設定檔適用性:等級 2
安全狀況資訊中心在軟體交付生命週期的運行階段提供有關您工作負載安全狀況的深入見解。
安全狀況資訊中心在軟體交付生命週期的運行階段提供有關您工作負載安全狀況的深入見解。
 |
注意GKE 安全狀況具有多項功能。並非所有功能預設啟用。對於新的標準和自動駕駛叢集,配置稽核預設為已啟動。
securityPostureConfig: mode: BASIC |
影響
GKE 安全狀況配置審核會根據一套已定義的最佳實踐檢查您的工作負載。每個配置檢查都有其自身的影響或風險。了解更多檢查內容:關於 Kubernetes 安全狀況掃描 和 自動審核工作負載的配置問題
範例:主機命名空間檢查識別出共享主機命名空間的 Pod。共享主機命名空間的 Pod 允許 Pod 進程與主機進程通信並收集主機資訊,這可能導致容器逃逸
稽核
定義三個變數:叢集名稱、位置資訊和專案,然後執行此命令:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION -- project $PROJECT_ID --format json | jq '.securityPostureConfig'
命令行語句的範例輸出:
{ "mode": "BASIC", "vulnerabilityMode": "VULNERABILITY_DISABLED" }
模式的輸出應為 BASIC 或 ENTERPRISE。
補救
要為新叢集啟用安全狀況,請確保在建立時添加
--security-posture=standard 或 --security-posture=enterprise。要更新現有叢集的安全狀況,請執行以下命令:
gcloud container clusters update CLUSTER_NAME \
--location=CONTROL_PLANE_LOCATION \
--security-posture=standard
替換以下內容:
- CLUSTER_NAME:您叢集的名稱。
- CONTROL_PLANE_LOCATION:您叢集控制平面的位置資訊。對於區域性標準和自動駕駛叢集,請提供區域;對於區域性標準叢集,請提供區域。
對於主控台使用者,請按照主控台標籤中的編號步驟,使用提供的連結:在現有叢集上啟用配置稽核。