Questa pagina descrive il rilevamento delle minacce di GKE, che ti consente di analizzare i cluster GKE idonei per rilevare eventuali minacce attive nella dashboard della strategia di sicurezza di GKE. La dashboard della strategia di sicurezza di GKE consente di abilitare varie funzionalità di analisi e controllo nei cluster GKE idonei e mostra suggerimenti attuabili per aiutarti a risolvere i problemi di sicurezza.
Come funziona
Il rilevamento delle minacce di GKE è una funzionalità avanzata della dashboard per la strategia di sicurezza di GKE disponibile per gli utenti di GKE Enterprise. Se i tuoi cluster GKE sono registrati in un parco risorse, il rilevamento delle minacce GKE valuta gli audit log di GKE in Cloud Logging in base a una serie di regole predefinite per le minacce ai cluster e ai carichi di lavoro. Se viene rilevata una minaccia, nella dashboard della strategia di sicurezza di GKE viene visualizzato un risultato con una descrizione della minaccia, il potenziale impatto e le azioni consigliate per mitigare la minaccia.
Tutti i cluster GKE registrati nel parco risorse vengono analizzati continuamente per rilevare eventuali minacce attive. classifichiamo le minacce rilevate utilizzando le tattiche MITRE ATT&CK®.
Il rilevamento delle minacce di GKE si basa sul servizio Event Threat Detection di Security Command Center. Nella dashboard della strategia di sicurezza di GKE viene valutato solo il sottoinsieme di regole che si applicano a GKE.
Funzionalità incluse della strategia di sicurezza di GKE
Il rilevamento delle minacce di GKE è integrato nel livello avanzato di analisi della strategia di sicurezza di Kubernetes. Quando attivi il rilevamento delle minacce di GKE in un cluster, vengono attivate anche le seguenti funzionalità di analisi:
- Controllo della configurazione dei carichi di lavoro
- Visualizzazione del bollettino sulla sicurezza (anteprima)
Utilizzo nell’ambito di una strategia di sicurezza ampia
Il rilevamento delle minacce di GKE è uno dei vari prodotti di osservabilità della sicurezza da utilizzare nel tuo ambiente. Ti consigliamo vivamente di utilizzare altre funzionalità della dashboard della strategia di sicurezza di GKE, come l'analisi delle vulnerabilità, per assicurarti di monitorare i cluster per una serie di problemi di sicurezza. Per maggiori informazioni, consulta Informazioni sulla dashboard della postura di sicurezza nella documentazione di GKE.
Ti consigliamo inoltre di implementare il maggior numero possibile di misure di sicurezza nei cluster e nei carichi di lavoro di Rafforzare la sicurezza del cluster.
Prezzi
Il rilevamento delle minacce di GKE è gratuito tramite GKE Enterprise.
Regole predefinite per il rilevamento delle minacce di GKE
La tabella seguente descrive le regole di valutazione in base alle quali il rilevamento delle minacce di GKE valuta gli audit log di GKE:
| Nome visualizzato | Nome API | Tipi di origini log | Descrizione |
|---|---|---|---|
| Defense Evasion: deployment del carico di lavoro deployment di emergenza creatoanteprima | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Audit log di Cloud: Log delle attività di amministrazione |
Rileva il deployment dei carichi di lavoro di cui è stato eseguito il deployment utilizzando il flag di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. |
| Defense Evasion: deployment del carico di lavoro per deployment di emergenza aggiornatoanteprima | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Audit log di Cloud: Log delle attività di amministrazione |
Rileva quando i carichi di lavoro vengono aggiornati utilizzando il flag di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. |
| Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Audit log Cloud: Log degli accessi ai dati di GKE |
Un utente potenzialmente malintenzionato ha tentato di determinare per quali oggetti sensibili all'interno di GKE può eseguire query utilizzando il comando
|
| Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Per aumentare i privilegi, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto ClusterRole, RoleBinding o ClusterRoleBinding di controllo dell'accesso basato sui ruoli (RBAC) del ruolo sensibile cluster-admin utilizzando una richiesta PUT o PATCH.
|
| Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Un utente potenzialmente dannoso ha creato una richiesta di firma del certificato (CSR) master Kubernetes, che gli consente di accedere a cluster-admin
. |
| Escalation dei privilegi: creazione di associazioni Kubernetes sensibili | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Per aumentare i privilegi, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo cluster-admin.
|
| Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Audit log Cloud: Log degli accessi ai dati di GKE |
Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando kubectl, utilizzando credenziali di bootstrap compromesse. |
| Escalation dei privilegi: avvia un container Kubernetes con privilegi | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Un utente potenzialmente dannoso ha creato un pod che contiene container con privilegi o container con funzionalità di escalation dei privilegi. Il campo |
| Accesso con credenziali: secret a cui è stato eseguito l'accesso nello spazio dei nomi Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Audit log Cloud: Log degli accessi ai dati di GKE |
Rileva l'accesso ai secret o ai token degli account di servizio da parte di un account di servizio nell'attuale spazio dei nomi Kubernetes. |
| Accesso iniziale: risorsa GKE anonima creata da internet Anteprima | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Rileva gli eventi di creazione di risorse da parte di utenti internet effettivamente anonimi. |
| Accesso iniziale: risorsa GKE modificata in modo anonimo da internet Anteprima | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Rileva gli eventi di manipolazione delle risorse da parte di utenti internet effettivamente anonimi. |
Come abilitare il rilevamento delle minacce di GKE
Per abilitare il rilevamento delle minacce di GKE, registra un cluster idoneo nel livello avanzato dell'analisi della strategia di sicurezza per Kubernetes. Vengono inoltre attivate tutte le funzionalità incluse nel livello di base della scansione della postura di sicurezza di Kubernetes, come il controllo della configurazione dei carichi di lavoro e la visualizzazione del bollettino sulla sicurezza.
Per saperne di più, consulta Individuare le minacce nei cluster utilizzando il rilevamento delle minacce di GKE.
Limitazioni
Le seguenti limitazioni si applicano al rilevamento delle minacce di GKE:
- Disponibile solo in GKE Enterprise
- Disponibile solo per i progetti nelle organizzazioni
- Non supporta le opzioni di Security Command Center come la configurazione della residenza dei dati
- Mostra solo i risultati per i cluster registrati in un parco risorse
- Per un massimo di 180 giorni, GKE conserva i risultati delle minacce che non hanno più alcuna risorsa interessata
- Mostra solo i risultati per i cluster esistenti. Se elimini un cluster, il rilevamento delle minacce di GKE non mostra più il risultato nella dashboard della postura di sicurezza di GKE.
Passaggi successivi
- Scopri di più sulla dashboard della strategia di sicurezza di GKE
- Individua le minacce nei cluster utilizzando il rilevamento delle minacce di GKE