Cette page décrit la détection des menaces GKE, qui vous permet d'analyser vos clusters GKE éligibles pour détecter les menaces actives dans le tableau de bord de stratégie de sécurité GKE. Le tableau de bord de stratégie de sécurité GKE vous permet d'activer diverses fonctionnalités d'analyse et d'audit dans les clusters GKE éligibles et affiche des recommandations exploitables pour vous aider à résoudre les problèmes de sécurité.
Fonctionnement
La détection des menaces GKE est une fonctionnalité avancée de tableau de bord de stratégie de sécurité GKE disponible pour les utilisateurs de GKE Enterprise. Lorsque vos clusters GKE sont enregistrés dans un parc, la détection des menaces GKE évalue vos journaux d'audit GKE dans Cloud Logging par rapport à un ensemble de règles prédéfinies pour les menaces de clusters et de charges de travail. Si une menace est détectée, un résultat s'affiche dans le tableau de bord de stratégie de sécurité GKE avec une description de la menace, son impact potentiel et les actions recommandées pour atténuer la menace.
Tous les clusters GKE enregistrés de votre parc sont analysés en permanence pour détecter les menaces actives. Nous classons les menaces détectées à l'aide des tactiques MITRE ATT&CK®.
La détection des menaces GKE est basée sur le service Event Threat Detection de Security Command Center. Dans le tableau de bord de stratégie de sécurité GKE, seul le sous-ensemble de règles qui s'applique à GKE est évalué.
Fonctionnalités de stratégie de sécurité GKE incluses
La détection des menaces GKE est fournie avec le niveau avancé d'analyse de la stratégie de sécurité Kubernetes. Lorsque vous activez la détection des menaces GKE dans un cluster, vous activez également les fonctionnalités d'analyse suivantes:
Utilisation dans le cadre d'une stratégie de sécurité globale
La détection des menaces GKE est l'un des différents produits d'observabilité de la sécurité que vous devez utiliser dans votre environnement. Nous vous recommandons vivement d'utiliser d'autres fonctionnalités du tableau de bord de stratégie de sécurité GKE, telles que l'analyse des failles, pour vous assurer de surveiller vos clusters afin de détecter divers problèmes de sécurité. Pour en savoir plus, consultez la page À propos du tableau de bord de stratégie de sécurité dans la documentation de GKE.
Nous vous recommandons également de mettre en œuvre autant de mesures de sécurité que possible dans la section Renforcer la sécurité des clusters pour vos clusters et vos charges de travail.
Tarification
La détection des menaces GKE est offerte gratuitement via GKE Enterprise.
Règles prédéfinies de détection des menaces GKE
Le tableau suivant décrit les règles d'évaluation par rapport auxquelles la détection des menaces GKE évalue vos journaux d'audit GKE:
| Nom à afficher | Nom de l'API | Types de sources de journal | Description |
|---|---|---|---|
| Defense Evasion: Déploiement de charges de travail en mode "bris de glace" crééBêta | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Journaux d'audit Cloud : Journaux des activités d'administration |
Détecte le déploiement de charges de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire. |
| Defense Evasion: Déploiement de charges de travail en mode "bris de glace" crééBêta | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Journaux d'audit Cloud : Journaux des activités d'administration |
Détecte les mises à jour de charge de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire. |
| Découverte : vérification des objets Kubernetes sensibles | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud Audit Logs : Journaux d'accès aux données GKE |
Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande
|
| Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) ClusterRole, RoleBinding ou ClusterRoleBinding du rôle sensible cluster-admin à l'aide d'une requête PUT ou PATCH.
|
| Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Une personne potentiellement malveillante a créé une requête de signature de certificat (CSR) maître Kubernetes, qui lui permet de disposer de l'accès cluster-admin. |
| Élévation des privilèges : création de liaisons Kubernetes sensibles | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Pour élever un privilège, une personne potentiellement malveillante a tenté de créer un objet RoleBinding ou ClusterRoleBinding pour le rôle cluster-admin.
|
| Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit Logs : Journaux d'accès aux données GKE |
Une personne potentiellement malveillante a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis. |
| Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Une personne potentiellement malveillante a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits. Le champ |
| Accès aux identifiants : accès aux secrets dans l'espace de noms Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit Logs : Journaux d'accès aux données GKE |
Détecte l'accès à des secrets ou des jetons de compte de service par un compte de service dans l'espace de noms Kubernetes actuel. |
| Accès initial : ressource GKE anonyme créée à partir d'Internet Bêta | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Détecte les événements de création de ressources provenant d'utilisateurs Internet anonymes. |
| Accès initial : ressource GKE modifiée anonymement à partir d'Internet Bêta | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Détecte les événements de manipulation de ressources provenant d'utilisateurs Internet anonymes. |
Activer la détection des menaces GKE
Pour activer la détection des menaces GKE, vous devez enregistrer un cluster éligible au niveau avancé d'analyse de la stratégie de sécurité Kubernetes. Cela active également toutes les fonctionnalités incluses dans le niveau de base d'analyse de la stratégie de sécurité Kubernetes, telles que l'audit de la configuration des charges de travail et l'affichage des bulletins de sécurité.
Pour en savoir plus, consultez la page Identifier les menaces dans les clusters à l'aide de la détection des menaces GKE.
Limites
Les limites suivantes s'appliquent à la détection des menaces GKE:
- Disponible uniquement dans GKE Enterprise.
- Disponible uniquement pour les projets des organisations.
- Non compatible avec les options de Security Command Center, telles que la configuration de la résidence des données.
- Affiche uniquement les résultats des clusters enregistrés sur un parc.
- GKE conserve les résultats de menaces qui ne sont plus associées à des ressources affectées pendant 180 jours maximum.
- Affiche uniquement les résultats des clusters existants. Si vous supprimez un cluster, la détection des menaces GKE n'affiche plus le résultat dans le tableau de bord de stratégie de sécurité GKE.
Étapes suivantes
- Découvrez le tableau de bord de stratégie de sécurité GKE.
- Identifier les menaces dans les clusters à l'aide de la détection des menaces GKE