Ansichten:
Profilanwendbarkeit: Stufe 2
Das Sicherheitsstatus-Dashboard bietet Einblicke in den Sicherheitsstatus Ihrer Arbeitslast in der Laufzeitphase des Software-Lieferzyklus.
Das Sicherheitsstatus-Dashboard bietet Einblicke in den Sicherheitsstatus Ihrer Arbeitslast in der Laufzeitphase des Software-Lieferzyklus.
Hinweis
Hinweis
Die Sicherheitslage von GKE verfügt über mehrere Funktionen. Nicht alle sind standardmäßig aktiviert. Die Konfigurationsprüfung ist standardmäßig für neue Standard- und Autopilot-Cluster aktiviert. securityPostureConfig: mode: BASIC

Auswirkung

Die Überprüfung der Sicherheitslage von GKE-Konfigurationen prüft Ihre Workloads anhand einer Reihe definierter Best Practices. Jede Konfigurationsprüfung hat ihre eigenen Auswirkungen oder Risiken. Erfahren Sie mehr über die Prüfungen: Über das Scannen der Sicherheitslage von Kubernetes und Workloads automatisch auf Konfigurationsprobleme prüfen
Beispiel: Die Überprüfung des Host-Namespace identifiziert Pods, die Host-Namespaces gemeinsam nutzen. Pods, die Host-Namespaces gemeinsam nutzen, ermöglichen es Pod-Prozessen, mit Host-Prozessen zu kommunizieren und Host-Informationen zu sammeln, was zu einem Container-Ausbruch führen könnte

Prüfung

Definieren Sie 3 Variablen für Clustername, Standort und Projekt, und führen Sie dann diesen Befehl aus:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION -- 
project $PROJECT_ID --format json | jq '.securityPostureConfig'
Beispielausgabe von der Befehlszeilenausführung:
{ "mode": "BASIC", "vulnerabilityMode": "VULNERABILITY_DISABLED" }
Der Modus sollte BASIC oder ENTERPRISE sein.

Wiederherstellung

Um die Sicherheitslage für einen neuen Cluster zu aktivieren, fügen Sie beim Erstellen unbedingt --security-posture=standard oder --security-posture=enterprise hinzu.
Um die Sicherheitslage für einen bestehenden Cluster zu aktualisieren, führen Sie den folgenden Befehl aus:
gcloud container clusters update CLUSTER_NAME \ 
    --location=CONTROL_PLANE_LOCATION \ 
    --security-posture=standard
Ersetzen Sie das Folgende:
  • CLUSTER_NAME: der Name Ihres Clusters.
  • CONTROL_PLANE_LOCATION: der Standort der Steuerungsebene Ihres Clusters. Geben Sie eine Region für regionale Standard- und Autopilot-Cluster oder eine Zone für zonale Standard-Cluster an.
Für Konsolenbenutzer folgen Sie den nummerierten Schritten im Konsolen-Tab über den bereitgestellten Link: Konfigurationsprüfung auf einem bestehenden Cluster aktivieren.