Mengaudit cluster untuk standar kepatuhan

Halaman ini menunjukkan cara mengaudit cluster secara otomatis untuk mengetahui masalah kepatuhan dan mendapatkan rekomendasi yang dapat ditindaklanjuti guna meningkatkan kepatuhan cluster edisi Google Kubernetes Engine (GKE) Enterprise. Audit kepatuhan adalah fitur dasbor Kepatuhan GKE. Untuk mengetahui informasi selengkapnya, lihat Tentang dasbor Kepatuhan GKE.

Standar kepatuhan yang didukung

Audit kepatuhan memindai cluster Anda untuk memeriksa kepatuhan terhadap standar berikut dan memberikan rekomendasi untuk meningkatkan postur kepatuhan Anda:

Nama

Deskripsi

CIS Google Kubernetes Engine Benchmark v1.5.0

Serangkaian kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE), berdasarkan CIS Google Kubernetes Engine (GKE) Benchmarks v1.5.0.

Dasar Pengukuran Standar Keamanan Pod

Serangkaian perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Dasar Pengukuran Standar Keamanan Pod (PSS) Kubernetes.

Standar Keamanan Pod Terbatas

Serangkaian perlindungan yang direkomendasikan untuk cluster Kubernetes, berdasarkan kebijakan Terbatas Standar Keamanan Pod (PSS) Kubernetes.

Kumpulan standar default mencakup ketiga standar yang didukung:

  • CIS Google Kubernetes Engine Benchmark v1.5.0
  • Dasar Pengukuran Standar Keamanan Pod
  • Standar Keamanan Pod Terbatas

Harga

Dasbor Kepatuhan GKE tersedia bagi pengguna yang telah mengaktifkan GKE Enterprise.

Sebelum memulai

Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:

Persyaratan

Untuk mendapatkan izin yang Anda perlukan untuk menggunakan audit kepatuhan, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda: Google Cloud

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menggunakan audit kepatuhan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan audit kepatuhan:

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • containersecurity.locations.list
  • containersecurity.locations.get
  • containersecurity.clusterSummaries.list
  • containersecurity.findings.list
  • container.clusters.list
  • gkehub.features.get
  • gkehub.memberships.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mengaktifkan audit di cluster yang ada

Anda dapat mengaktifkan audit kepatuhan di cluster menggunakan konsolGoogle Cloud .

  1. Buka halaman Compliance di konsol Google Cloud .

    Buka Kepatuhan

  2. Di kartu Settings, klik Select clusters.

  3. Di tab Audit dinonaktifkan, centang kotak untuk cluster yang ingin Anda tambahkan.

  4. Klik Aktifkan untuk mengaktifkan audit di cluster tersebut.

Men-deploy workload pengujian

Deploy Pod contoh yang sengaja melanggar Standar Keamanan Pod.

  1. Simpan manifes berikut sebagai noncompliant-sample.yaml:

    apiVersion: v1
kind: Pod
metadata:
  namespace: default
  name: wp-non-compliant
  labels:
    app: wordpress
spec:
  containers:
  - image: nginx
    name: wordpress
    securityContext:
      capabilities:
        add:
        - NET_RAW

  2. Terapkan resource ke cluster Anda:

    kubectl apply -f noncompliant-sample.yaml

Jika Anda ingin mencoba pelanggaran lain, ubah noncompliant-sample.yaml dengan konfigurasi yang berbeda dan tidak mematuhi kebijakan.

Melihat dan menyelesaikan masalah kepatuhan

Audit awal memerlukan waktu hingga 30 menit untuk menampilkan hasil. Anda dapat melihat hasilnya di halaman Kepatuhan atau sebagai entri di log cluster.

Melihat hasilnya

Untuk melihat ringkasan masalah kepatuhan di seluruh cluster project Anda, lakukan hal berikut:

  1. Buka halaman Compliance di konsol Google Cloud .

    Buka Kepatuhan

  2. Klik tab Concerns.

  3. Di panel Filter masalah, di bagian Standar, pilih standar yang detailnya ingin Anda lihat.

Melihat detail dan rekomendasi standar

Untuk melihat informasi mendetail tentang standar tertentu, luaskan bagian standar hingga Anda melihat link deskripsi, lalu klik deskripsi standar untuk membuka panel Batasan Kepatuhan.

Tab Detail menampilkan informasi berikut:

  • Deskripsi: deskripsi standar.
  • Tindakan yang disarankan: ringkasan tindakan yang dapat Anda lakukan untuk memperbaiki masalah kepatuhan.

Tab Sumber Daya yang Terpengaruh mencantumkan sumber daya yang terpengaruh oleh standar.

Lihat log untuk masalah yang ditemukan

GKE menambahkan entri ke bucket log _Default di Logging untuk setiap masalah yang ditemukan. Log ini hanya disimpan selama jangka waktu tertentu. Untuk mengetahui detailnya, lihat Periode retensi log.

  1. Di konsol Google Cloud , buka Logs Explorer:

    Buka Logs Explorer

  2. Di kolom Kueri, tentukan kueri berikut:

    resource.type="k8s_cluster"
jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
jsonPayload.type="FINDING_TYPE_MISCONFIG"
jsonPayload.configuration.violation:*

  3. Klik Run query.

Untuk menerima notifikasi saat GKE menambahkan temuan baru ke Logging, siapkan pemberitahuan berbasis log untuk kueri ini. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi pemberitahuan berbasis log.

Pembersihan

Hapus contoh Pod yang Anda deploy:

kubectl delete pod wp-non-compliant

Menonaktifkan audit kepatuhan

Anda dapat menonaktifkan audit kepatuhan menggunakan konsol Google Cloud .

  1. Buka halaman Compliance di konsol Google Cloud .

    Buka Kepatuhan

  2. Di kartu Setelan, klik Pilih cluster.

  3. Di tab Audit diaktifkan, centang kotak untuk cluster yang ingin Anda hapus.

  4. Klik Nonaktifkan untuk menonaktifkan audit pada cluster tersebut.

Batasan

  • Node pool Windows Server tidak didukung.
  • Audit kepatuhan tidak memindai workload yang dikelola GKE, seperti workload di namespace kube-system.
  • Audit kepatuhan hanya tersedia untuk cluster dengan node kurang dari 1.000.

Langkah berikutnya