プロファイル適用性: レベル1
Shielded GKEノードは、セキュアブート、仮想トラステッドプラットフォームモジュール (vTPM) 対応の測定ブート、および変更監視を通じて検証可能な整合性を提供します。
Shielded GKEノードは、感染したOSを超えて持続するブートレベルまたはカーネルレベルの不正プログラムやルートキットからクラスターを保護します。
シールドされたGKEノードは、Googleの認証局を使用して署名および検証されたファームウェアを実行し、ノードのファームウェアが改ざんされていないことを保証し、Secure
Bootの信頼の基点を確立します。GKEノードのアイデンティティは、仮想Trusted Platform Module (vTPM) を介して強力に保護され、ノードがクラスターに参加する前にマスターノードによってリモートで検証されます。最後に、GKEノードの整合性
(つまり、ブートシーケンスとカーネル) は測定され、リモートで監視および検証することができます。
 |
注意クラスターは、バージョンv1.18からデフォルトでShielded GKEノードが有効になります。
|
影響
クラスタでShielded GKEノードが有効化されると、Shielded GKEノードが有効化されていないノードプールで作成されたノードや、ノードプール外で作成されたノードはクラスタに参加できません。
Shielded GKEノードは、Container-Optimized OS (COS)、containerdを使用したCOS、およびUbuntuノードイメージでのみ使用できます。
監査
Google Cloud Consoleを使用する
- Kubernetes Engineのウェブサイトに移動します。
- テスト対象のクラスターをクラスターのリストから選択してください。
Shielded GKE Nodesが詳細ペインの下でEnabledであることを確認してください。
コマンドラインを使用する:
次のコマンドを実行します。
gcloud container clusters describe <cluster_name> --format json | jq '.shieldedNodes'
Shielded GKEノードが有効になっている場合、次の内容が返されます:
{
"enabled": true
}
修復
|
注意バージョン1.18から、クラスターにはデフォルトでShielded GKEノードが有効になります。
|
Google Cloud Consoleを使用する
既存のクラスターを更新してShielded GKEノードを使用するには:
- Kubernetes Engineのウェブサイトに移動します。
- Shielded GKE Nodesを有効にするクラスターを選択してください。
- 詳細ペイン内のセキュリティ見出しの下にある[Edit Shields GKE nodes]という名前の鉛筆アイコンをクリックします。
- [Enable Shield GKE nodes]という名前のボックスをチェックしてください。
- [SAVE CHANGES]をクリックしてください。
コマンドラインを使用する:
既存のクラスターを移行するには、クラスター更新コマンドでフラグ
--enable-shielded-nodesを指定する必要があります。gcloud container clusters update <cluster_name> --zone <cluster_zone> --enable-shielded-nodes