Policy Controller-Dashboards verwenden

Auf dieser Seite wird erläutert, wie Sie mithilfe von Policy Controller-Dashboards die Richtlinienabdeckung und Clusterverstöße ermitteln.

Diese Seite richtet sich an IT-Administratoren und -Betreiber, die dafür sorgen möchten, dass alle auf der Cloud-Plattform ausgeführten Ressourcen die Compliance-Anforderungen des Unternehmens erfüllen, indem sie Automatisierungsfunktionen zur Prüfung oder Durchsetzung bereitstellen und aufrechterhalten und Benachrichtigungen einrichten und IT-Systeme auf Leistung und Sicherheitslücken überwachen. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud -Inhalten verweisen, finden Sie unter Häufig verwendete GKE-Nutzerrollen und -Aufgaben.

In der Google Cloud Console können Sie ein Dashboard mit Informationen zu Ihrer Richtlinienabdeckung aufrufen. Das Dashboard enthält beispielsweise die folgenden Informationen:

  • Die Anzahl der Cluster in einer Flotte (einschließlich nicht registrierter Cluster), für die Policy Controller installiert ist.
  • Die Anzahl der Cluster mit installiertem Policy Controller, die Richtlinienverstöße enthalten.
  • Die Anzahl der Einschränkungen, die pro Maßnahme auf Ihre Cluster angewendet werden.

Wenn Sie Policy Controller-Bundles verwenden, können Sie sich einen Überblick über Ihre Compliance basierend auf den Standards in einem oder mehreren Bundles verschaffen. Diese Übersicht wird auf Flottenebene erstellt und enthält auch Ihre nicht registrierten Cluster (Vorschau).

Hinweise

  1. Prüfen Sie, ob Ihre Cluster in einer Flotte registriert sind und Policy Controller auf Ihren Clustern installiert ist.

  2. Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des Policy Controller-Dashboards benötigen:

    • GKE-Hub-Betrachter (roles/gkehub.viewer) für das Projekt, das Ihre Flotte enthält
    • Monitoring-Betrachter (roles/monitoring.viewer) für jedes Projekt mit einem Cluster in Ihrer Flotte

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Policy Controller-Status aufrufen

Informationen zur Richtlinienabdeckung finden Sie in der Google Cloud -Konsole.

  1. Rufen Sie in der Google Cloud Console im Abschnitt Statusverwaltung die Seite Richtlinie auf.

    Zur Richtlinie

    Auf dem Tab Dashboard finden Sie eine Übersicht über die Policy Controller-Abdeckung mit den folgenden Informationen:

    • Unter Policy Controller-Abdeckung sehen Sie die Anzahl der Cluster mit und ohne installierten Policy Controller.
    • Cluster mit Verstößen zeigt die Anzahl der Cluster ohne Verstöße und die Anzahl der Cluster mit Verstößen an. Die Verstöße basieren darauf, welche Einschränkungen auf den Cluster angewendet werden.
    • Die Maßnahme zeigt die für jede Einschränkung angegebene Aktion an. Weitere Informationen zu Maßnahmen finden Sie unter Auditing mit Einschränkungen.
    • Compliance nach Standards: Eine Übersicht über Ihre Compliance basierend auf den Standards in einem oder mehreren Policy Controller-Bundles. Wenn Sie keine Bundles verwenden, wird für den Status in diesem Abschnitt „100 % nicht angewendet“ angezeigt.

  2. Ausführlichere Informationen zu Richtlinienverstößen in Ihrem Cluster finden Sie auf dem Tab Verstöße:

    1. Wählen Sie im Bereich Anzeigen nach eine der folgenden Optionen aus:

      • Einschränkung: Damit rufen Sie eine einfache Liste aller Einschränkungen mit Verstößen in Ihrem Cluster auf.
      • Namespace: Damit rufen Sie Einschränkungen mit Verstößen auf, sortiert nach dem Namespace, der die Ressource mit einem Verstoß enthält.
      • Ressourcentyp: Damit rufen Sie Einschränkungen mit Verstößen auf, organisiert nach der Ressource mit einem Verstoß.

    2. Wählen Sie in einer beliebigen Ansicht den Namen der Einschränkung aus, die Sie aufrufen möchten.

      Auf dem Tab Details finden Sie Informationen zum Verstoß, einschließlich der empfohlenen Maßnahmen zur Behebung des Problems.

      Auf dem Tab Betroffene Ressourcen finden Sie Informationen dazu, welche Ressourcen von der Einschränkung evaluiert werden und Richtlinienverstöße haben.

Richtlinienergebnisse in Security Command Center aufrufen

Wenn Policy Controller installiert ist, können Sie Richtlinienverstöße in Security Command Center aufrufen. So können Sie den Sicherheitsstatus Ihrer Google Cloud -Ressourcen und Ihrer Kubernetes-Ressourcen an einem Ort einsehen. Security Command Center muss in Ihrer Organisation aktiviert sein, und zwar in der Standard- oder Premium-Stufe.

In Security Command Center werden Richtlinienverstöße als Misconfiguration-Ergebnisse angezeigt. Die Kategorie und die nächsten Schritte für jedes Ergebnis sind dieselben wie die Beschreibung der Einschränkung und die Schritte zur Fehlerbehebung.

Weitere Informationen zur Verwendung von Policy Controller in Security Command Center finden Sie unter Policy Controller-Sicherheitslücken.