Auf dieser Seite erhalten Sie einen Überblick über das Sicherheitsstatus-Dashboard in der Google Cloud Console. Sie erhalten dort zielgerichtete, umsetzbare Empfehlungen zur Verbesserung des Sicherheitsstatus. Weitere Informationen zum Dashboard finden Sie auf der Seite „Sicherheitsstatus“ in der Google Cloud Console.
Wann sollte das Sicherheitsstatus-Dashboard verwendet werden?
Sie sollten das Sicherheitsstatus-Dashboard verwenden, wenn Sie ein Cluster-Administrator oder ein Sicherheitsadministrator sind, der die Erkennung und Meldung allgemeiner Sicherheitsprobleme über mehrere Cluster und Arbeitslasten hinweg automatisieren möchte, und zwar mit minimalen Eingriffen und Unterbrechungen bei Ihren laufenden Anwendungen. Das Sicherheitsstatus-Dashboard kann in Produkte wie Cloud Logging, Policy Controller und Binärautorisierung integriert werden, um die Sichtbarkeit in Ihrem Sicherheitsstatus zu verbessern.
Wenn Sie VPC Service Controls verwenden, können Sie auch Ihre Perimeter aktualisieren, um das Sicherheitsstatus-Dashboard zu schützen. Fügen Sie dazu containersecurity.googleapis.com zur Liste der Dienste hinzu.
Das Sicherheitsstatus-Dashboard ändert nichts an unseren Verantwortlichkeiten oder Ihren Verantwortlichkeiten gemäß dem Modell der geteilten Verantwortung. Sie sind weiterhin für den Schutz Ihrer Arbeitslasten verantwortlich.
Nutzung als Teil einer umfassenden Sicherheitsstrategie
Das Sicherheitsstatus-Dashboard bietet Einblicke in den Sicherheitsstatus Ihrer Arbeitslasten in der Laufzeitphase des Softwarebereitstellungszyklus. Um eine umfassende Abdeckung Ihrer Anwendungen während des gesamten Lebenszyklus von der Versionsverwaltung bis zur Wartung zu erreichen, empfehlen wir die Verwendung des Dashboards mit anderen Sicherheitstools.
GKE bietet die folgenden Tools, um die Sicherheit und Compliance in der Google Cloud Console zu überwachen:
- Das Sicherheitsstatus-Dashboard, das in der GKE-Standardstufe und der GKE Enterprise-Stufe verfügbar ist.
- Das GKE-Compliance-Dashboard, das auf der GKE Enterprise-Stufe verfügbar ist. Weitere Informationen finden Sie unter GKE-Compliance-Dashboard.
Weitere Informationen zu anderen verfügbaren Tools und Best Practices zum Schutz Ihrer Anwendungen von Anfang bis Ende finden Sie unter Softwarelieferkette schützen.
Außerdem empfehlen wir dringend, so viele Empfehlungen wie möglich aus Clustersicherheit erhöhen zu implementieren.
Funktionsweise des Sicherheitsstatus-Dashboards
Um das Sicherheitsstatus-Dashboard zu verwenden, aktivieren Sie die Container Security API in Ihrem Projekt. Das Dashboard bietet Informationen aus Funktionen, die in GKE eingebunden sind, und aus bestimmten Google Cloud-Sicherheitsprodukten, die in Ihrem Projekt ausgeführt werden.
Clusterspezifische Features aktivieren
Die GKE-spezifischen Funktionen im Sicherheitsstatus-Dashboard sind so kategorisiert:
- Kubernetes-Sicherheitsstatus: Der Sicherheitsstatus von Kubernetes-Objekten und -Ressourcen im Cluster, z. B. Pod-Spezifikationen. Weitere Informationen finden Sie unter Informationen zum Scannen des Sicherheitsstatus in Kubernetes.
- Scannen auf Sicherheitslücken in Arbeitslasten: Der Sicherheitsstatus des Container-Betriebssystems und der Anwendungssprachpakete. Weitere Informationen finden Sie unter Scannen von Arbeitslasten auf Sicherheitslücken.
Wenn Sie GKE Enterprise verwenden, sind einige dieser Funktionen in neuen Clustern standardmäßig aktiviert. In der folgenden Tabelle werden die clusterspezifischen Features beschrieben:
| Featurename | Verfügbarkeit | Enthaltene Funktionen |
|---|---|---|
| Kubernetes-Sicherheitsstatus – Standardstufe |
Erfordert GKE-Version 1.27 oder höher.
|
|
| Kubernetes-Sicherheitsstatus – erweiterte Stufe (Vorschau) | In keiner Version und keinem Betriebsmodus automatisch aktiviert. Erfordert GKE Enterprise Edition. | |
| Scannen auf Sicherheitslücken in Arbeitslasten – Standard-Stufe |
|
|
| Scannen von Arbeitslasten auf Sicherheitslücken – erweiterte Informationen zu Sicherheitslücken |
|
Sie können diese Features für eigenständige GKE-Cluster oder Flottenmitgliedscluster aktivieren. Im Sicherheitsstatus-Dashboard können Sie alle Cluster gleichzeitig beobachten, einschließlich aller Mitglieder der Flotte in Ihrem Flotten-Host-Projekt.
Produktübergreifende Funktionen
Im Sicherheitsstatus-Dashboard können Sie Informationen aus anderen Google Cloud-Sicherheitsangeboten anzeigen, die in Ihrem Projekt ausgeführt werden. Dies bietet einen Überblick über den Sicherheitsstatus einer einzelnen Flotte oder der Cluster in einem bestimmten Projekt.
| Name | Beschreibung | Aktivierungsmethode |
|---|---|---|
| Bedenken hinsichtlich der Lieferkette – Binärautorisierung (Vorschau) | Sucht nach folgenden Problemen beim Ausführen von Container-Images:
Wenn Sie Images in Artifact Registry-Repositories verwenden, die zu einem anderen Projekt gehören, lassen Sie die Binärautorisierung diese Images im Artefaktprojekt lesen, indem Sie dem Dienst-Agent die entsprechende IAM-Rolle zuweisen. Eine Anleitung finden Sie unter Rollen mit der gcloud CLI gewähren. |
Aktivieren Sie die Binary Authorization API in Ihrem Projekt. Eine Anleitung finden Sie unter Binärautorisierungsdienst aktivieren. |
Einbindung in Security Command Center
Wenn Sie in Ihrer Organisation oder Ihrem Projekt die Standard- oder Premium-Stufe von Security Command Center verwenden, werden die Ergebnisse des Sicherheitsstatus-Dashboards in Security Command Center angezeigt. Weitere Informationen zu den angezeigten Ergebnistypen von Security Command Center finden Sie unter Sicherheitsquellen.
Vorteile des Sicherheitsstatus-Dashboards
Das Sicherheitsstatus-Dashboard ist eine grundlegende Sicherheitsmaßnahme, die Sie für jeden zulässigen GKE-Cluster aktivieren können. Google Cloud empfiehlt aus folgenden Gründen, das Sicherheitsstatus-Dashboard für alle Cluster zu verwenden:
- Minimale Störungen: Die Funktionen beeinträchtigen oder stören keine laufenden Arbeitslasten.
- Umsetzbare Empfehlungen: Wenn verfügbar, zeigt das Sicherheitsstatus-Dashboard Maßnahmen zur Behebung erkannter Probleme auf. Zu diesen Maßnahmen gehören Befehle, die Sie ausführen können, Beispiele für Konfigurationsänderungen, die Sie vornehmen sollten, und Ratschläge zur Entschärfung von Schwachstellen.
- Visualisierung: Das Sicherheitsstatus-Dashboard bietet eine allgemeine Visualisierung der Aspekt, die sich auf Cluster in Ihrem Projekt auswirken. Es enthält Diagramme und Grafiken, die Ihren Fortschritt und die potenziellen Auswirkungen der einzelnen Aspekte zeigen.
- Bewertete Ergebnisse: GKE weist den erkannten Problemen eine Schweregradbewertung zu, die auf den Kenntnissen unserer Sicherheitsteams und auf Branchenstandards basiert.
- Prüfbare Ereignislogs: GKE fügt alle erkannten Probleme in Logging hinzu, um die Berichterstellung und Beobachtbarkeit zu verbessern.
- Flottenbeobachtbarkeit: Wenn Sie GKE-Cluster bei einer Flotte registriert haben, können Sie im Dashboard alle Flottenmitgliedscluster Ihres Projekts und eigenständige GKE-Cluster im Projekt beobachten.
Preise für das GKE-Sicherheitsstatus-Dashboard
Für die Funktionen des Sicherheitsstatus-Dashboards gelten die folgenden Preise in Bezug auf eigenständige GKE-Cluster und Flotten-GKE-Cluster:
| Preise für das GKE-Sicherheitsstatus-Dashboard | |
|---|---|
| Prüfung der Arbeitslastkonfiguration | Keine zusätzlichen Kosten |
| Anzeigen von Sicherheitsbulletins | Keine zusätzlichen Kosten |
| GKE-Bedrohungserkennung (Vorschau) | In den Kosten von GKE Enterprise enthalten. Weitere Informationen finden Sie auf der Seite mit den GKE-Preisen unter Enterprise Edition. |
| Scannen auf Sicherheitslücken im Container-Betriebssystem | Keine zusätzlichen Kosten |
| Advanced Vulnerability Insights | Verwendet die Preise der Artefaktanalyse. Weitere Informationen finden Sie auf der Seite mit den Preisen für Artifact Analysis unter Advanced Vulnerability Insights. |
| Lieferkette – Binärautorisierung (Vorschau) | Keine zusätzlichen Kosten für Dashboard für den Sicherheitsstatus-Angelegenheiten. Die Verwendung anderer Binärautorisierungsfunktionen wie die Erzwingung ist jedoch von den Dashboard-Funktionen getrennt und unterliegt den Binärautorisierung für GKE-Preisen. |
Für Einträge, die zu Cloud Logging hinzugefügt werden, gelten die Cloud Logging-Preise. Je nach Umfang der Umgebung und der Anzahl der erkannten Probleme kann es sein, dass Sie die kostenlosen Kontingente für Aufnahme und Speicherung für Logging nicht überschreiten. Weitere Informationen finden sich unter Logging-Preise.
Flottensicherheitsstatus verwalten
Wenn Sie Flotten mit Google Kubernetes Engine (GKE) Enterprise verwenden, können Sie die Funktionen des GKE-Sicherheitsstatus auf Flottenebene mit der gcloud CLI konfigurieren. GKE-Cluster, die Sie bei der Clustererstellung als Flottenmitglieder registrieren, übernehmen die Konfiguration des Sicherheitsstatus automatisch. Cluster, die bereits Mitglieder der Flotte waren, bevor Sie die Konfiguration des Sicherheitsstatus geändert haben, übernehmen die neue Konfiguration nicht. Diese übernommene Konfiguration überschreibt die Standardeinstellungen, die GKE auf neue Cluster anwendet.
Beim Aktivieren von GKE Enterprise werden die Ergebnisse der Complianceprüfung im Sicherheitsstatus-Dashboard angezeigt. Die Complianceprüfung vergleicht Ihre Cluster und Arbeitslasten mit Best Practices der Branche wie den Pod-Sicherheitsstandards. Weitere Informationen finden Sie unter Policy Controller-Bundles.
Informationen zum Ändern der Sicherheitsstatus der Flottenebene finden Sie unter Features des GKE-Sicherheitsstatus auf Flottenebene konfigurieren.
Über die Seite „Sicherheitsstatus“
Die Seite „Sicherheitsstatus“ in der Google Cloud Console hat die folgenden Tabs:
- Dashboard: Eine allgemeine Darstellung der Ergebnisse Ihrer Scans. Umfasst Diagramme und funktionsspezifische Informationen.
- Bedenken: Eine detaillierte filterbare Ansicht aller von GKE über Ihre Cluster und Arbeitslasten erkannten Bedenken. Sie können für einzelne Probleme Details und Optionen zur Risikominimierung aufrufen.
- Einstellungen: Verwalten Sie die Konfiguration des Sicherheitsstatus für einzelne Cluster oder für Flotten.
Dashboard
Der Tab Dashboard bietet eine visuelle Darstellung der Ergebnisse verschiedener GKE-Sicherheitsscans und Informationen aus anderen Google Cloud-Sicherheitsprodukten, die in Ihrem Projekt aktiviert sind. Weitere Informationen zu den verfügbaren Scanfunktionen und anderen unterstützten Sicherheitsprodukten finden Sie in diesem Dokument unter Funktionsweise des Dashboards für die Sicherheitslage.
Wenn Sie Flotten mit GKE Enterprise verwenden, zeigt das Dashboard auch alle erkannten Bedenken für Cluster an, einschließlich Clustern in der Flotte des Projekts und der eigenständigen Cluster. Um das Dashboard umzuschalten, sodass der Status einer bestimmten Flotte angezeigt wird, wählen Sie das Hostprojekt für diese Flotte aus dem Drop-down-Menü der Projektauswahl in der Google Cloud Console aus. Wenn das ausgewählte Projekt die Container Security API aktiviert hat, zeigt das Dashboard Ergebnisse für alle Mitgliedscluster der Flotte dieses Projekts an.
Bedenken
Auf dem Tab Bedenken werden aktive Sicherheitsbedenken aufgeführt, die GKE beim Scannen Ihrer Cluster und Arbeitslasten erkennt. Auf dieser Seite werden nur Bedenken hinsichtlich der in der Clusterspezifische Featureaktivierung in diesem Dokument. Wenn Sie Flotten mit GKE Enterprise verwenden, können Sie Probleme bei Flottenmitgliedsclustern und bei eigenständigen GKE-Clustern sehen, die dem ausgewählten Projekt gehören.
Schweregradbewertungen
Gegebenenfalls weist GKE den erkannten Problemen eine Schweregradbewertung zu. Sie können diese Bewertungen verwenden, um zu bestimmen, wie schnell Sie das Ergebnis bearbeiten müssen. GKE verwendet die folgenden Schweregradbewertungen, die auf der Bewertungsskala des Allgemeines Bewertungssystem für Schwachstellen (CVSS Qualitative Severity Rating Scale) basieren:
- Kritisch: Handeln Sie sofort. Ein Angriff führt zu einem Vorfall.
- Hoch: Handeln Sie umgehend. Ein Angriff führt höchstwahrscheinlich zu einem Vorfall.
- Mittel: Handeln Sie bald. Ein Angriff führt wahrscheinlich zu einem Vorfall.
- Niedrig: Handeln Sie, wenn es Ihnen passt. Ein Angriff könnte zu einem Vorfall führen.
Die genaue Geschwindigkeit Ihrer Reaktion auf Bedenken hängt vom Bedrohungsmodell und der Risikotoleranz Ihres Unternehmens ab. Die Schweregrade sind eine qualitative Richtlinie, die Sie bei der Entwicklung eines gründlichen Reaktionsplans für Vorfälle unterstützt.
Tabelle mit Bedenken
In der Tabelle Bedenken werden alle von GKE erkannten Probleme angezeigt. Sie können die Standardansicht ändern, um Ergebnisse nach Art des Problems, Kubernetes-Namespace oder nach betroffenen Arbeitslasten zu gruppieren. Im Filterbereich können Sie die Ergebnisse nach Schweregradbewertung, Typ des Problems, Google Cloud-Standort und Clustername filtern. Wenn Sie die Details zu einem bestimmten Problem aufrufen möchten, klicken Sie auf den Namen des jeweiligen Problems.
Deatilseite „Bedenken“
Wenn Sie auf ein Problem in der Tabelle Bedenken klicken, wird der Bereich mit den Problemdetails geöffnet. Dieser Bereich enthält eine detaillierte Beschreibung des Problems und relevante Informationen wie betroffene Betriebssystemversionen für Sicherheitslücken, CVE-Links oder Risiken, die mit einem bestimmten Konfigurationsproblem verbunden sind. Im Detailbereich wird gegebenenfalls eine empfohlene Aktion angezeigt. Eine Arbeitslast mit dem Wert runAsNonRoot: false gibt beispielsweise die empfohlene Änderung an der Pod-Spezifikation zurück, um das Problem zu minimieren.
Im Tab Betroffene Arbeitslasten im Detailbereich des Problemfalls wird eine Liste der Arbeitslasten in Ihren registrierten Clustern angezeigt, die von diesem Problemfall betroffen sind.
Einstellungen
Auf dem Tab Einstellungen können Sie clusterspezifische Sicherheitsstatus, wie Scannen von Sicherheitslücken oder Prüfung der Arbeitslastkonfiguration, auf geeigneten GKE-Clustern in Ihrem Projekt oder Ihrer Flotte konfigurieren. Sie können den Aktivierungsstatus bestimmter Features für jeden Cluster aufrufen und diese Konfiguration für geeignete Cluster ändern. Wenn Sie Flotten mit GKE Enterprise verwenden, können Sie auch sehen, ob Ihre Flottenmitgliedscluster die gleichen Einstellungen wie die Konfiguration auf Flottenebene haben.
Beispielworkflow
Dieser Abschnitt ist ein Beispiel für den Arbeitsablauf eines Cluster-Administrators, der die Arbeitslasten in einem Cluster auf Probleme mit der Sicherheitskonfiguration (z. B. Root-Rechte) überprüfen möchte.
- Registrieren Sie den Cluster mithilfe der Google Cloud Console für den Scan des Kubernetes-Sicherheitsstatus.
- Prüfen Sie das Sicherheitsstatus-Dashboard auf Scanergebnisse. Es kann bis zu 30 Minuten dauern, bis diese angezeigt werden.
- Klicken Sie auf den Tab Bedenken, um die detaillierten Ergebnisse zu öffnen.
- Wählen Sie den Filtertyp Konfiguration aus.
- Klicken Sie in der Tabelle auf einen Problemfall.
- Beachten Sie im Detailbereich für das Problem die empfohlene Konfigurationsänderung und aktualisieren Sie die Pod-Spezifikation mit der Empfehlung.
- Wenden Sie die aktualisierte Pod-Spezifikation auf den Cluster an.
Wenn der Scan das nächste Mal ausgeführt wird, zeigt das Sicherheitsstatus-Dashboard nicht mehr das Problem an, das Sie behoben haben.
Nächste Schritte
- Weitere Informationen zum Prüfen der Arbeitslastkonfiguration.
- Hier erfahren Sie, wie Sie das automatische Scannen Ihrer Arbeitslasten auf Konfigurationsprobleme aktivieren.
- Hier erfahren Sie, wie Sie das automatische Scannen Ihrer Container-Images auf bekannte Sicherheitslücken aktivieren.
- Informationen zum Aktivieren der GKE-Bedrohungserkennung (Vorschau)