Standards finden Sie unter Funktionsweise des Dashboards für den Compliance-Status.
Bedenken
Auf dem Tab Bedenken werden aktive Compliance-Bedenken aufgeführt, die bei der Überprüfung Ihrer Cluster und Arbeitslasten erkannt wurden.
Sie können für einzelne Standards Details und Optionen zur Risikominimierung aufrufen. Sie können die Ansicht ändern, um Probleme für einzelne Standards aufzurufen, oder nach dem betroffenen Cluster filtern. Wenn Sie Details zu einem bestimmten Problem aufrufen möchten, maximieren Sie den Standardbereich, bis der Link zur Beschreibung angezeigt wird, und klicken Sie dann auf die Standardbeschreibung, um den Bereich Compliance-Einschränkung zu öffnen.
Beispielworkflow
Dieser Abschnitt ist ein Beispiel für den Workflow eines Clusteradministrators, der seine Cluster auf Compliance-Probleme in Hinsicht auf den Basisstandard der Pod-Sicherheitsstandards prüfen möchte.
- Registrieren Sie den Cluster über die Google Cloud -Console für die Compliance.
- Prüfen Sie das GKE-Compliance-Dashboard auf Ergebnisse. Es kann bis zu 15 Minuten dauern, bis diese angezeigt werden.
- Klicken Sie auf den Tab Bedenken, um die detaillierten Ergebnisse zu öffnen.
- Wählen Sie den Standardfilter Pod Security Standards Baseline aus.
- Maximieren Sie die Referenz zu Pod-Sicherheitsstandards und zu Privilegierten Containern und klicken Sie dann auf Privilegierte Container nicht zulassen, um den Bereich Compliance-Einschränkung für den Basisstandard der Pod-Sicherheitsstandards aufzurufen.
- Beachten Sie auf dem Tab Details die empfohlene Konfigurationsänderung und aktualisieren Sie die Pod-Spezifikation mit der Empfehlung.
- Wenden Sie die aktualisierte Pod-Spezifikation auf den Cluster an.
Wenn die Compliance-Prüfung das nächste Mal ausgeführt wird, zeigt das GKE-Compliance-Dashboard nicht mehr das Problem an, das Sie behoben haben.