이 페이지에서는 GKE 보안 상황 대시보드에서 적격한 GKE 클러스터에서 활성 위협을 스캔할 수 있는 GKE Threat Detection을 설명합니다. GKE 보안 상황 대시보드를 사용하면 적격한 GKE 클러스터에서 다양한 스캔 및 감사 기능을 사용 설정하고 보안 문제를 해결하는 데 도움이 되는 실행 가능한 권장사항을 표시할 수 있습니다.
작동 방식
GKE Threat Detection은 GKE Enterprise 사용자에게 제공되는 고급 GKE 보안 상황 대시보드 기능입니다. GKE 클러스터가 Fleet에 등록되면 GKE Threat Detection에서 클러스터 및 워크로드 위협에 대한 사전 정의된 규칙 집합에 따라 Cloud Logging의 GKE 감사 로그를 평가합니다. 위협이 발견되면 GKE 보안 상황 대시보드에 위협에 대한 설명, 잠재적 영향, 위협 완화를 위한 권장 조치와 함께 발견 항목이 표시됩니다.
Fleet에 등록된 모든 GKE 클러스터는 활성 위협이 있는지 지속적으로 스캔합니다. Google은 MITRE ATT&CK® 전략을 사용하여 감지된 위협을 분류합니다.
GKE Threat Detection은 Security Command Center Event Threat Detection 서비스를 기반으로 합니다. GKE 보안 상황 대시보드에서는 GKE에 적용되는 규칙의 하위 집합만 평가됩니다.
포함된 GKE 보안 상황 기능
GKE Threat Detection은 고급 등급의 Kubernetes 보안 상황 스캔과 함께 번들로 제공됩니다. 클러스터에서 GKE Threat Detection을 활성화하면 다음 스캔 기능도 활성화됩니다.
- 워크로드 구성 감사
- 보안 게시판 표시(미리보기)
광범위한 보안 전략의 일부로 사용
GKE Threat Detection은 환경에서 사용해야 하는 다양한 보안 관측 가능성 제품 중 하나입니다. 다양한 보안 문제에 대해 클러스터를 모니터링하도록 취약점 스캔과 같은 GKE 보안 상황 대시보드의 다른 기능을 사용하는 것이 좋습니다. 자세한 내용은 GKE 문서의 보안 상황 대시보드 정보를 참조하세요.
또한 클러스터 및 워크로드에서 클러스터 보안 강화의 보안 조치를 최대한 많이 구현하는 것이 좋습니다.
가격 책정
GKE Threat Detection은 GKE Enterprise를 통해 추가 비용 없이 제공됩니다.
사전 정의된 GKE Threat Detection 규칙
다음 표에서는 GKE Threat Detection이 GKE 감사 로그를 평가하는 평가 규칙을 설명합니다.
| 표시 이름 | API 이름 | 로그 소스 유형 | 설명 |
|---|---|---|---|
| 방어 회피: Breakglass 워크로드 배포 생성됨미리보기 | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud 감사 로그: 관리자 활동 로그 |
Break-glass 플래그를 사용하여 Binary Authorization 제어를 재정의하는 방식으로 배포된 워크로드 배포를 감지합니다. |
| 방어 회피: Breakglass 워크로드 배포 업데이트됨미리보기 | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud 감사 로그: 관리자 활동 로그 |
Break-glass 플래그를 사용하여 Binary Authorization 제어를 재정의하여 워크로드가 업데이트되는 시기를 감지합니다. |
| 탐색: 민감한 Kubernetes 객체 확인 가능 | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud 감사 로그: GKE 데이터 액세스 로그 |
잠재적인 악의적 행위자가
|
| 권한 에스컬레이션: 민감한 Kubernetes RBAC 객체 변경 | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud 감사 로그: GKE 관리자 활동 로그 |
권한을 에스컬레이션하기 위해 잠재적인 악의적 행위자가 PUT 또는 PATCH 요청을 사용하여 민감한 cluster-admin의 ClusterRole, RoleBinding, 또는 ClusterRoleBinding 역할 기반 액세스 제어(RBAC) 객체를 수정하려고 시도했습니다.
|
| 권한 에스컬레이션: 마스터 인증서에 대한 Kubernetes CSR 만들기 | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud 감사 로그: GKE 관리자 활동 로그 |
잠재적인 악의적 행위자가 Kubernetes 마스터 인증서 서명 요청(CSR)을 만들어 cluster-admin 액세스 권한을 부여했을 수 있습니다. |
| 권한 에스컬레이션: 민감한 Kubernetes 바인딩 만들기 | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud 감사 로그: IAM 관리자 활동 감사 로그 |
권한을 에스컬레이션하기 위해 잠재적인 악의적 행위자가 cluster-admin 역할에 새 RoleBinding 또는 ClusterRoleBinding 객체를 만들려고 시도했습니다.
|
| 권한 에스컬레이션: 손상된 부트스트랩 사용자 인증 정보로 Kubernetes CSR 가져오기 | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud 감사 로그: GKE 데이터 액세스 로그 |
잠재적인 악의적 행위자가 손상된 부트스트랩 사용자 인증 정보를 사용하여 kubectl 명령어로 인증서 서명 요청(CSR)을 쿼리했습니다. |
| 권한 에스컬레이션: 권한이 있는 Kubernetes 컨테이너 실행 | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud 감사 로그: GKE 관리자 활동 로그 |
잠재적인 악의적 행위자가 권한이 있는 컨테이너나 권한 에스컬레이션 기능이 있는 컨테이너를 포함하는 포드를 만들었습니다. 권한이 있는 컨테이너에는 |
| 사용자 인증 정보 액세스: Kubernetes 네임스페이스에서 보안 비밀 액세스됨 | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud 감사 로그: GKE 데이터 액세스 로그 |
현재 Kubernetes 네임스페이스의 서비스 계정이 보안 비밀 또는 서비스 계정 토큰에 액세스하면 이를 감지합니다. |
| 초기 액세스: 익명 GKE 리소스가 인터넷에서 생성됨 미리보기 | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud 감사 로그: GKE 관리자 활동 로그 |
사실상 익명의 인터넷 사용자에서 리소스 생성 이벤트를 감지합니다. |
| 초기 액세스: GKE 리소스가 인터넷에서 익명으로 수정됨 미리보기 | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud 감사 로그: GKE 관리자 활동 로그 |
사실상 익명의 인터넷 사용자에서 리소스 조작 이벤트를 감지합니다. |
GKE Threat Detection을 사용 설정하는 방법
GKE Threat Detection을 사용 설정하려면 고급 등급의 Kubernetes 보안 상황 스캔에 적법한 클러스터를 등록합니다. 이렇게 하면 워크로드 구성 감사 및 보안 게시판 표시와 같이 Kubernetes 보안 상황 스캔 기본 등급에 포함된 모든 기능도 활성화됩니다.
자세한 내용은 GKE Threat Detection을 사용하여 클러스터에서 위협 찾기를 참조하세요.
제한사항
GKE Threat Detection에는 다음 제한사항이 적용됩니다.
- GKE Enterprise에서만 사용 가능
- 조직의 프로젝트에서만 사용 가능
- 데이터 상주 구성과 같은 Security Command Center 옵션을 지원하지 않음
- Fleet에 등록된 클러스터의 결과만 표시
- GKE는 더 이상 영향을 받는 연결된 리소스가 없는 위협 발견 항목을 최대 180일 동안 보관
- 기존 클러스터의 결과만 표시. 클러스터를 삭제하면 GKE Threat Detection에서 GKE 보안 상황 대시보드에 발견 항목을 더 이상 표시하지 않습니다.