このページでは、GKE の脅威検出について説明します。これにより、GKE のセキュリティ ポスチャー ダッシュボードで対象となる GKE クラスタをスキャンしてアクティブな脅威の有無を確認できます。GKE セキュリティ ポスチャー ダッシュボードでは、対象となる GKE クラスタでさまざまなスキャンと監査機能を有効にできます。また、セキュリティ問題の解決に役立つ推奨事項も表示されます。
仕組み
GKE の脅威検出は、GKE Enterprise ユーザーが利用できる高度な GKE セキュリティ ポスチャー ダッシュボード機能です。GKE クラスタがフリートに登録されると、GKE の脅威検出機能は、Cloud Logging の GKE 監査ログをクラスタとワークロードの脅威に関する事前定義ルールのセットと比較して評価します。脅威が検出されると、GKE セキュリティ ポスチャー ダッシュボードに検出結果が表示され、脅威の説明、潜在的な影響、脅威を緩和するための推奨アクションを確認できます。
フリート全体で登録されているすべての GKE クラスタがアクティブな脅威を検出するために継続的にスキャンされます。検出された脅威は、MITRE ATT&CK® 戦術を使用して分類されます。
GKE の脅威検出は、Security Command Center の Event Threat Detection サービスを利用しています。GKE セキュリティ ポスチャー ダッシュボードでは、GKE に適用されるルールのサブセットのみが評価されます。
含まれている GKE セキュリティ ポスチャー機能
GKE の脅威検出は、Kubernetes のセキュリティ ポスチャー スキャンの高度な階層にバンドルされています。クラスタで GKE の脅威検出を有効にすると、次のスキャン機能も有効になります。
- ワークロード構成の監査
- セキュリティに関する公開情報の表示(プレビュー版)
広範なセキュリティ戦略の一環としての使用
GKE の脅威検出は、環境で使用すべきさまざまなセキュリティ オブザーバビリティ プロダクトの一つです。脆弱性スキャンなど、GKE のセキュリティ対策ダッシュボードの他の機能を使用して、クラスタでセキュリティに関するさまざまな問題をモニタリングすることを強くおすすめします。詳細については、GKE ドキュメントのセキュリティ ポスチャー ダッシュボードについてをご覧ください。
また、クラスタのセキュリティを強化するのセキュリティ対策を、クラスタとワークロードに可能な限り多く実装することもおすすめします。
料金
GKE の脅威検出は、GKE Enterprise を通じて追加料金なしで提供されます。
GKE Threat Detection の事前定義ルール
次の表に、GKE 脅威検出で GKE 監査ログを評価する評価ルールを示します。
| 表示名 | API 名 | ログソースのタイプ | 説明 |
|---|---|---|---|
| 防御回避: ブレークグラス ワークロードのデプロイの作成プレビュー | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud Audit Logs: 管理アクティビティ ログ |
ブレークグラス フラグを使用して Binary Authorization コントロールをオーバーライドすることで、デプロイされるワークロードを検出します。 |
| 防御回避: ブレークグラス ワークロードのデプロイの更新プレビュー | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud Audit Logs: 管理アクティビティ ログ |
ブレークグラス フラグを使用して Binary Authorization コントロールをオーバーライドすることで、ワークロードが更新されたタイミングを検出します。 |
| 検出: 機密性の高い Kubernetes オブジェクトのチェック | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud Audit Logs: GKE データアクセス ログ |
悪意のある行為者が
|
| 権限昇格: Kubernetes RBAC 機密オブジェクトの変更 | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
権限の昇格を目的として、悪質な可能性のある行為者が PUT または PATCH のリクエストを使用して、機密性の高い cluster-admin ロールの ClusterRole、RoleBinding、または ClusterRoleBinding ロールベース アクセス制御(RBAC)オブジェクトを変更しようとしました。 |
| 権限昇格: マスター証明書の Kubernetes CSR の作成 | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
悪意のある行為者が Kubernetes マスター証明書署名リクエスト(CSR)を作成し、cluster-admin アクセス権が付与されました。 |
| 権限昇格: 機密性の高い Kubernetes バインディングの作成 | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
権限を昇格させるため、悪意のある行為者が cluster-admin ロールに新しい RoleBinding オブジェクトまたは ClusterRoleBinding オブジェクトを作成しようとしました。 |
| 権限昇格: 漏洩したブートストラップ認証情報を使用した Kubernetes CSR | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit Logs: GKE データアクセス ログ |
悪意のある行為者が、漏洩したブートストラップ認証情報を使用して kubectl コマンドを実行し、証明書署名リクエスト(CSR)をクエリしました。 |
| 権限昇格: Kubernetes 特権コンテナのリリース | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
悪意のある行為者が、特権コンテナまたは権限昇格機能を備えたコンテナを含む Pod を作成しました。 特権コンテナの |
| 認証情報アクセス: Kubernetes Namespace でアクセスされた Secret | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit Logs: GKE データアクセス ログ |
現在の Kubernetes Namespace のサービス アカウントがシークレットまたはサービス アカウント トークンにアクセスするタイミングを検出します。 |
| 初期アクセス: インターネットから匿名で作成された GKE リソースプレビュー | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
実質的に匿名のインターネット ユーザーによるリソース作成イベントを検出します。 |
| 初期アクセス: インターネットから匿名で変更された GKE リソースプレビュー | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
実質的に匿名のインターネット ユーザーによるリソース操作イベントを検出します。 |
GKE の脅威検出を有効にする方法
GKE の脅威検出を有効にするには、対象となるクラスタを Kubernetes のセキュリティ対策スキャンの高度な階層に登録します。これにより、ワークロード構成の監査やセキュリティに関する公開情報の表示など、Kubernetes セキュリティ対策スキャンの基本階層に含まれるすべての機能も有効になります。
詳細については、GKE の脅威検出を使用してクラスタ内の脅威を検出するをご覧ください。
制限事項
GKE の脅威検出には次の制限が適用されます。
- GKE Enterprise でのみ使用できます
- 組織内のプロジェクトでのみ使用できます
- データ所在地の構成など、Security Command Center のオプションをサポートしていません
- フリートに登録されているクラスタの結果のみを表示します
- GKE は、関連する影響を受けるリソースがなくなった脅威の検出結果を最大 180 日間保持します。
- 既存のクラスタの結果のみが表示されます。クラスタを削除すると、GKE 脅威検出は GKE セキュリティ対策ダッシュボードに検出結果を表示しなくなります。