本页面上的部分或全部信息可能不适用于 Trusted Cloud by S3NS。

安全状况信息中心简介

Autopilot Standard

本页面简要介绍了Trusted Cloud 控制台中的安全状况信息中心，其中提供了切实可行的针对性建议来改善安全状况。如需自行探索该信息中心，请前往 Trusted Cloud 控制台中的“安全状况”页面。

何时使用安全状况信息中心

如果您是集群管理员或安全管理员，并且希望跨多个集群和工作负载自动检测和报告常见安全问题，同时最大限度地减少扰乱和中断正在运行的应用，则应使用安全状况信息中心。安全状况信息中心与 Cloud Logging、Policy Controller 和 Binary Authorization 等产品集成，可让您更清楚地了解安全状况。

如果您使用 VPC Service Controls，还可以更新边界以保护安全状况信息中心，方法是将 containersecurity.googleapis.com 添加到服务列表中。

安全状况信息中心不会更改共担责任模型下我们的任何责任或您的任何责任。您仍需负责保护您的工作负载。

作为广泛安全策略的一部分使用

安全状况信息中心提供有关软件交付生命周期运行时阶段的工作负载安全状况的数据分析。为了在从源代码控制到维护的整个生命周期内全面覆盖您的应用，我们建议您将该信息中心与其他安全工具结合使用。

GKE 提供以下工具，用于在 Trusted Cloud 控制台中监控安全性和合规性：

安全状况信息中心，在 GKE Standard 层级和 GKE Enterprise 层级提供。
GKE Compliance 信息中心（预览版），在 GKE Enterprise 层级提供。如需了解详情，请参阅 GKE Compliance 信息中心简介。

注意： GKE Compliance 信息中心已于 2025 年 1 月 28 日弃用，并将于 2025 年 6 月 30 日关停。如需了解详情，请参阅弃用的安全状况管理功能。

如需详细了解其他可用的工具以及端到端保护应用的最佳实践，请参阅保护软件供应链。

我们还强烈建议您参阅加固集群安全性来实施尽可能多的建议。

安全状况信息中心的工作原理

如需使用安全状况信息中心，请在项目中启用 Container Security API。该信息中心会显示来自 GKE 内置功能以及项目中运行的某些 Trusted Cloud 安全产品的分析洞见。

特定于集群的功能启用

安全状况信息中心中特定于 GKE 的功能按以下所示进行分类：

Kubernetes 安全状况：集群中 Kubernetes 对象和资源（例如 Pod 规范）的安全状况。如需了解详情，请参阅 Kubernetes 安全状况扫描简介。
工作负载漏洞扫描：容器操作系统和应用语言包的安全状况。如需了解详情，请参阅工作负载漏洞扫描简介。

注意：自 2024 年 7 月 23 日起，容器操作系统漏洞扫描功能已弃用，并计划于 2025 年 7 月 31 日关停。自 2025 年 6 月 16 日起，Advanced Vulnerability Insights 已弃用，并计划于 2026 年 6 月 16 日关停。如需详细了解弃用和关停日期，请参阅从 GKE 中移除漏洞扫描。

下表介绍了特定于集群的功能：

特征名称	可用性	包含的功能
Kubernetes 安全状况 - 标准层级	需要 GKE 1.27 版或更高版本。在所有新集群中默认处于启用状态。	自动扫描工作负载以查找配置问题实用的安全公告呈现
工作负载漏洞扫描 - 标准层级	在所有新集群中默认处于停用状态。注意：自 2024 年 7 月 23 日起，容器操作系统漏洞扫描功能已弃用，并计划于 2025 年 7 月 31 日关停。自 2025 年 6 月 16 日起，Advanced Vulnerability Insights 已弃用，并计划于 2026 年 6 月 16 日关停。如需详细了解弃用和关停日期，请参阅从 GKE 中移除漏洞扫描。	自动扫描容器映像是否存在可修复的漏洞
工作负载漏洞扫描 - Advanced Vulnerability Insights	在所有新集群中默认处于停用状态。注意：自 2024 年 7 月 23 日起，容器操作系统漏洞扫描功能已弃用，并计划于 2025 年 7 月 31 日关停。自 2025 年 6 月 16 日起，Advanced Vulnerability Insights 已弃用，并计划于 2026 年 6 月 16 日关停。如需详细了解弃用和关停日期，请参阅从 GKE 中移除漏洞扫描。	自动扫描容器映像是否存在可修复的漏洞自动扫描应用语言包是否存在漏洞

您可以为独立 GKE 集群或舰队成员集群启用这些功能。通过安全状况信息中心，您可以同时观察所有集群，包括舰队宿主项目中的所有舰队成员。

与 Security Command Center 的集成

如果您在组织或项目中启用了 Security Command Center，则会在 Security Command Center 中看到安全状况信息中心发现结果。如需详细了解安全状况信息中心内显示的 Security Command Center 发现结果，请参阅安全来源。

重要提示：在 Security Command Center 中发布的安全公告发现结果不包含列出关联 CVE 的 cve 字段。如需查看 CVE，请检查相应发现结果的 description 字段，或在安全状况信息中心内查看安全公告。

此外，如果您在组织或项目中启用了 Security Command Center 的高级或企业服务层级，则安全状况信息中心还会额外显示以下窗格：

主要威胁：按严重程度和类别汇总了影响 GKE 工作负载的主要威胁。
主要软件漏洞（预览版）：列出了与 GKE 工作负载的 Security Command Center 发现结果相关联的主要 CVE。

如需在项目中启用 Security Command Center 高级层级，请执行以下操作：

在 Trusted Cloud 控制台中，前往 GKE 安全状况页面。

前往“GKE 安全状况”
找到威胁示例窗格。此窗格显示了启用 Security Command Center 后可能会看到的各种安全发现结果的示例。这些示例并不代表项目中的实际安全问题。

如果您看到标题为主要威胁的窗格，则表示 Security Command Center 已启用。您可以跳过其余步骤。
在威胁示例窗格中，点击免费试用安全扫描。系统随即会打开启用窗格。
点击开始免费试用。

启用 Security Command Center 后，它会开始分析或扫描您的 GKE 工作负载及其他 Trusted Cloud服务的资源。该初始扫描通常会在几分钟或几小时内完成。

安全状况信息中心的优势

安全状况信息中心是您可以为任何符合条件的 GKE 集群启用的基础安全措施。 Trusted Cloud建议您对所有集群使用安全状况信息中心，原因如下：

最大限度地减少中断：功能不会干扰或中断正在运行的工作负载。
切实可行的建议：安全建议信息中心（如果有）提供操作项以解决发现的问题。这些操作包括您可以运行的命令以及要进行的配置更改示例。
可视化：安全状况信息中心提供会影响整个项目中集群的问题的简明可视化，并包含图表和图形以显示您取得的进展以及每个问题的潜在影响。
针对性的结果：GKE 会根据安全团队的专业知识和业界标准将严重级别分配给所发现的问题。
可审核的事件日志：GKE 将所有发现的问题添加到 Logging 中，以提高可报告性和可观测性。
舰队可观测性：如果您已将 GKE 集群注册到舰队，则信息中心可让您观察项目的所有集群，包括舰队成员集群以及项目中的任何独立 GKE 集群。

GKE 安全状况信息中心价格

安全状况信息中心功能的价格如下，适用于独立 GKE 集群和舰队 GKE 集群：

GKE 安全状况信息中心价格
工作负载配置审核	无需额外费用
安全公告呈现	无需额外费用
（已弃用）容器操作系统漏洞扫描	无需额外费用
（已弃用）Advanced Vulnerability Insights	使用 Artifact Analysis 价格。如需了解详情，请参阅 Artifact Analysis 价格页面上的高级漏洞数据分析。
Security Command Center 发现结果	采用 Security Command Center 价格。

添加到 Cloud Logging 的条目使用 Cloud Logging 价格。但是，根据环境的规模和所发现的问题数量，您可能无法超出 Logging 的免费注入和存储配额。如需了解详情，请参阅 Logging 价格。

管理舰队安全状况

如果您将舰队与 Google Kubernetes Engine (GKE) Enterprise 版本搭配使用，则可以使用 gcloud CLI 在舰队级层配置 GKE 安全状况功能。您在创建集群期间注册为舰队成员的 GKE 集群会自动继承安全状况配置。在更改安全状况配置之前已经是舰队成员的集群不会继承新配置。此继承配置会替换 GKE 应用于新集群的默认设置。

启用 GKE Enterprise 会在安全状况信息中心内显示合规性审核结果。合规性审核会将集群和工作负载与 Pod 安全标准等行业最佳实践进行比较。如需了解详情，请参阅 Policy Controller 包。

如需了解如何更改舰队级安全状况配置，请参阅在舰队级层配置 GKE 安全状况信息中心功能。

“安全状况”页面简介

Trusted Cloud 控制台中的“安全状况”页面包含以下标签页：

信息中心：扫描结果的简明表示形式。包括图表和功能特定信息。
问题：GKE 在集群和工作负载发现的任何问题的可过滤的详细视图。您可以选择各个问题的详细信息和缓解选项。
设置：管理各个集群或舰队的安全状况功能配置。

信息中心

信息中心标签页直观展示了各种 GKE 安全状况扫描的结果以及项目中启用的其他Trusted Cloud 安全产品的信息。如需详细了解可用的扫描功能和其他受支持的安全产品，请参阅本文档中的安全状况信息中心的工作原理。

如果您将舰队与 GKE Enterprise 搭配使用，则信息中心还会显示任何发现的集群问题，包括项目舰队中的集群和独立集群。如需切换信息中心以查看特定舰队的状况，请从 Trusted Cloud 控制台中的项目选择器下拉菜单中选择该舰队的宿主项目。如果所选项目启用了 Container Security API，则信息中心会显示该项目舰队的所有成员集群的相关结果。

问题

问题标签页列出了 GKE 在扫描集群和工作负载时发现的有效安全问题。本页面仅显示本文档的特定于集群的功能启用中所述的安全状况功能问题。如果您将舰队与 GKE Enterprise 搭配使用，则可以查看舰队成员集群和所选项目拥有的独立 GKE 集群的问题。

严重级别

在适用的情况下，GKE 会为发现的问题指定严重级别。您可以使用这些级别来确定解决发现结果所需依据的紧急程度。GKE 使用以下严重级别，这些严重级别基于 CVSS 定性严重级别表：

严重：立即采取相应措施。攻击会导致突发事件。
高：立即采取相应措施。攻击极有可能会导致突发事件。
中：尽快采取相应措施。攻击很可能会导致突发事件。
低：最终应采取相应措施。攻击可能会导致突发事件。

您对问题的确切响应速度取决于贵组织的威胁模型和风险容忍度。严重级别是用于制定全面的突发事件响应方案的定性准则。

问题表

问题表显示 GKE 检测到的所有问题。您可以更改默认视图，以按问题类型、Kubernetes 命名空间或受影响的工作负载对结果进行分组。您可以使用过滤条件窗格，按严重级别、问题类型、Trusted Cloud 位置和集群名称过滤结果。如需查看特定问题的详细信息，请点击该问题的名称。

“问题详情”窗格

点击问题表中的问题时，系统会打开问题详情窗格。此窗格提供问题的详细描述以及相关信息，例如受影响的操作系统版本、CVE 链接或与特定配置问题关联的风险。如果适用，详情窗格还会提供建议的操作。例如，设置 runAsNonRoot: false 的工作负载会返回您需要对 Pod 规范进行的建议更改，以缓解问题。

问题详情窗格中的受影响的资源标签页显示已注册集群中受该问题影响的工作负载的列表。

设置

在设置标签页中，您可以对项目或舰队中符合条件的 GKE 集群配置特定于集群的安全状况功能，例如工作负载配置审核。您可以查看每个集群的特定功能启用状态，并为符合条件的集群更改该配置。如果您将舰队与 GKE Enterprise 搭配使用，则还可以查看舰队成员集群的设置是否与舰队级配置相同。

工作流示例

本部分是想要扫描集群中的工作负载以查找安全配置问题（例如 root 权限）的集群管理员的工作流示例。

使用Trusted Cloud 控制台将集群注册到 Kubernetes 安全状况扫描中。
查看安全状况信息中心以获取扫描结果，最多可能需要 30 分钟才会显示结果。
点击问题标签页以打开详细结果。
选择配置问题类型过滤条件。
点击表中的某个问题。
在“问题详情”窗格上，记下建议的配置更改并按照建议更新 Pod 规范。
将更新后的 Pod 规范应用于集群。

下次扫描运行时，安全状况信息中心将不再显示您已修复的问题。