プロファイル適用性: レベル1
Shielded GKE Nodesは、セキュアブート、仮想トラステッドプラットフォームモジュール (vTPM) 対応の測定ブート、および変更監視を通じて検証可能な整合性を提供します。
Shielded GKEノードは、ブートまたはカーネルレベルの不正プログラムや、感染したOSを超えて持続するルートキットからクラスターを保護します。
Shielded GKEノードは、Googleの証明機関を使用して署名および検証されたファームウェアを実行し、ノードのファームウェアが改ざんされていないことを保証し、Secure
Bootの信頼の根源を確立します。GKEノードのアイデンティティは、仮想Trusted Platform Module (vTPM) を介して強力に保護され、ノードがクラスターに参加する前にマスターノードによってリモートで検証されます。最後に、GKEノードの整合性
(つまり、ブートシーケンスとカーネル) は測定され、リモートで監視および検証することができます。
 |
注意クラスターは、バージョンv1.18からデフォルトでShielded GKEノードが有効になります。
|
影響
Shielded GKE Nodesがクラスターで有効化されると、Shielded GKE Nodesが有効化されていないノードプールで作成されたノードや、ノードプール外で作成されたノードはクラスターに参加できません。
Shielded GKEノードは、Container-Optimized OS (COS)、containerdを使用したCOS、およびUbuntuノードイメージでのみ使用できます。
監査
Google Cloud Consoleを使用する:
- Kubernetes Engine のウェブサイトにアクセスしてください。
- テスト対象のクラスターをクラスターのリストから選択してください。
- 詳細ペインで
Shielded GKE NodesがEnabledになっていることを確認してください。
コマンドラインの使用:
次のコマンドを実行します。
gcloud container clusters describe <cluster_name> --format json | jq '.shieldedNodes'
Shielded GKEノードが有効になっている場合、次の内容が返されます:
{
"enabled": true
}
修復
|
注意バージョン1.18から、クラスターはデフォルトでShielded GKEノードが有効になります。
|
Google Cloud Consoleを使用する:
既存のクラスターをShielded GKEノードに更新するには:
- Kubernetes Engine のウェブサイトにアクセスしてください。
- Shielded GKE Nodesを有効にするクラスターを選択してください。
- 詳細ペイン内のセキュリティ見出しの下にある、[Edit Shields GKE nodes]という名前の鉛筆アイコンをクリックしてください。
- [Enable Shield GKE nodes]という名前のボックスをチェックしてください。
- [SAVE CHANGES]をクリックしてください。
コマンドラインの使用:
既存のクラスターを移行するには、クラスター更新コマンドでフラグ
--enable-shielded-nodesを指定する必要があります。gcloud container clusters update <cluster_name> --zone <cluster_zone> --enable-shielded-nodes