Acerca de la detección de amenazas de GKE


En esta página, se describe la detección de amenazas de GKE, que te permite analizar tus clústeres de GKE aptos para detectar amenazas activas en el panel de postura de seguridad de GKE. El panel de postura de seguridad de GKE te permite habilitar varias funciones de análisis y auditoría en clústeres de GKE aptos y muestra recomendaciones prácticas para ayudarte a resolver problemas de seguridad.

Cómo funciona

La detección de amenazas de GKE es una función avanzada del panel de postura de seguridad de GKE que está disponible para los usuarios de GKE Enterprise. Cuando tus clústeres de GKE se registran en una flota, la detección de amenazas de GKE evalúa tus registros de auditoría de GKE en Cloud Logging con un conjunto de reglas predefinidas para las amenazas de clústeres y cargas de trabajo. Si se encuentra una amenaza, verás un resultado en el panel de postura de seguridad de GKE con una descripción de la amenaza, el impacto potencial y las acciones recomendadas para mitigarla.

Todos los clústeres de GKE inscritos en tu flota se analizan de forma continua para detectar amenazas activas. Clasificamos las amenazas detectadas mediante tácticas de MITRE ATT&CK®.

La detección de amenazas de GKE cuenta con la tecnología del servicio Event Threat Detection de Security Command Center. En el panel de postura de seguridad de GKE, solo se evalúa el subconjunto de reglas que se aplican a GKE.

Funciones de postura de seguridad de GKE incluidas

La detección de amenazas de GKE se incluye en el nivel avanzado del análisis de posturas de seguridad de Kubernetes. Cuando activas la detección de amenazas de GKE en un clúster, también activas las siguientes funciones de análisis:

Uso como parte de una estrategia de seguridad amplia

La detección de amenazas de GKE es uno de los diversos productos de observabilidad de seguridad que debes usar en tu entorno. Te recomendamos que uses otras funciones del panel de postura de seguridad de GKE, como el análisis de vulnerabilidades, para asegurarte de supervisar los clústeres en busca de una variedad de problemas de seguridad. Para obtener más información, consulta Acerca del panel de postura de seguridad en la documentación de GKE.

También te recomendamos que implementes tantas medidas de seguridad como Endurece la seguridad del clúster como puedas en tus clústeres y cargas de trabajo.

Precios

La detección de amenazas de GKE se ofrece sin costo adicional a través de GKE Enterprise.

Reglas predefinidas de detección de amenazas de GKE

En la siguiente tabla, se describen las reglas de evaluación con las que la detección de amenazas de GKE evalúa tus registros de auditoría de GKE:

Nombre visible Nombre de la API Tipos de fuente del archivo de registro Descripción
Defense Evasion: Se creó la implementación de cargas de trabajo de emergenciaVista previa BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Registros de auditoría de Cloud:
Registros de actividad del administrador
Detecta la implementación de cargas de trabajo que se implementan a través de la marca de emergencia para anular los controles de Autorización Binaria.
Defense Evasion: Se actualizó la implementación de cargas de trabajo de emergenciaVista previa BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Registros de auditoría de Cloud:
Registros de actividad del administrador
Detecta cuando las cargas de trabajo se actualizan con la marca de emergencia para anular los controles de Autorización Binaria.
Descubrimiento: Puede obtener la comprobación de objetos Kubernetes sensibles GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Registros de auditoría de Cloud:
Registros de acceso a los datos de GKE

Una persona potencialmente maliciosa intentó determinar qué objetos sensibles en GKE puede consultar mediante el comando kubectl auth can-i get. En particular, la regla detecta si el actor verificó el acceso a la API en los siguientes objetos:

Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Registros de auditoría de Cloud:
Registro de actividad del administrador de GKE
Para derivar privilegios, un agente potencialmente malicioso intentó modificar un objeto de control de acceso basado en roles ClusterRole, RoleBinding o ClusterRoleBinding (RBAC) del rol sensible cluster-admin a través de una solicitud PUT o PATCH.
Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Registros de auditoría de Cloud:
Registro de actividad del administrador de GKE
Un actor potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, que le da acceso cluster-admin .
Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM
Para derivar el privilegio, una persona potencialmente maliciosa intentó crear un objeto RoleBinding o ClusterRoleBinding nuevo para el rol cluster-admin.
Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidas GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Registros de auditoría de Cloud:
Registros de acceso a los datos de GKE
Un agente potencialmente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl, usando credenciales de arranque comprometidas.
Elevación de privilegios: Lanzamiento de un contenedor Kubernetes privilegiado GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Registros de auditoría de Cloud:
Registro de actividad del administrador de GKE

Un agente potencialmente malicioso creó un Pod que tiene contenedores con privilegios o contenedores con capacidades de elevación de privilegios.

Un contenedor con privilegios tiene el campo privileged configurado como true. Un contenedor con capacidades de elevación de privilegios tiene el campo allowPrivilegeEscalation configurado como true. Para obtener más información, consulta la referencia de la API principal de SecurityContext v1 en la documentación de Kubernetes.

Acceso a credenciales: Secrets a los que se accedió en el espacio de nombres de Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Registros de auditoría de Cloud:
Registros de acceso a los datos de GKE
Detecta cuándo una cuenta de servicio accede a los secretos o a los tokens de la cuenta de servicio en el espacio de nombres actual de Kubernetes.
Acceso inicial: Recurso de GKE anónimo creado desde Internet Vista previa GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Registros de auditoría de Cloud:
Registro de actividad del administrador de GKE
Detecta eventos de creación de recursos de usuarios de Internet realmente anónimos.
Acceso inicial: Recurso de GKE modificado de forma anónima desde Internet Vista previa GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Registros de auditoría de Cloud:
Registro de actividad del administrador de GKE
Detecta eventos de manipulación de recursos de usuarios de Internet eficazmente anónimos.

Cómo habilitar la detección de amenazas de GKE

Para habilitar la detección de amenazas de GKE, debes inscribir un clúster apto en el nivel avanzado del análisis de posturas de seguridad de Kubernetes. Esto también activa todas las capacidades incluidas en el nivel básico de análisis de posturas de seguridad de Kubernetes, como la auditoría de configuración de las cargas de trabajo y el boletín de seguridad.

Para obtener más información, consulta Encuentra amenazas en los clústeres mediante la detección de amenazas de GKE.

Limitaciones

Las siguientes limitaciones se aplican a la detección de amenazas de GKE:

  • Solo disponible en GKE Enterprise
  • Solo disponible para proyectos en organizaciones
  • No admite opciones de Security Command Center, como la configuración de residencia de datos
  • Solo muestra resultados para clústeres que están registrados en una flota
  • GKE conserva los resultados de las amenazas que ya no tienen ningún recurso afectado asociado durante un máximo de 180 días.
  • Solo muestra los resultados de los clústeres existentes. Si borras un clúster, la detección de amenazas de GKE ya no muestra el resultado en el panel de postura de seguridad de GKE.

¿Qué sigue?