プロファイル適用性: レベル2
セキュリティ状態ダッシュボードは、ソフトウェアデリバリーライフサイクルのランタイムフェーズにおけるWorkload Securityのセキュリティ状態に関する洞察を提供します。
セキュリティ状態ダッシュボードは、ソフトウェアデリバリーライフサイクルのランタイムフェーズにおけるWorkload Securityのセキュリティ状態に関する洞察を提供します。
 |
注意GKEのセキュリティ状態には複数の機能があります。すべてがデフォルトでオンになっているわけではありません。新しい標準および自動操縦クラスターでは、構成監査がデフォルトで有効になっています。
securityPostureConfig: mode: BASIC |
影響
GKEセキュリティ状態構成監査は、定義されたベストプラクティスに基づいてワークロードをチェックします。各構成チェックには、それぞれの影響やリスクがあります。チェックの詳細については、Kubernetesセキュリティ状態スキャンについておよび構成の問題を自動的に監査するをご覧ください
例: ホストネームスペースチェックは、ホストネームスペースを共有するポッドを識別します。ホストネームスペースを共有するポッドは、Podプロセスがホストプロセスと通信し、ホスト情報を収集することを可能にし、コンテナのエスケープにつながる可能性があります
監査
Cluster Name、Location、Projectの3つの変数を定義し、次のコマンドを実行してください。
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION -- project $PROJECT_ID --format json | jq '.securityPostureConfig'
Command Lineステートメントからのサンプル出力:
{ "mode": "BASIC", "vulnerabilityMode": "VULNERABILITY_DISABLED" }
モードの出力はBASICまたはENTERPRISEである必要があります。
修復
新しいクラスターにセキュリティ状態を有効にするには、作成時に
--security-posture=standardまたは--security-posture=enterpriseを追加してください。既存のクラスターのセキュリティ状態を更新するには、次のコマンドを実行してください。
gcloud container clusters update CLUSTER_NAME \
--location=CONTROL_PLANE_LOCATION \
--security-posture=standard
以下を置き換えてください。
- CLUSTER_NAME: クラスターの名前。
- CONTROL_PLANE_LOCATION: クラスターのコントロールプレーンの場所。リージョナルStandardおよびAutopilotクラスターにはリージョンを、ゾーナルStandardクラスターにはゾーンを指定してください。
コンソールユーザは、提供されたリンクを使用してコンソールタブの番号付き手順に従ってください: 既存のクラスターで構成監査を有効にする。