Acerca do painel de controlo da postura de segurança

---

Esta página fornece uma vista geral do painel de controlo da postura de segurança na Google Cloud consola, que lhe oferece recomendações práticas e fundamentadas para melhorar a sua postura de segurança. Para explorar o painel de controlo por si, aceda à página Estado de segurança na Google Cloud consola.

Quando usar o painel de controlo da postura de segurança

Deve usar o painel de controlo da postura de segurança se for um administrador de cluster ou um administrador de segurança que queira automatizar a deteção e a criação de relatórios de preocupações de segurança comuns em vários clusters e cargas de trabalho, com intrusão e interrupção mínimas das suas aplicações em execução. O painel de controlo da postura de segurança integra-se com produtos como o Cloud Logging e o Policy Controller para melhorar a visibilidade da sua postura de segurança.

Se usar os VPC Service Controls, também pode atualizar os seus perímetros para proteger o painel de controlo da postura de segurança adicionando containersecurity.googleapis.com à lista de serviços.

O painel de controlo da postura de segurança não altera nenhuma das nossas responsabilidades nem as suas responsabilidades ao abrigo do modelo de responsabilidade partilhada. Continua a ser responsável pela proteção das suas cargas de trabalho.

Utilização como parte de uma estratégia de segurança abrangente

O painel de controlo da postura de segurança fornece estatísticas sobre a postura de segurança da sua carga de trabalho na fase de tempo de execução do ciclo de vida de entrega de software. Para ter uma cobertura abrangente das suas aplicações ao longo do ciclo de vida, desde o controlo de origem à manutenção, recomendamos que use o painel de controlo com outras ferramentas de segurança.

O GKE oferece o painel de controlo de postura de segurança para monitorizar a segurança na consola do Google Cloud .

Para mais detalhes sobre outras ferramentas disponíveis e práticas recomendadas para salvaguardar as suas aplicações de forma integral, consulte o artigo Proteja a sua cadeia de abastecimento de software.

Também recomendamos vivamente que implemente o maior número possível de recomendações de Reforce a segurança do cluster.

Como funciona o painel de controlo da postura de segurança

Para usar o painel de controlo da postura de segurança, ative a API Container Security no seu projeto. O painel de controlo mostra-lhe estatísticas de capacidades incorporadas no GKE e de determinados produtos de Google Cloud segurança em execução no seu projeto.

Ativação de funcionalidades específicas do cluster

As capacidades específicas do GKE no painel de controlo da postura de segurança estão categorizadas da seguinte forma:

• Postura de segurança do Kubernetes: a postura de segurança dos objetos e dos recursos do Kubernetes no cluster, como as especificações de pods. Para mais detalhes, consulte o artigo Acerca da análise da postura de segurança do Kubernetes.

• Análise de vulnerabilidades da carga de trabalho: a postura de segurança do sistema operativo do contentor e dos pacotes de idiomas da aplicação. Para obter detalhes, consulte o artigo Acerca da análise de vulnerabilidades da carga de trabalho.

A tabela seguinte descreve as funcionalidades específicas do cluster:

Nome da funcionalidade	Disponibilidade	Capacidades incluídas
Postura de segurança do Kubernetes – Nível padrão	Requer a versão 1.27 ou posterior do GKE. Ativado por predefinição em todos os novos clusters.	Análise automática de cargas de trabalho para problemas de configuração Apresentação de boletins de segurança acionáveis
Análise de vulnerabilidades de cargas de trabalho – Nível padrão	Desativado por predefinição em todos os novos clusters.	Análise automática de imagens de contentores para vulnerabilidades acionáveis
Análise de vulnerabilidades de cargas de trabalho: Advanced Vulnerability Insights	Desativado por predefinição em todos os novos clusters.	Análise automática de imagens de contentores para vulnerabilidades acionáveis Análise automática de pacotes de idiomas de aplicações para verificar a existência de vulnerabilidades

Pode ativar estas funcionalidades para clusters do GKE autónomos ou clusters membros da frota. O painel de controlo da postura de segurança permite-lhe observar todos os seus clusters simultaneamente, incluindo todos os membros da frota no projeto anfitrião da frota.

Integração com o Security Command Center

Se ativar o Security Command Center na sua organização ou projeto, vê as conclusões do painel de controlo da postura de segurança no Security Command Center. Para mais detalhes sobre as conclusões do Security Command Center que aparecem no painel de controlo da postura de segurança, consulte Fontes de segurança.

Além disso, se ativar o nível de serviço Premium ou Enterprise do Security Command Center na sua organização ou projeto, o painel de controlo de postura de segurança mostra os seguintes painéis adicionais:

• Principais ameaças: resume as principais ameaças que afetam as suas cargas de trabalho do GKE, agrupadas por gravidade e categoria.
• Principais vulnerabilidades de software (pré-visualização): apresenta as principais CVEs associadas às conclusões do Security Command Center para as suas cargas de trabalho do GKE.

Para ativar o nível Premium do Security Command Center no seu projeto, faça o seguinte:

1. Na Google Cloud consola, aceda à página GKE Security Posture.

   Aceda à postura de segurança do GKE

2. Encontre o painel Ameaças de exemplo. Este painel mostra exemplos dos tipos de descobertas de segurança que pode ver depois de ativar o Security Command Center. Estes exemplos não representam problemas de segurança reais no seu projeto.

   Se vir um painel com o título Principais ameaças, significa que o Security Command Center já está ativado. Pode ignorar os restantes passos.

3. No painel Ameaças de amostra, clique em Experimentar a análise de segurança gratuitamente. É aberto o painel de ativação.

4. Clique em Iniciar avaliação gratuita.

Depois de ativar o Security Command Center, este começa a analisar ou verificar as suas cargas de trabalho do GKE e os seus recursos para outros Google Cloud serviços. Normalmente, esta análise inicial é concluída em minutos ou horas.

Vantagens do painel de controlo da postura de segurança

O painel de controlo da postura de segurança é uma medida de segurança fundamental que pode ativar para qualquer cluster do GKE elegível. Google Cloud Recomendamos que use o painel de controlo da postura de segurança para todos os seus clusters pelos seguintes motivos:

• Interrupções mínimas: as funcionalidades não interferem nem interrompem as cargas de trabalho em execução.
• Recomendações acionáveis: quando disponíveis, o painel de controlo da postura de segurança fornece itens de ação para corrigir problemas descobertos. Estas ações incluem comandos que pode executar e exemplos de alterações de configuração a fazer.
• Visualização: o painel de controlo da postura de segurança oferece uma visualização de alto nível das preocupações que afetam os clusters no seu projeto e inclui gráficos para mostrar o progresso que fez e o potencial impacto de cada preocupação.
• Resultados opinativos: o GKE atribui uma classificação de gravidade às preocupações descobertas com base na experiência das nossas equipas de segurança e nas normas da indústria.
• Registos de eventos auditáveis: o GKE adiciona todas as preocupações descobertas ao registo para uma melhor capacidade de criação de relatórios e observação.
• Observabilidade da frota: se registou clusters do GKE numa frota, o painel de controlo permite-lhe observar todos os clusters do seu projeto, incluindo os clusters membros da frota e quaisquer clusters do GKE autónomos no projeto.

Preços do painel de controlo da postura de segurança do GKE

Os preços das capacidades do painel de controlo da postura de segurança são os seguintes, aplicáveis a clusters do GKE autónomos e clusters do GKE da frota:

Preços do painel de controlo da postura de segurança do GKE
Auditoria da configuração da carga de trabalho	Sem custos adicionais
Apresentação do boletim de segurança	Sem custos adicionais
(Descontinuado) Análise de vulnerabilidades do SO do contentor	Sem custos adicionais
(Descontinuado) Advanced Vulnerability Insights	Usa os preços da Artifact Analysis. Para obter detalhes, na página de preços da análise de artefactos, consulte a secção Estatísticas avançadas de vulnerabilidades.
Resultados do Security Command Center	Usa os preços do Security Command Center.

As entradas adicionadas ao Cloud Logging usam os preços do Cloud Logging. No entanto, dependendo da escala do seu ambiente e do número de problemas detetados, pode não exceder as atribuições de carregamento e armazenamento gratuitos para o registo. Para ver detalhes, consulte a secção Preços dos registos.

Faça a gestão da postura de segurança da frota

Se usar frotas com o GKE, pode configurar funcionalidades de postura de segurança do GKE ao nível da frota através da CLI gcloud. Os clusters do GKE que registar como membros da frota durante a criação do cluster herdam automaticamente a configuração do perfil de segurança. Os clusters que já eram membros da frota antes de alterar a configuração da postura de segurança não herdam a nova configuração. Esta configuração herdada substitui as definições predefinidas que o GKE aplica a novos clusters.

Para saber como alterar a configuração do estado de segurança ao nível da frota, consulte o artigo Configure as funcionalidades do painel de controlo do estado de segurança do GKE ao nível da frota.

Acerca da página Postura de segurança

A página Estado de segurança na Google Cloud consola tem os seguintes separadores:

• Painel de controlo: uma representação geral dos resultados das suas análises. Inclui gráficos e informações específicas das funcionalidades.
• Preocupações: uma vista detalhada e filtrável de quaisquer preocupações descobertas pelo GKE nos seus clusters e cargas de trabalho. Pode selecionar preocupações individuais para ver detalhes e opções de mitigação.
• Definições: faça a gestão da configuração da funcionalidade de postura de segurança para clusters individuais ou frotas.

Painel de controlo

O separador Painel de controlo oferece uma representação visual dos resultados de várias verificações da postura de segurança do GKE e informações de outrosGoogle Cloud produtos de segurança ativados no seu projeto. Para ver detalhes sobre as capacidades de análise disponíveis e outros produtos de segurança suportados, consulte Como funciona o painel de controlo da postura de segurança neste documento.

Se usar frotas com o GKE, o painel de controlo também apresenta quaisquer problemas descobertos para clusters, incluindo clusters na frota do projeto e clusters autónomos. Para mudar o painel de controlo para ver a postura de uma frota específica, selecione o projeto anfitrião dessa frota no menu pendente do seletor de projetos na Google Cloud consola. Se o projeto selecionado tiver a API Container Security ativada, o painel de controlo mostra os resultados de todos os clusters membros da frota desse projeto.

Preocupações

O separador Preocupações apresenta preocupações de segurança ativas que o GKE descobre ao analisar os seus clusters e cargas de trabalho. Esta página apenas apresenta preocupações relativas às funcionalidades de postura de segurança descritas na secção Ativação de funcionalidades específicas do cluster neste documento. Se usar frotas com o GKE, pode ver preocupações para os clusters membros da frota e para os clusters do GKE autónomos que o projeto selecionado detém.

Classificações de gravidade

Quando aplicável, o GKE atribui uma classificação de gravidade às preocupações descobertas. Pode usar estas classificações para determinar a urgência com que tem de resolver a descoberta. O GKE usa as seguintes classificações de gravidade, que se baseiam na escala de classificação de gravidade qualitativa do CVSS:

• Crítico: tome medidas imediatamente. Um ataque vai originar um incidente.
• Alta: agir prontamente. É muito provável que um ataque resulte num incidente.
• Médio: aja rapidamente. É provável que um ataque resulte num incidente.
• Baixa: agir eventualmente. Um ataque pode levar a um incidente.

A velocidade precisa da sua resposta a preocupações depende do modelo de ameaças e da tolerância ao risco da sua organização. As classificações de gravidade são uma diretriz qualitativa para ajudar a desenvolver um plano de resposta a incidentes completo.

Tabela de dúvidas

A tabela Preocupações mostra todas as preocupações detetadas pelo GKE. Pode alterar a vista predefinida para agrupar os resultados pelo tipo de preocupação, espaço de nomes do Kubernetes ou pelas cargas de trabalho afetadas. Pode usar o painel de filtros para filtrar os resultados por classificação de gravidade, tipo de preocupação, Google Cloud localização e nome do cluster. Para ver detalhes sobre uma preocupação específica, clique no nome dessa preocupação.

Painel de detalhes da preocupação

Quando clica numa preocupação na tabela Preocupações, o painel de detalhes da preocupação é aberto. Este painel oferece uma descrição detalhada da preocupação e informações relevantes, como as versões do SO afetadas por vulnerabilidades, links CVE ou riscos associados a uma preocupação de configuração específica. O painel de detalhes fornece uma ação recomendada, se aplicável. Por exemplo, uma carga de trabalho que define runAsNonRoot: false devolve a alteração recomendada que tem de fazer à especificação do pod para mitigar o problema.

O separador Recursos afetados no painel de detalhes da preocupação mostra uma lista de cargas de trabalho nos seus clusters inscritos que são afetadas por essa preocupação.

Definições

O separador Definições permite-lhe configurar funcionalidades de postura de segurança específicas do cluster, como a auditoria da configuração da carga de trabalho, em clusters do GKE elegíveis no seu projeto ou frota. Pode ver o estado de ativação de funcionalidades específicas para cada cluster e alterar essa configuração para clusters elegíveis. Se usar frotas com o GKE, também pode ver se os clusters membros da frota têm as mesmas definições que a configuração ao nível da frota.

Exemplo de fluxo de trabalho

Esta secção é um exemplo do fluxo de trabalho de um administrador de cluster que quer analisar cargas de trabalho num cluster para detetar problemas de configuração de segurança, como privilégios de acesso máximo.

1. Inscreva o cluster na análise da postura de segurança do Kubernetes através da Google Cloud consola.
2. Consulte o painel de controlo da postura de segurança para ver os resultados da análise, que podem demorar até 30 minutos a aparecer.
3. Clique no separador Preocupações para abrir os resultados detalhados.
4. Selecione o filtro de tipo de preocupação Configuração.
5. Clique numa preocupação na tabela.
6. No painel de detalhes da preocupação, tome nota da alteração de configuração recomendada e atualize a especificação do pod com a recomendação.
7. Aplique a especificação de Pod atualizada ao cluster.

Na próxima vez que a análise for executada, o painel de controlo da postura de segurança deixa de apresentar o problema que corrigiu.

O que se segue?

• Saiba mais sobre a auditoria da configuração da carga de trabalho
• Saiba como ativar a análise automática das suas cargas de trabalho para problemas de configuração