Halaman ini menjelaskan deteksi ancaman GKE, yang memungkinkan Anda memindai cluster GKE yang memenuhi syarat untuk ancaman aktif di dasbor postur keamanan GKE. Dasbor postur keamanan GKE memungkinkan Anda mengaktifkan berbagai kemampuan pemindaian dan pengauditan di cluster GKE yang memenuhi syarat, serta menampilkan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda menyelesaikan masalah keamanan.
Cara kerjanya
Deteksi ancaman GKE adalah kapabilitas dasbor postur keamanan GKE tingkat lanjut yang tersedia bagi pengguna GKE Enterprise. Ketika cluster GKE Anda terdaftar dalam fleet, deteksi ancaman GKE mengevaluasi log audit GKE Anda di Cloud Logging berdasarkan serangkaian aturan yang telah ditetapkan untuk ancaman cluster dan workload. Jika ancaman ditemukan, Anda akan melihat temuan di dasbor postur keamanan GKE dengan deskripsi ancaman, potensi dampaknya, dan tindakan yang disarankan untuk memitigasi ancaman tersebut.
Semua cluster GKE yang terdaftar di seluruh fleet Anda akan terus dipindai untuk mendeteksi ancaman aktif. Kami mengklasifikasikan ancaman yang terdeteksi menggunakan taktik MITRE ATT&CK®.
Deteksi ancaman GKE didukung oleh layanan Event Threat Detection Security Command Center. Dalam dasbor postur keamanan GKE, hanya subset aturan yang berlaku untuk GKE yang dievaluasi.
Menyertakan fitur postur keamanan GKE
Deteksi ancaman GKE dipaketkan dengan tingkat lanjutan pemindaian postur keamanan Kubernetes. Saat mengaktifkan deteksi ancaman GKE di cluster, Anda juga akan mengaktifkan fitur pemindaian berikut:
- Audit konfigurasi workload
- Tampilan buletin keamanan (Pratinjau)
Penggunaan dalam konteks strategi keamanan yang lebih luas
Deteksi ancaman GKE adalah salah satu dari berbagai produk kemampuan observasi keamanan yang sebaiknya Anda gunakan di lingkungan Anda. Sebaiknya gunakan fitur lain dari dasbor postur keamanan GKE, seperti pemindaian kerentanan, untuk memastikan bahwa Anda memantau cluster untuk menemukan berbagai masalah keamanan. Untuk informasi selengkapnya, lihat Tentang dasbor postur keamanan dalam dokumentasi GKE.
Sebaiknya Anda juga menerapkan langkah-langkah keamanan dari Meningkatkan keamanan cluster sebanyak mungkin dalam cluster dan workload Anda.
Harga
Deteksi ancaman GKE ditawarkan tanpa biaya tambahan melalui GKE Enterprise.
Aturan standar deteksi ancaman GKE
Tabel berikut menjelaskan aturan evaluasi terkait deteksi ancaman GKE yang mengevaluasi log audit GKE Anda:
| Nama tampilan | Nama API | Jenis sumber log | Deskripsi |
|---|---|---|---|
| Defense Evasion: Deployment Workload Break Glass DibuatPratinjau | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud Audit Logs: Log Aktivitas Admin |
Mendeteksi deployment workload yang di-deploy dengan menggunakan flag akses darurat untuk mengganti kontrol Otorisasi Biner. |
| Defense Evasion: Deployment Workload BreakGlas DiperbaruiPratinjau | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud Audit Logs: Log Aktivitas Admin |
Mendeteksi kapan workload diupdate dengan menggunakan flag akses darurat untuk mengganti kontrol Otorisasi Biner. |
| Discovery: Dapat mendapatkan pemeriksaan objek Kubernetes yang sensitif | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud Audit Logs: Log Akses Data GKE |
Pelaku yang berpotensi berbahaya mencoba menentukan objek sensitif di GKE yang dapat mereka buat kuerinya, dengan menggunakan perintah
|
| Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitif | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole atau ClusterRoleBinding dari peran cluster-admin yang sensitif menggunakan permintaan PUT atau PATCH.
|
| Eskalasi Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat master | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Pelaku yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) master Kubernetes, yang memberinya akses cluster-admin
. |
| Eskalasi Hak Istimewa: Pembuatan binding Kubernetes yang sensitif | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Log Audit Cloud: Log audit Aktivitas Admin IAM |
Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya mencoba membuat objek RoleBinding atau ClusterRoleBinding baru untuk peran cluster-admin.
|
| Eskalasi Hak Istimewa: Dapatkan CSR Kubernetes dengan kredensial bootstrap yang disusupi | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit Logs: Log Akses Data GKE |
Pelaku yang berpotensi berbahaya membuat kueri permintaan
penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan
kredensial bootstrap yang disusupi. |
| Eskalasi Akses: Peluncuran container Kubernetes dengan hak istimewa | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Pelaku yang berpotensi berbahaya membuat Pod yang berisi container atau container dengan hak istimewa dengan kemampuan eskalasi hak istimewa. Penampung dengan hak istimewa memiliki kolom |
| Akses Kredensial: Secret Diakses di Kubernetes Namespace | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit Logs: Log Akses Data GKE |
Mendeteksi kapan secret atau token akun layanan diakses oleh akun layanan di namespace Kubernetes saat ini. |
| Akses Awal: Resource GKE Anonim yang Dibuat dari Internet Pratinjau | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Mendeteksi peristiwa pembuatan resource dari pengguna internet yang secara efektif anonim. |
| Akses Awal: Resource GKE Dimodifikasi secara Anonim dari Internet Pratinjau | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Mendeteksi peristiwa manipulasi resource dari pengguna internet yang secara efektif anonim. |
Cara mengaktifkan deteksi ancaman GKE
Untuk mengaktifkan deteksi ancaman GKE, daftarkan cluster yang memenuhi syarat di tingkat lanjutan pemindaian postur keamanan Kubernetes. Hal ini juga akan mengaktifkan semua kemampuan yang disertakan dalam paket dasar pemindaian postur keamanan Kubernetes, seperti pengauditan konfigurasi workload dan penayangan buletin keamanan.
Untuk mempelajari lebih lanjut, baca artikel Menemukan ancaman dalam cluster menggunakan deteksi ancaman GKE.
Batasan
Batasan berikut berlaku untuk deteksi ancaman GKE:
- Hanya tersedia di GKE Enterprise
- Hanya tersedia untuk project di organisasi
- Tidak mendukung opsi Security Command Center seperti mengonfigurasi residensi data
- Hanya menampilkan hasil untuk cluster yang didaftarkan ke fleet
- GKE mempertahankan temuan ancaman yang tidak lagi memiliki resource terkait yang terpengaruh hingga 180 hari
- Hanya menampilkan hasil untuk cluster yang ada. Jika Anda menghapus cluster, deteksi ancaman GKE tidak lagi menunjukkan temuan tersebut di dasbor postur keamanan GKE.