Ansichten:
Profilanwendbarkeit: Stufe 2
Aktivieren Sie Secure Boot für geschützte GKE-Knoten, um die digitale Signatur der Knotenstartkomponenten zu überprüfen.
Ein Angreifer könnte versuchen, Boot-Komponenten zu verändern, um Malware oder Rootkits während der Systeminitialisierung zu persistieren. Secure Boot hilft sicherzustellen, dass das System nur authentische Software ausführt, indem es die digitale Signatur aller Boot-Komponenten überprüft und den Boot-Prozess stoppt, wenn die Signaturüberprüfung fehlschlägt.
Hinweis
Hinweis
Standardmäßig ist Secure Boot in GKE-Clustern deaktiviert. Standardmäßig ist Secure Boot deaktiviert, wenn Shielded GKE Nodes aktiviert ist.

Auswirkung

Secure Boot erlaubt die Verwendung von unsignierten Kernel-Modulen von Drittanbietern nicht.

Prüfung

Verwenden der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie in der Liste der Cluster auf den Namen des zu testenden Clusters.
  3. Öffnen Sie das Detailfenster für jeden Knotenpool innerhalb des Clusters und stellen Sie sicher, dass Secure Boot unter der Überschrift Sicherheit auf Aktiviert gesetzt ist.
Verwendung der Befehlszeile:
Um zu überprüfen, ob Secure Boot für die Node-Pools im Cluster aktiviert ist, führen Sie den folgenden Befehl für jeden Node-Pool aus:
gcloud container node-pools describe <node_pool_name> --cluster 
<cluster_name> --zone <compute_zone> --format json | jq 
.config.shieldedInstanceConfig
Dies wird den untenstehenden Wert zurückgeben, wenn Secure Boot aktiviert ist:
{ 
    "enableSecureBoot": true 
}

Wiederherstellung

Sobald ein Node-Pool bereitgestellt ist, kann er nicht aktualisiert werden, um Secure Boot zu aktivieren. Neue Node-Pools müssen innerhalb des Clusters mit aktiviertem Secure Boot erstellt werden.
Verwenden der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie aus der Liste der Cluster den Cluster aus, der das Update benötigt, und klicken Sie auf NODE-POOL HINZUFÜGEN.
  3. Stellen Sie sicher, dass das Kontrollkästchen für den sicheren Start unter der Überschrift Geschützte Optionen aktiviert ist.
  4. Klicken Sie auf SPEICHERN.
Arbeitslasten müssen von den bestehenden nicht konformen Knotenpools in den neu erstellten Knotenpool migriert werden, dann die nicht konformen Pools löschen.
Verwendung der Befehlszeile:
Um einen Node-Pool innerhalb des Clusters mit aktiviertem Secure Boot zu erstellen, führen Sie den folgenden Befehl aus:
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> 
--zone <compute_zone> --shielded-secure-boot
Arbeitslasten müssen von den bestehenden nicht konformen Knotenpools in den neu erstellten Knotenpool migriert werden, dann die nicht konformen Pools löschen.