Questa pagina descrive il rilevamento delle minacce per GKE, che consente di analizzare i cluster GKE idonei alla ricerca di minacce attive nella dashboard della postura di sicurezza di GKE. La dashboard della strategia di sicurezza di GKE ti consente di abilitare varie funzionalità di analisi e controllo nei cluster GKE idonei e mostra suggerimenti strategici per aiutarti a risolvere i problemi di sicurezza.
Come funziona
Il rilevamento delle minacce per GKE è una funzionalità avanzata della dashboard della strategia di sicurezza di GKE disponibile per gli utenti di GKE Enterprise. Quando i cluster GKE sono registrati in un parco risorse, il rilevamento delle minacce di GKE valuta gli audit log di GKE in Cloud Logging sulla base di un insieme di regole predefinite per le minacce relative a cluster e carichi di lavoro. Se viene rilevata una minaccia, nella dashboard della postura di sicurezza GKE viene visualizzato un risultato con una descrizione della minaccia, l'impatto potenziale e le azioni consigliate per mitigare la minaccia.
Tutti i cluster GKE registrati nel parco risorse vengono sottoposti a scansione continua per rilevare eventuali minacce attive. Classifichiamo le minacce rilevate utilizzando le tattiche MITRE ATT&CK®.
Il rilevamento delle minacce per GKE si basa sul servizio Event Threat Detection di Security Command Center. Nella dashboard della strategia di sicurezza di GKE viene valutato solo il sottoinsieme di regole applicabili a GKE.
Funzionalità incluse della strategia di sicurezza di GKE
Il rilevamento delle minacce per GKE è integrato al livello avanzato di analisi della strategia di sicurezza Kubernetes. Quando attivi il rilevamento delle minacce di GKE in un cluster, attivi anche le seguenti funzionalità di scansione:
- Controllo della configurazione del carico di lavoro
- Visualizzazione del bollettino sulla sicurezza (anteprima)
Utilizzo nell'ambito di un'ampia strategia di sicurezza
Il rilevamento delle minacce per GKE è uno dei vari prodotti di osservabilità della sicurezza che dovresti utilizzare nel tuo ambiente. Ti consigliamo vivamente di utilizzare altre funzionalità della dashboard della strategia di sicurezza di GKE, come l'analisi delle vulnerabilità, per assicurarti di monitorare i cluster per rilevare una serie di problemi di sicurezza. Per ulteriori informazioni, consulta Dashboard della postura di sicurezza nella documentazione di GKE.
Ti consigliamo inoltre di implementare il maggior numero possibile di misure di sicurezza per cluster e carichi di lavoro per rafforzare la sicurezza dei cluster.
Prezzi
Il rilevamento delle minacce per GKE è offerto senza costi aggiuntivi tramite GKE Enterprise.
Regole predefinite per il rilevamento delle minacce per GKE
La tabella seguente descrive le regole di valutazione in base alle quali il rilevamento delle minacce di GKE valuta gli audit log di GKE:
| Nome visualizzato | Nome API | Tipi di sorgente log | Descrizione |
|---|---|---|---|
| Evasione della difesa: deployment di emergenza del carico di lavoro creatoAnteprima | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Audit log di Cloud: Log delle attività di amministrazione |
Rileva il deployment di carichi di lavoro usando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. |
| Evasione della difesa: deployment di emergenza del carico di lavoro aggiornataAnteprima | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Audit log di Cloud: Log delle attività di amministrazione |
Rileva l'aggiornamento dei carichi di lavoro usando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. |
| Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Audit log di Cloud: Log degli accessi ai dati di GKE |
Un utente potenzialmente malintenzionato ha tentato di determinare su quali oggetti sensibili in GKE può eseguire query utilizzando il comando
|
| Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto con controllo degli accessi basato su ruoli (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del ruolo sensibile cluster-admin utilizzando una richiesta PUT o PATCH.
|
| Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Un utente potenzialmente malintenzionato ha creato una richiesta di firma del
certificato (CSR) master di Kubernetes, che concede l'accesso cluster-admin
. |
| Escalation dei privilegi: creazione di associazioni Kubernetes sensibili | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo cluster-admin.
|
| Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Audit log di Cloud: Log degli accessi ai dati di GKE |
Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando kubectl utilizzando credenziali di bootstrap compromesse. |
| Escalation dei privilegi: avvia un container Kubernetes con privilegi | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Un utente potenzialmente malintenzionato ha creato un pod contenente container con privilegi o con funzionalità di escalation dei privilegi. Il campo |
| Accesso con credenziali: secret a cui è stato eseguito l'accesso nello spazio dei nomi Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Audit log di Cloud: Log degli accessi ai dati di GKE |
Rileva quando un account di servizio accede a secret o token di account di servizio nell'attuale spazio dei nomi Kubernetes. |
| Accesso iniziale: risorsa GKE anonima creata da internet anteprima | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Rileva gli eventi di creazione di risorse da utenti internet effettivamente anonimi. |
| Accesso iniziale: risorsa GKE modificata in modo anonimo da internet Anteprima | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Rileva gli eventi di manipolazione delle risorse da parte di utenti internet realmente anonimi. |
Come abilitare il rilevamento delle minacce per GKE
Per abilitare il rilevamento delle minacce per GKE, devi registrare un cluster idoneo nel livello avanzato di analisi della security posture di Kubernetes. In questo modo vengono attivate anche tutte le funzionalità incluse nel livello di base dell'analisi della postura di sicurezza Kubernetes, come il controllo della configurazione dei carichi di lavoro e la visualizzazione del bollettino sulla sicurezza.
Per ulteriori informazioni, consulta Individuare le minacce nei cluster utilizzando GKE Threat Detection.
Limitazioni
Al rilevamento delle minacce per GKE si applicano le seguenti limitazioni:
- Disponibile solo in GKE Enterprise
- Disponibile solo per i progetti nelle organizzazioni
- Non supporta le opzioni di Security Command Center come la configurazione della residenza dei dati
- Mostra solo i risultati per i cluster registrati in un parco risorse
- GKE conserva i risultati delle minacce a cui non sono più associate risorse interessate
- Mostra solo i risultati per i cluster esistenti. Se elimini un cluster, il rilevamento delle minacce di GKE non mostrerà più il risultato nella dashboard della strategia di sicurezza di GKE.
Passaggi successivi
- Scopri di più sulla dashboard della strategia di sicurezza di GKE
- Individua le minacce nei cluster utilizzando GKE Threat Detection