GKE Threat Detection について


このページでは、GKE の脅威検出について説明します。これにより、GKE のセキュリティ ポスチャー ダッシュボードで対象となる GKE クラスタをスキャンしてアクティブな脅威の有無を確認できます。GKE セキュリティ ポスチャー ダッシュボードでは、対象となる GKE クラスタでさまざまなスキャンと監査機能を有効にできます。また、セキュリティ問題の解決に役立つ推奨事項も表示されます。

仕組み

GKE の脅威検出は、GKE Enterprise ユーザーが利用できる高度な GKE セキュリティ ポスチャー ダッシュボード機能です。GKE クラスタがフリートに登録されると、GKE の脅威検出機能は、Cloud Logging の GKE 監査ログをクラスタとワークロードの脅威に関する事前定義ルールのセットと比較して評価します。脅威が検出されると、GKE セキュリティ ポスチャー ダッシュボードに検出結果が表示され、脅威の説明、潜在的な影響、脅威を緩和するための推奨アクションを確認できます。

フリート全体で登録されているすべての GKE クラスタがアクティブな脅威を検出するために継続的にスキャンされます。検出された脅威は、MITRE ATT&CK® 戦術を使用して分類されます。

GKE の脅威検出は、Security Command Center の Event Threat Detection サービスを利用しています。GKE セキュリティ ポスチャー ダッシュボードでは、GKE に適用されるルールのサブセットのみが評価されます。

含まれている GKE セキュリティ ポスチャー機能

GKE の脅威検出は、Kubernetes のセキュリティ ポスチャー スキャンの高度な階層にバンドルされています。クラスタで GKE の脅威検出を有効にすると、次のスキャン機能も有効になります。

広範なセキュリティ戦略の一環としての使用

GKE の脅威検出は、環境で使用すべきさまざまなセキュリティ オブザーバビリティ プロダクトの一つです。脆弱性スキャンなど、GKE のセキュリティ対策ダッシュボードの他の機能を使用して、クラスタでセキュリティに関するさまざまな問題をモニタリングすることを強くおすすめします。詳細については、GKE ドキュメントのセキュリティ ポスチャー ダッシュボードについてをご覧ください。

また、クラスタのセキュリティを強化するのセキュリティ対策を、クラスタとワークロードに可能な限り多く実装することもおすすめします。

料金

GKE の脅威検出は、GKE Enterprise を通じて追加料金なしで提供されます。

GKE Threat Detection の事前定義ルール

次の表に、GKE 脅威検出で GKE 監査ログを評価する評価ルールを示します。

表示名 API 名 ログソースのタイプ 説明
防御回避: ブレークグラス ワークロードのデプロイの作成プレビュー BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud Audit Logs:
管理アクティビティ ログ
ブレークグラス フラグを使用して Binary Authorization コントロールをオーバーライドすることで、デプロイされるワークロードを検出します。
防御回避: ブレークグラス ワークロードのデプロイの更新プレビュー BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud Audit Logs:
管理アクティビティ ログ
ブレークグラス フラグを使用して Binary Authorization コントロールをオーバーライドすることで、ワークロードが更新されたタイミングを検出します。
検出: 機密性の高い Kubernetes オブジェクトのチェック GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit Logs:
GKE データアクセス ログ

悪意のある行為者が kubectl auth can-i get コマンドを使用して、GKE 内で照会可能な機密オブジェクトを特定しようとしています。このルールは、行為者が次のオブジェクトに対する API アクセスを確認したかどうかを検出します。

権限昇格: Kubernetes RBAC 機密オブジェクトの変更 GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit Logs:
GKE 管理アクティビティ ログ
権限の昇格を目的として、悪質な可能性のある行為者が PUT または PATCH のリクエストを使用して、機密性の高い cluster-admin ロールの ClusterRoleRoleBinding、または ClusterRoleBinding ロールベース アクセス制御(RBAC)オブジェクトを変更しようとしました。
権限昇格: マスター証明書の Kubernetes CSR の作成 GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit Logs:
GKE 管理アクティビティ ログ
悪意のある行為者が Kubernetes マスター証明書署名リクエスト(CSR)を作成し、cluster-admin アクセス権が付与されました。
権限昇格: 機密性の高い Kubernetes バインディングの作成 GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
権限を昇格させるため、悪意のある行為者が cluster-admin ロールに新しい RoleBinding オブジェクトまたは ClusterRoleBinding オブジェクトを作成しようとしました。
権限昇格: 漏洩したブートストラップ認証情報を使用した Kubernetes CSR GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit Logs:
GKE データアクセス ログ
悪意のある行為者が、漏洩したブートストラップ認証情報を使用して kubectl コマンドを実行し、証明書署名リクエスト(CSR)をクエリしました。
権限昇格: Kubernetes 特権コンテナのリリース GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit Logs:
GKE 管理アクティビティ ログ

悪意のある行為者が、特権コンテナまたは権限昇格機能を備えたコンテナを含む Pod を作成しました。

特権コンテナの privileged フィールドは true に設定されています。権限昇格機能を備えたコンテナの allowPrivilegeEscalation フィールドが true に設定されています。詳細については、Kubernetes ドキュメントの SecurityContext v1 core API リファレンスをご覧ください。

認証情報アクセス: Kubernetes Namespace でアクセスされた Secret SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit Logs:
GKE データアクセス ログ
現在の Kubernetes Namespace のサービス アカウントがシークレットまたはサービス アカウント トークンにアクセスするタイミングを検出します。
初期アクセス: インターネットから匿名で作成された GKE リソースプレビュー GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
GKE 管理アクティビティ ログ
実質的に匿名のインターネット ユーザーによるリソース作成イベントを検出します。
初期アクセス: インターネットから匿名で変更された GKE リソースプレビュー GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
GKE 管理アクティビティ ログ
実質的に匿名のインターネット ユーザーによるリソース操作イベントを検出します。

GKE の脅威検出を有効にする方法

GKE の脅威検出を有効にするには、対象となるクラスタを Kubernetes のセキュリティ対策スキャンの高度な階層に登録します。これにより、ワークロード構成の監査やセキュリティに関する公開情報の表示など、Kubernetes セキュリティ対策スキャンの基本階層に含まれるすべての機能も有効になります。

詳細については、GKE の脅威検出を使用してクラスタ内の脅威を検出するをご覧ください。

制限事項

GKE の脅威検出には次の制限が適用されます。

  • GKE Enterprise でのみ使用できます
  • 組織内のプロジェクトでのみ使用できます
  • データ所在地の構成など、Security Command Center のオプションをサポートしていません
  • フリートに登録されているクラスタの結果のみを表示します
  • GKE は、関連する影響を受けるリソースがなくなった脅威の検出結果を最大 180 日間保持します。
  • 既存のクラスタの結果のみが表示されます。クラスタを削除すると、GKE 脅威検出は GKE セキュリティ対策ダッシュボードに検出結果を表示しなくなります。

次のステップ