בדף הזה מוסבר איך להגדיר הגדרות ברירת מחדל ברמת הצי למרכז הבקרה של מצב האבטחה ב-Google Kubernetes Engine (GKE). לוח הבקרה של מצב האבטחה מספק המלצות מבוססות-דעה ופרקטיות לשיפור מצב האבטחה של האשכולות. אפשר להפעיל הגדרות ללוח הבקרה של מצב האבטחה ברמת הצי.
אתם יכולים ליצור הגדרות ברירת מחדל ברמת הצי להגדרות של לוח הבקרה של מצב האבטחה של סריקת מצב האבטחה של Kubernetes.
הדף הזה מיועד למומחי אבטחה שרוצים להטמיע פתרונות לזיהוי פגיעויות בנתונים מאינטראקציה ישירה (First-Party) בצי של אשכולות. כדי לקבל מידע נוסף על תפקידים נפוצים ועל משימות לדוגמה שאנחנו מתייחסים אליהן ב Google Cloud תוכן, אפשר לעיין במאמר תפקידים נפוצים של משתמשי GKE ומשימות.
לפני שקוראים את הדף הזה, חשוב לוודא שמכירים את הסקירה הכללית של בדיקת נקודות חולשה בעומסי עבודה.
כדי ללמוד איך מגדירים את ההגדרות האלה עבור אשכולות ספציפיים, אפשר לעיין במקורות המידע הבאים:
- ביקורת אוטומטית של עומסי עבודה לזיהוי בעיות בהגדרות
- סריקה אוטומטית של עומסי עבודה כדי לזהות נקודות פגיעות ידועות (הוצא משימוש)
הגדרת ברירות מחדל ברמת הצי
בקטע הזה מוסבר איך להגדיר את התכונות של לוח הבקרה של מצב האבטחה כברירות מחדל ברמת הצי. כל אשכול חדש שרושמים לצי במהלך יצירת האשכול, מופעלות בו תכונות של מצב אבטחה שצוינו. הגדרות ברירת המחדל ברמת הצי שאתם מגדירים מקבלות עדיפות על פני כל הגדרות ברירת המחדל של מצב האבטחה ב-GKE. כדי לראות את הגדרות ברירת המחדל שחלות על מהדורת GKE שלכם, אפשר לעיין בטבלה של תכונות ספציפיות לאשכול.
כדי להגדיר ערכי ברירת מחדל ברמת הצי לסטטוס האבטחה, מבצעים את השלבים הבאים:
המסוף
נכנסים לדף Feature Manager במסוף Google Cloud .
בחלונית מצב האבטחה, לוחצים על הגדרה.
בודקים את ההגדרות ברמת הצי. כל האשכולות החדשים שתרשמו לצי יקבלו בירושה את ההגדרות האלה.
אופציונלי: כדי לשנות את הגדרות ברירת המחדל, לוחצים על התאמה אישית של הגדרות הצי. בתיבת הדו-שיח Customize fleet default configuration שמופיעה, מבצעים את הפעולות הבאות:
- בקטע Configuration audit (ביקורת על ההגדרות), בוחרים אם להפעיל או להשבית את ביקורת ההגדרות.
- בקטע בדיקת נקודות חולשה (הוצא משימוש), בוחרים את הרמה של בדיקת נקודות חולשה שרוצים: מושבתת, בסיסית או מתקדמת (מומלץ).
- לוחצים על Save.
אם מאוחר יותר תשביתו את ההגדרה ברמת הצי לכל התכונות האלה, עומסי העבודה הנוכחיים שלכם באשכולות חברים קיימים עדיין ייסרקו ותוכלו לראות את בעיות האבטחה בלוח הבקרה של מצב האבטחה. עם זאת, אשכולות חדשים שתיצרו בצי לא ייסרקו כדי לזהות בעיות, אלא אם תפעילו בהם את התכונות של מצב האבטחה בנפרד.
כדי להחיל את ההגדרה על אשכולות חדשים, לוחצים על הגדרה.
בתיבת הדו-שיח לאישור, לוחצים על אישור.
אופציונלי: סנכרון של אשכולות קיימים עם הגדרות ברירת המחדל:
- ברשימה Clusters in the fleet, בוחרים את האשכולות שרוצים לסנכרן.
- לוחצים על סנכרון להגדרות הצי ואז על אישור בתיבת הדו-שיח לאישור שמופיעה. הפעולה הזו יכולה להימשך כמה דקות.
gcloud
מוודאים שמותקנת גרסה 455.0.0 ואילך של ה-CLI של gcloud.
הגדרת ברירות מחדל לצי חדש
אתם יכולים ליצור צי ריק עם התכונות של לוח הבקרה של מצב האבטחה שאתם רוצים להפעיל.
כדי ליצור צי עם ביקורת מופעלת על תצורת עומס העבודה, מריצים את הפקודה הבאה:
gcloud container fleet create --security-posture standard
הגדרת ברירות מחדל לצי קיים
כדי להפעיל את האפשרות 'ביקורת על תצורת עומסי עבודה' בצי קיים, מריצים את הפקודה הבאה:
gcloud container fleet update --security-posture standard
השבתת תכונות של לוח הבקרה 'מצב האבטחה' ברמת הצי
כדי להשבית את הביקורת על תצורת עומסי העבודה, מריצים את הפקודה הבאה:
gcloud container fleet update --security-posture disabledכדי להשבית את בדיקת נקודות החולשה של עומסי העבודה, מריצים את הפקודה הבאה:
gcloud container fleet update --workload-vulnerability-scanning disabled
אם משביתים את ההגדרה ברמת הצי לשימוש בתכונות האלה, עדיין מתבצע סריקה של עומסי העבודה הנוכחיים באשכולות הקיימים של חברי הצי, ואפשר לראות את בעיות האבטחה בלוח הבקרה של מצב האבטחה. עם זאת, אשכולות חדשים שתיצרו בצי לא ייסרקו כדי לזהות בעיות, אלא אם תפעילו בהם את התכונות של מצב האבטחה בנפרד.
המאמרים הבאים
- Google Cloud מידע על מגוון התכונות להגנה על האשכולות ועומסי העבודה
- איך בודקים את הגדרות עומסי העבודה כדי לזהות בעיות נפוצות בהגדרות האבטחה.