プロファイル適用性: レベル1
Shielded GKEノードは、セキュアブート、仮想トラステッドプラットフォームモジュール (vTPM) 対応の測定ブート、および変更監視を通じて検証可能な整合性を提供します。
Shielded GKEノードは、感染したOSを超えて持続するブートまたはカーネルレベルの不正プログラムやルートキットからクラスターを保護します。Shielded
GKEノードは、Googleの認証局を使用して署名および検証されたファームウェアを実行し、ノードのファームウェアが改ざんされていないことを保証し、Secure Bootの信頼の基点を確立します。
GKEノードのアイデンティティは、仮想Trusted Platform Module (vTPM) を通じて強力に保護され、ノードがクラスターに参加する前にマスターノードによってリモートで検証されます。最後に、GKEノードの整合性
(つまり、ブートシーケンスとカーネル) は測定され、リモートで監視および検証することができます。
 |
注意バージョンv1.18から、クラスターはデフォルトでShielded GKEノードが有効になります
|
影響
Shielded GKE Nodesがクラスターで有効化されると、Shielded GKE Nodesが有効化されていないノードプールで作成されたノードや、ノードプール外で作成されたノードはクラスターに参加できません。Shielded
GKE Nodesは、Container-Optimized OS (COS)、containerdを使用したCOS、およびUbuntuノードイメージでのみ使用できます。
監査
Google Cloud Consoleを使用する:
- Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します。
- テスト対象のクラスタをクラスタのリストから選択し、詳細ペインでShielded GKE Nodesが有効になっていることを確認してください。
コマンドラインを使用する:
クラスタ内のシールドGKEノードを確認するには、まずクラスタ名、ロケーション、プロジェクトの3つの変数を定義し、次に以下のコマンドを実行します。
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq '.shieldedNodes'
Shielded GKEノードが有効になっている場合、次の内容が返されます:
{ "enabled": true }
修復
|
注意バージョン1.18から、クラスターにはデフォルトでShielded GKEノードが有効になります。
|
Google Cloud Consoleを使用する:
既存のクラスターをシールドGKEノードを使用するように更新するには:
- Google CloudコンソールKubernetes Engineページにアクセスして、Kubernetes Engineに移動します。
- Shielded GKE Nodesを有効にするクラスターを選択してください。
- 詳細ペイン内のセキュリティ見出しの下にある鉛筆アイコンEdit Shielded GKE nodesをクリックします。
- シールドGKEノードを有効にするという名前のボックスをチェックします。
- 変更を保存をクリック。
コマンドラインを使用する:
既存のクラスターを移行するには、クラスター更新コマンドでフラグ
--enable-shielded-nodesを指定する必要があります。gcloud container clusters update <cluster_name> --location <location> --enable-shielded-nodes