Ansichten:
Profilanwendbarkeit: Stufe 2
Aktivieren Sie Secure Boot für geschützte GKE-Knoten, um die digitale Signatur der Boot-Komponenten des Knotens zu überprüfen.
Ein Angreifer könnte versuchen, Boot-Komponenten zu verändern, um Malware oder Rootkits während der Systeminitialisierung zu persistieren. Secure Boot hilft sicherzustellen, dass das System nur authentische Software ausführt, indem es die digitale Signatur aller Boot-Komponenten überprüft und den Boot-Vorgang stoppt, wenn die Signaturüberprüfung fehlschlägt.
Hinweis
Hinweis
Standardmäßig ist Secure Boot in GKE Clusters deaktiviert. Standardmäßig ist Secure Boot deaktiviert, wenn Shielded GKE Nodes aktiviert ist.

Auswirkung

Secure Boot erlaubt nicht die Verwendung von nicht signierten Kernel-Modulen von Drittanbietern.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Klicken Sie in der Liste der Cluster auf den Namen des zu testenden Clusters.
  3. Öffnen Sie das Detailfenster für jeden Knotenpool innerhalb des Clusters und stellen Sie sicher, dass Secure Boot unter der Überschrift Sicherheit auf Aktiviert gesetzt ist.
Verwendung der Befehlszeile:
Um zu überprüfen, ob Secure Boot für die Node-Pools im Cluster aktiviert ist, definieren Sie zunächst 4 Variablen für Node-Pool, Clustername, Standort und Projekt und führen Sie dann den folgenden Befehl für jeden Node-Pool aus:
gcloud container node-pools describe $POOL_NAME --cluster $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq .config.shieldedInstanceConfig
Dies wird den Wert unten zurückgeben, wenn Secure Boot aktiviert ist:
{ "enableSecureBoot": true }

Wiederherstellung

Sobald ein Node-Pool bereitgestellt ist, kann er nicht aktualisiert werden, um Secure Boot zu aktivieren. Neue Node-Pools müssen innerhalb des Clusters mit aktiviertem Secure Boot erstellt werden.
Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Klicken Sie in der Liste der Cluster auf den Cluster, der das Update benötigt, und klicken Sie auf NODE POOL HINZUFÜGEN.
  3. Stellen Sie sicher, dass das Kontrollkästchen für den sicheren Start unter der Überschrift Geschützte Optionen aktiviert ist.
  4. Klicken Sie auf SPEICHERN.
Arbeitslasten müssen von den bestehenden nicht konformen Node-Pools in den neu erstellten Node-Pool migriert werden, danach die nicht konformen Pools löschen.
Verwendung der Befehlszeile:
Um einen Node-Pool innerhalb des Clusters mit aktiviertem Secure Boot zu erstellen, führen Sie den folgenden Befehl aus:
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> --location <location> --shielded-secure-boot
Arbeitslasten müssen von den bestehenden nicht konformen Node-Pools in den neu erstellten Node-Pool migriert werden, danach die nicht konformen Pools löschen.