GKE セキュリティ ポスチャー ダッシュボードの機能をフリートレベルで構成する

このページでは、Google Kubernetes Engine(GKE)セキュリティ ポスチャー ダッシュボードのフリートレベルのデフォルト設定を構成する方法について説明します。セキュリティ ポスチャー ダッシュボードには、クラスタのセキュリティ ポスチャーの改善に役立つ推奨事項が表示されます。フリートレベルでセキュリティ ポスチャー ダッシュボードの設定を有効にできます。

Kubernetes セキュリティ ポスチャー スキャンのセキュリティ ポスチャー ダッシュボードの設定について、フリートレベルのデフォルトを作成できます。

このページは、クラスタのフリート全体にファースト パーティの脆弱性検出ソリューションを実装するセキュリティ スペシャリストを対象としています。 Google Cloud のコンテンツで使用されている一般的なロールとタスクの例の詳細については、一般的な GKE ユーザーのロールとタスクをご覧ください。

このページを読む前に、ワークロードの脆弱性スキャンの概要を理解しておいてください。

これらの設定を個々のクラスタに構成する方法については、次のリソースをご覧ください。

フリートレベルのデフォルトを構成する

このセクションでは、セキュリティ ポスチャー ダッシュボードの機能をフリートレベルのデフォルトとして構成する方法について説明します。クラスタの作成時にフリートに登録した新しいクラスタでは、指定したセキュリティ ポスチャー機能が有効になります。構成したフリートレベルのデフォルト設定は、GKE セキュリティ ポスチャーのデフォルト設定よりも優先されます。ご使用の GKE エディションに適用されるデフォルト設定については、クラスタ固有の機能の表をご覧ください。

セキュリティ ポスチャーのフリートレベルのデフォルトを構成するには、次の手順を行います。

コンソール

  1. Google Cloud コンソールで、[機能マネージャー] ページに移動します。

    機能マネージャーに移動

  2. [セキュリティ対策] ペインで [構成] をクリックします。

  3. フリートレベルの設定を確認します。フリートに登録した新しいクラスタすべてに、これらの設定が継承されます。

  4. 省略可: デフォルトの設定を変更するには、[フリートの設定をカスタマイズ] をクリックします。表示された [フリートのデフォルト構成をカスタマイズする] ダイアログで、次の操作を行います。

    1. [構成の監査] では、構成の監査を有効にするかどうかを選択します。
    2. [脆弱性スキャン](非推奨)で、必要な脆弱性スキャンのレベルを選択します。[無効]、[基本]、[詳細(推奨)] のいずれかを選択します。
    3. [保存] をクリックします。

    これらの機能に対するフリートレベルの構成を後で無効にしても、既存のメンバー クラスタ内の現在のワークロードはスキャンされ、セキュリティに関する懸念事項がセキュリティ ポスチャー ダッシュボードに出力されます。ただし、そのフリートに作成した新しいクラスタは、セキュリティ ポスチャー機能を個別に有効にしない限り、スキャンされません。

  5. 新しいクラスタに設定を適用するには、[構成] をクリックします。

  6. 確認のダイアログで [確認] をクリックします。

  7. 省略可: 既存のクラスタをデフォルト設定に同期します。

    1. [フリート内のクラスタ] リストで、同期するクラスタを選択します。
    2. [フリートの設定に同期] をクリックし、表示された確認ダイアログで [確認] をクリックします。このオペレーションには数分かかることがあります。

gcloud

gcloud CLI バージョン 455.0.0 以降があることを確認します。

新しいフリートのデフォルトを構成する

有効にするセキュリティ ポスチャー ダッシュボード機能で、空のフリートを作成できます。

  • ワークロード構成の監査を有効にしてフリートを作成するには、次のコマンドを実行します。

    gcloud container fleet create --security-posture standard

既存のフリートのデフォルトを構成する

  • 既存のフリートでワークロード構成の監査を有効にするには、次のコマンドを実行します。

    gcloud container fleet update --security-posture standard

フリートレベルでセキュリティ ポスチャー ダッシュボードの機能を無効にする

  • ワークロード構成の監査を無効にするには、次のコマンドを実行します。

    gcloud container fleet update --security-posture disabled

  • ワークロードの脆弱性スキャンを無効にするには、次のコマンドを実行します。

    gcloud container fleet update --workload-vulnerability-scanning disabled

これらの機能に対するフリートレベルの構成を無効にしても、既存のメンバー クラスタ内の現在のワークロードはスキャンされ、セキュリティに関する懸念事項がセキュリティ ポスチャー ダッシュボードに出力されます。ただし、そのフリートに作成した新しいクラスタは、セキュリティ ポスチャー機能を個別に有効にしない限り、スキャンされません。

次のステップ