このページでは、Google Kubernetes Engine(GKE)と GKE Enterprise のさまざまなセキュリティ ポスチャー管理機能とコンプライアンス ポスチャー管理機能の非推奨と削除について説明します。この情報は、 Trusted Cloud コンソールで次のいずれかの機能を使用している場合に適用されます。
ポスチャー管理ダッシュボードについて
GKE では、GKE クラスタのセキュリティ ポスチャーとフリートのコンプライアンス違反をモニタリングするためのダッシュボードが Trusted Cloud コンソールに用意されています。これらのダッシュボードは、次の機能をサポートしています。
GKE セキュリティ ポスチャー ダッシュボード: GKE クラスタとワークロードのセキュリティ ポスチャーをモニタリングします。次の機能をサポートしています。
Kubernetes セキュリティ ポスチャー - スタンダード ティア:
- ワークロード構成の監査
- 実行可能なセキュリティに関する公開情報の表示(プレビュー版)
Kubernetes セキュリティ ポスチャー - Advanced ティア:
- GKE Threat Detection(プレビュー)(GKE Enterprise のみ)
ワークロードの脆弱性スキャン - スタンダード ティア
ワークロードの脆弱性スキャン - Advanced Vulnerability Insights
サプライ チェーンの懸念 - Binary Authorization(プレビュー)
GKE Compliance ダッシュボード(プレビュー)(GKE Enterprise のみ): GKE の CIS Benchmark などの業界標準に対するワークロードのコンプライアンス ステータスをモニタリングします。
サポートが終了した機能
2025 年 1 月 28 日より、特定のポスチャー管理機能はサポートが終了します。次の表に、非推奨になった機能と、非推奨日、削除予定日、詳細情報のリンクを示します。
| 機能 | サポート終了日 | 削除日 | 詳細 |
|---|---|---|---|
| GKE Threat Detection(プレビュー) | 2025 年 1 月 28 日 | 2025 年 3 月 31 日 | GKE Threat Detection |
| サプライ チェーンの懸念 - Binary Authorization(プレビュー) | 2025 年 1 月 28 日 | 2025 年 3 月 31 日 | サプライ チェーンの懸念 - Binary Authorization |
| GKE Compliance ダッシュボード(プレビュー) | 2025 年 1 月 28 日 | 2025 年 6 月 30 日 | コンプライアンス ダッシュボード |
| ワークロードの脆弱性スキャン - スタンダード ティア | 2024 年 7 月 23 日 | 2025 年 7 月 31 日 | ワークロードの脆弱性スキャン |
| ワークロードの脆弱性スキャン - Advanced Vulnerability Insights | 2025 年 6 月 16 日 | 2026 年 6 月 16 日 | ワークロードの脆弱性スキャン |
機能が削除された後の変更
機能の削除日以降、次の変更が行われます。
- Trusted Cloud コンソールでは、この機能に関する新しい結果は生成されなくなります。たとえば、2025 年 3 月 31 日以降、GKE は新しい GKE Threat Detection の結果を生成しません。
- 対応するポスチャー管理ダッシュボードで既存の結果を確認することはできません。たとえば、2025 年 7 月 31 日以降、GKE Standard Edition クラスタの既存のコンテナ OS 脆弱性スキャンの結果を表示することはできません。
- 機能の Security Command Center の検出結果は、
Inactive状態になります。検出結果は、Security Command Center のデータ保持期間が経過すると削除されます。
検出結果のログは、ログの保持期間の間、Cloud Logging の _Default ログバケットに保持されます。
お客様側で必要な操作
このセクションでは、クラスタとワークロードで同様のモニタリング機能を実現するために使用できる代替手段について説明します。
ワークロードの脆弱性スキャン
ワークロードの脆弱性スキャンの両方のティアが非推奨になりました。詳細については、GKE でのワークロードの脆弱性スキャンの廃止をご覧ください。
GKE Threat Detection
GKE Threat Detection は、クラスタとワークロードの脅威に関するルールセットに照らして監査ログを評価していました。Trusted Cloud コンソールには、アクティブな脅威が脅威の修正方法とともに表示されていました。
GKE Threat Detection は、Security Command Center の Event Threat Detection を利用していました。2025 年 3 月 31 日以降も Security Command Center からアクティブな脅威に関する情報を引き続き取得するには、Security Command Center とのインテグレーションをご覧ください。
サプライ チェーンの懸念 - Binary Authorization
プロジェクトで Binary Authorization API を有効にした場合、GKE セキュリティ ポスチャー ダッシュボードに、次のいずれかの条件を満たす実行中のコンテナ イメージの結果が表示されていました。
- 暗黙的または明示的に
latestタグを使用したイメージ - 30 日以上前に Artifact Registry または Container Registry(非推奨)にアップロードされた(ダイジェストによってデプロイされた)イメージ
2025 年 3 月 31 日以降も、実行中のコンテナでこれらの問題をモニタリングするには、次の操作を行います。
クラスタに Binary Authorization を設定すると、コンテナごとにコンテナ イメージ ダイジェストが指定されていない Pod はデプロイできなくなります。これにより、ワークロードで :latest タグが使用されたり、省略されたりすることはありません。
GKE Compliance ダッシュボード
GKE Compliance ダッシュボードは、GKE の CIS ベンチマークなど、事前定義された業界標準に照らしてクラスタをスキャンできる GKE Enterprise の機能です。
2025 年 6 月 30 日より、GKE Compliance ダッシュボードに、対象となるクラスタのコンプライアンス違反の結果が表示されなくなります。新規または既存のクラスタでコンプライアンスの監査を有効にすることはできません。
コンプライアンス違反について同様の結果を取得するには、次の操作を行います。