Questa pagina descrive l'analisi della postura di sicurezza di Kubernetes, una funzionalità della dashboard sulla postura di sicurezza che rileva problemi comuni di configurazione della sicurezza, bollettini sulla sicurezza utilizzabili nei carichi di lavoro Kubernetes e minacce attive nei cluster GKE Enterprise.
Per abilitare e utilizzare la scansione della strategia di sicurezza per Kubernetes, consulta le seguenti risorse:
- Controllare automaticamente i carichi di lavoro per rilevare eventuali problemi di configurazione
- Solo GKE Enterprise: Individua le minacce nei cluster utilizzando il rilevamento delle minacce di GKE (anteprima)
L'analisi della strategia di sicurezza per Kubernetes offre le seguenti funzionalità:
- Livello Standard
- Livello avanzato (solo GKE Enterprise)
Prezzi
- Livello Standard: offerto senza costi aggiuntivi in GKE.
- Livello avanzato: incluso in GKE Enterprise.
Le voci aggiunte a Cloud Logging sono soggette ai prezzi di Cloud Logging.
Informazioni sul controllo della configurazione dei carichi di lavoro
I carichi di lavoro di cui esegui il deployment su GKE devono avere una configurazione protetta che ne limita la superficie di attacco. Controllare i carichi di lavoro nei vari cluster per rilevare problemi di configurazione può essere difficile da eseguire manualmente su larga scala. Puoi utilizzare la dashboard della postura di sicurezza per controllare automaticamente la configurazione di tutti i carichi di lavoro in esecuzione su più cluster e restituire risultati attuabili e con punteggio e suggerimenti utili per migliorare la tua strategia di sicurezza.
Il controllo della configurazione dei carichi di lavoro verifica ogni carico di lavoro di cui è stato eseguito il deployment in base a un sottoinsieme di criteri negli standard di sicurezza dei pod. Il controllo della configurazione del carico di lavoro avviene sull'infrastruttura di Google e non utilizza risorse di computing sui nodi.
Vantaggi del controllo della configurazione dei carichi di lavoro
- Automatizza il rilevamento dei problemi di configurazione noti per tutti i carichi di lavoro.
- Ricevi suggerimenti concreti per migliorare la postura di sicurezza.
- Utilizza la console Google Cloud per una visione d'insieme dei problemi di configurazione.
- Utilizza Logging per ottenere una traccia verificabile dei problemi, per migliorare la generazione di report e l'osservabilità.
Come funziona il controllo della configurazione dei carichi di lavoro
Per ogni carico di lavoro idoneo di cui è stato eseguito il deployment, GKE analizza continuamente la specifica del carico di lavoro e confronta i campi e i valori con i controlli definiti nel criterio di sicurezza sottostante. Ad esempio, un pod con spec.containers.securityContext.privileged=true
viola lo standard per la sicurezza dei pod di base, mentre un pod con il campo spec.securityContext.runAsNonRoot
impostato su false
viola lo standard con restrizioni. Per un elenco dei criteri di sicurezza controllati da GKE, vedi Cosa viene controllato dal controllo della configurazione dei carichi di lavoro?.
Dopo aver analizzato e rilevato i problemi, GKE valuta la gravità dei problemi di configurazione rilevati in base alle misure di protezione della sicurezza integrate. GKE assegna una classificazione di gravità che può indicare la velocità con cui rispondi al problema. Nella console Google Cloud vengono visualizzati i risultati e le azioni consigliate che puoi intraprendere per risolvere i problemi. GKE aggiunge inoltre voci a Cloud Logging per il tracciamento e il controllo.
Cosa viene controllato dal controllo della configurazione dei carichi di lavoro?
problema | Campi | Valori consentiti | Gravità |
---|---|---|---|
Spazi dei nomi host I pod che condividono gli spazi dei nomi host consentono ai processi dei pod di comunicare con i processi host e raccogliere informazioni sull'host, il che potrebbe causare un attacco container escape. |
|
|
Alta |
Contenitori con privilegi I container con privilegi consentono un accesso all'host quasi illimitato. Condividono gli spazi dei nomi con l'host e non dispongono di gruppi di controllo, seccomp, AppArmor e limitazioni delle funzionalità. |
|
|
Alta |
Accesso alla porta dell'host L'esposizione di una porta host a un container consente al container di intercettare il traffico di rete verso un servizio host che utilizza quella porta o di ignorare le regole di controllo dell'accesso dell'accesso alla rete come le regole in un NetworkPolicy. |
|
|
Alta |
Funzionalità non predefinite Un container ha capacità assegnate che potrebbero consentire un attacco container escape. |
|
|
Media |
Installazione dei volumi del percorso host
|
spec.volumes[*].hostPath |
Non definito o nullo | Media |
Maschera Il tipo di montaggio predefinito |
|
|
Media |
Maschera di sistema non sicura Puoi configurare un pod per consentire la modifica dei parametri del kernel non sicuri utilizzando il file system virtuale |
spec.securityContext.sysctls[*].name |
|
Media |
In esecuzione come non principale Puoi consentire esplicitamente l'esecuzione di un container come utente root se l'istruzione |
|
true |
Media |
Escalation dei privilegi Un container può essere configurato in modo esplicito per consentire l'escalation dei privilegi al momento dell'esecuzione. Questo consente a un processo creato all'interno del container mediante l'esecuzione di un set-user-id, set-group-id o di una funzionalità file eseguibile per ottenere i privilegi specificati dall'eseguibile. La mancanza di un controllo di sicurezza preventivo aumenta il rischio di attacco container escape. |
|
false |
Media |
Profilo AppArmor non definito Un container può essere configurato esplicitamente per essere sbloccato da AppArmor. Ciò garantisce che nessun profilo AppArmor venga applicato al container e non ne sia quindi vincolato. Il controllo di sicurezza preventivo disabilitato aumenta il rischio di attacco container escape. |
metadata.annotations["container.apparmor.security.beta.kubernetes.io/*"] |
false |
Bassa |
Informazioni sulla visualizzazione del bollettino sulla sicurezza
Quando viene rilevata una vulnerabilità in GKE, applichiamo una patch alla vulnerabilità e pubblichiamo un bollettino sulla sicurezza per verificarne la vulnerabilità. Per informazioni su identificazione, patch e tempistiche, consulta la pagina relativa all'applicazione delle patch di sicurezza di GKE.
La dashboard sulla strategia di sicurezza mostra i bollettini sulla sicurezza che interessano i cluster, i carichi di lavoro e i pool di nodi in modalità Standard. Questa funzionalità fa parte della funzionalità Strategia di sicurezza di Kubernetes della dashboard della postura di sicurezza e viene abilitata automaticamente quando crei un cluster Autopilot o Standard. Per abilitare la scansione della strategia di sicurezza di Kubernetes, segui le istruzioni in Controllare automaticamente i carichi di lavoro per rilevare eventuali problemi di configurazione.
La console Google Cloud mostra dettagli come i cluster interessati, le versioni e le versioni delle patch consigliate per gli upgrade al fine di mitigare la vulnerabilità. Vedrai solo i bollettini per i quali è disponibile una mitigazione nella regione o nella zona Google Cloud del cluster.
Per visualizzare i bollettini per i cluster che hai registrato alla scansione della postura di sicurezza di Kubernetes, vai alla dashboard sulla postura di sicurezza:
Tutti i bollettini disponibili che interessano il tuo ambiente vengono visualizzati nella sezione Bollettini sulla sicurezza.
Informazioni sul rilevamento delle minacce di GKE
Il rilevamento delle minacce di GKE esegue la scansione degli audit log dei cluster registrati per rilevare eventuali minacce attive e fornisce azioni di mitigazione consigliate. Il rilevamento delle minacce di GKE si basa sul servizio Security Command Center Event Threat Detection. Per saperne di più, nella documentazione di GKE Enterprise, consulta Informazioni sul rilevamento delle minacce di GKE.
Passaggi successivi
- Scopri di più sulla dashboard della postura di sicurezza.
- Scopri come implementare il controllo della configurazione dei carichi di lavoro.
- Scopri come configurare l'analisi automatica delle vulnerabilità delle immagini container.