Halaman ini diterjemahkan oleh Cloud Translation API.

Tentang dasbor postur keamanan

Autopilot Standar

Halaman ini menyediakan ringkasan dasbor postur keamanan di Konsol Google Cloud, yang memberi Anda rekomendasi opini dan dapat ditindaklanjuti untuk meningkatkan postur keamanan Anda. Untuk menjelajahi dasbor sendiri, buka halaman Postur Keamanan di Konsol Google Cloud.

Kapan harus menggunakan dasbor postur keamanan

Anda harus menggunakan dasbor postur keamanan jika Anda adalah administrator cluster atau administrator keamanan yang ingin mengotomatiskan deteksi dan pelaporan masalah keamanan umum di beberapa cluster dan workload, dengan gangguan dan intrusi yang minimal terhadap aplikasi yang sedang berjalan. Dasbor postur keamanan terintegrasi dengan produk-produk seperti Cloud Logging, Pengontrol Kebijakan, dan Otorisasi Biner untuk meningkatkan visibilitas postur keamanan Anda.

Jika menggunakan Kontrol Layanan VPC, Anda juga dapat memperbarui perimeter untuk melindungi dasbor postur keamanan dengan menambahkan containersecurity.googleapis.com ke daftar layanan.

Dasbor postur keamanan tidak mengubah tanggung jawab kami atau tanggung jawab Anda berdasarkan model tanggung jawab bersama. Anda tetap bertanggung jawab untuk melindungi beban kerja Anda.

Penggunaan dalam konteks strategi keamanan yang lebih luas

Dasbor postur keamanan memberikan insight tentang postur keamanan workload Anda pada fase runtime siklus proses pengiriman software. Untuk mendapatkan cakupan aplikasi yang komprehensif di sepanjang siklus proses, mulai dari kontrol sumber hingga pemeliharaan, sebaiknya gunakan dasbor dengan alat keamanan lainnya. Untuk mengetahui detail selengkapnya tentang alat yang tersedia dan praktik terbaik untuk melindungi aplikasi Anda dari ujung ke ujung, lihat Melindungi supply chain software Anda.

Sebaiknya Anda juga menerapkan rekomendasi sebanyak mungkin dari Meningkatkan keamanan cluster.

Cara kerja dasbor postur keamanan

Untuk menggunakan dasbor postur keamanan, aktifkan Container Security API di project Anda. Dasbor ini menampilkan insight dari kemampuan yang dibangun ke dalam GKE dan dari produk keamanan Google Cloud tertentu yang berjalan di project Anda.

Pengaktifan fitur khusus cluster

Kemampuan khusus GKE di dasbor postur keamanan dikategorikan sebagai berikut:

Postur keamanan Kubernetes: Postur keamanan objek dan resource Kubernetes dalam cluster, seperti spesifikasi Pod. Untuk mengetahui detailnya, lihat Tentang pemindaian postur keamanan Kubernetes.
Pemindaian kerentanan workload: Postur keamanan sistem operasi container dan paket bahasa aplikasi. Untuk mengetahui detailnya, lihat Tentang pemindaian kerentanan workload.

Jenis	Cara mengaktifkan	Fitur yang disertakan
Postur keamanan Kubernetes - tingkat standar	Diaktifkan secara otomatis di cluster baru Autopilot dan Standard yang menjalankan GKE versi 1.27 dan yang lebih baru.	Pemindaian otomatis workload untuk masalah konfigurasi Tampilan buletin keamanan yang dapat ditindaklanjuti (Pratinjau)
Postur keamanan Kubernetes - tingkat lanjutan (Pratinjau)	Tidak diaktifkan secara otomatis dalam versi atau mode operasi apa pun. Hanya tersedia untuk pengguna GKE Enterprise.	Deteksi ancaman GKE untuk GKE Enterprise (Pratinjau)
Pemindaian kerentanan workload - tingkatan standar	Autopilot: Tersedia untuk diaktifkan di versi 1.23.5-gke.700 dan yang lebih baru. Diaktifkan secara otomatis saat Anda membuat cluster baru yang menjalankan versi 1.27 dan yang lebih baru. Standar: Tersedia untuk diaktifkan di versi 1.23.5-gke.700 dan yang lebih baru. Tidak diaktifkan secara otomatis di versi apa pun.	Pemindaian otomatis image container untuk mencari kerentanan yang dapat ditindaklanjuti
Pemindaian kerentanan workload - insight kerentanan lanjutan	Tersedia untuk diaktifkan di versi 1.27 dan yang lebih baru. Tidak diaktifkan secara otomatis dalam versi atau mode operasi apa pun.	Pemindaian otomatis image container untuk mencari kerentanan yang dapat ditindaklanjuti Pemindaian otomatis paket bahasa aplikasi untuk mencari kerentanan

Anda dapat mengaktifkan fitur ini untuk cluster GKE mandiri atau cluster anggota fleet. Dasbor postur keamanan memungkinkan Anda mengamati semua cluster secara bersamaan, termasuk semua anggota fleet dalam project host fleet Anda.

Fitur lintas produk

Dasbor postur keamanan dapat menampilkan insight dari penawaran keamanan Google Cloud lainnya yang berjalan di project Anda. Cara ini memberikan ringkasan tentang status keamanan fleet atau cluster dalam project tertentu.

Nama Deskripsi Cara mengaktifkan

Masalah kepatuhan - Pengontrol Kebijakan Evaluasi workload Anda berdasarkan paket kebijakan yang telah ditetapkan sebelumnya atau kustom. Misalnya, lihat apakah workload Anda mematuhi Standar Keamanan Pod Kubernetes atau tidak. Aktifkan GKE Enterprise.

Nama	Deskripsi	Cara mengaktifkan
Masalah kepatuhan - Pengontrol Kebijakan	Evaluasi workload Anda berdasarkan paket kebijakan yang telah ditetapkan sebelumnya atau kustom. Misalnya, lihat apakah workload Anda mematuhi Standar Keamanan Pod Kubernetes atau tidak.	Aktifkan GKE Enterprise.
Masalah supply chain - Otorisasi Biner (Pratinjau)	Memeriksa masalah berikut saat menjalankan image container: Gambar yang menggunakan tag `latest`, baik secara implisit maupun eksplisit Image (di-deploy oleh digest) yang diupload ke Artifact Registry atau Container Registry (Tidak digunakan lagi) lebih dari 30 hari yang lalu Jika Anda menggunakan image di repositori Artifact Registry yang merupakan bagian dari project lain, izinkan Otorisasi Biner membaca image tersebut di project artefak dengan memberikan peran IAM yang relevan kepada agen layanan. Untuk mengetahui petunjuknya, lihat Memberikan peran menggunakan gcloud CLI.	Aktifkan Binary Authorization API di project Anda. Untuk petunjuknya, lihat Mengaktifkan layanan Otorisasi Biner. Penonaktifan Binary Authorization API akan menonaktifkan semua fungsi Otorisasi Biner termasuk penerapan dan validasi berkelanjutan (Pratinjau) dalam project.

Masalah supply chain - Otorisasi Biner (Pratinjau)

Memeriksa masalah berikut saat menjalankan image container:

Gambar yang menggunakan tag latest, baik secara implisit maupun eksplisit
Image (di-deploy oleh digest) yang diupload ke Artifact Registry atau Container Registry (Tidak digunakan lagi) lebih dari 30 hari yang lalu

Jika Anda menggunakan image di repositori Artifact Registry yang merupakan bagian dari project lain, izinkan Otorisasi Biner membaca image tersebut di project artefak dengan memberikan peran IAM yang relevan kepada agen layanan. Untuk mengetahui petunjuknya, lihat Memberikan peran menggunakan gcloud CLI.

Aktifkan Binary Authorization API di project Anda. Untuk petunjuknya, lihat Mengaktifkan layanan Otorisasi Biner.

Integrasi dengan Security Command Center

Jika Anda menggunakan paket Standar atau paket Premium Security Command Center di organisasi atau project, Anda akan melihat temuan dasbor postur keamanan di Security Command Center. Untuk detail selengkapnya tentang jenis temuan Security Command Center yang akan Anda lihat, lihat Sumber keamanan.

Manfaat dasbor postur keamanan

Dasbor postur keamanan adalah langkah keamanan dasar yang dapat Anda aktifkan untuk setiap cluster GKE yang memenuhi syarat. Google Cloud merekomendasikan penggunaan dasbor postur keamanan untuk semua cluster Anda karena alasan berikut:

Gangguan minimal: Fitur tidak mengganggu atau mengganggu workload yang berjalan.
Rekomendasi yang dapat ditindaklanjuti: Jika tersedia, dasbor postur keamanan menyediakan item tindakan untuk memperbaiki masalah yang ditemukan. Tindakan ini mencakup perintah yang dapat Anda jalankan, contoh perubahan konfigurasi yang harus dibuat, dan saran tentang tindakan yang harus dilakukan untuk memitigasi kerentanan.
Visualisasi: Dasbor postur keamanan memberikan visualisasi tingkat tinggi mengenai masalah yang memengaruhi cluster di seluruh project Anda, dan menyertakan diagram serta grafik untuk menunjukkan progres yang Anda capai dan dampak potensial dari setiap masalah.
Hasil opini: GKE menetapkan rating tingkat keparahan untuk masalah yang ditemukan berdasarkan keahlian tim keamanan dan standar industri kami.
Log peristiwa yang dapat diaudit: GKE menambahkan semua masalah yang ditemukan ke Logging untuk mendapatkan pelaporan dan kemampuan observasi yang lebih baik.
Kemampuan observasi perangkat: Jika Anda telah mendaftarkan cluster GKE ke sebuah armada, dasbor ini memungkinkan Anda mengamati semua cluster project Anda, termasuk cluster anggota fleet dan cluster GKE mandiri dalam project.

Harga dasbor postur keamanan GKE

Harga untuk kemampuan dashboard postur keamanan adalah sebagai berikut, berlaku untuk cluster GKE mandiri dan cluster GKE fleet:

Harga dasbor postur keamanan GKE
Audit konfigurasi workload	Tanpa biaya tambahan
Pemunculan buletin keamanan	Tanpa biaya tambahan
Deteksi ancaman GKE (Pratinjau)	Termasuk dalam biaya GKE Enterprise. Untuk mengetahui detailnya, di halaman harga GKE, lihat Edisi perusahaan.
Pemindaian kerentanan container OS	Tanpa biaya tambahan
Advanced vulnerability insights	Menggunakan harga Analisis Artefak. Untuk mengetahui detailnya, pada halaman harga Artifact Analysis, lihat Advanced Vulnerability Insights.
Kepatuhan - Pengontrol Kebijakan	Lihat Harga GKE Enterprise
Supply chain - Otorisasi Biner (Pratinjau)	Tanpa biaya tambahan untuk masalah dasbor postur keamanan. Namun, penggunaan fitur Otorisasi Biner lainnya seperti penerapan terpisah dari fungsi dasbor, dan tunduk pada penetapan harga Otorisasi Biner untuk GKE.

Entri yang ditambahkan ke Cloud Logging menggunakan harga Cloud Logging. Namun, bergantung pada skala lingkungan dan jumlah masalah yang ditemukan, Anda mungkin tidak melebihi alokasi penyimpanan dan penyerapan gratis untuk Logging. Untuk mengetahui detailnya, lihat Harga logging.

Mengelola postur keamanan perangkat

Jika menggunakan fleets dengan edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengonfigurasi fitur postur keamanan GKE di level fleet menggunakan gcloud CLI. Cluster GKE yang Anda daftarkan sebagai anggota fleet selama pembuatan cluster otomatis mewarisi konfigurasi postur keamanan. Cluster yang sudah menjadi anggota fleet sebelum Anda mengubah konfigurasi postur keamanan tidak mewarisi konfigurasi baru.

Mengaktifkan GKE Enterprise akan menampilkan hasil audit kepatuhan di dasbor postur keamanan. Audit kepatuhan membandingkan cluster dan workload Anda dengan praktik terbaik industri seperti Standar Keamanan Pod. Untuk informasi selengkapnya, lihat Paket Pengontrol Kebijakan.

Untuk mempelajari cara mengubah konfigurasi postur keamanan tingkat fleet, lihat Mengonfigurasi fitur dasbor postur keamanan GKE di level fleet.

Tentang halaman Postur Keamanan

Halaman Postur Keamanan di konsol Google Cloud memiliki tab berikut:

Dasbor: representasi tingkat tinggi dari hasil pemindaian Anda. Menyertakan diagram dan informasi khusus fitur.
Kekhawatiran: tampilan mendetail yang dapat difilter dari setiap masalah yang ditemukan oleh GKE di seluruh cluster dan workload Anda. Anda dapat memilih masalah satu per satu untuk mengetahui detail dan opsi mitigasi.
Setelan: kelola konfigurasi fitur postur keamanan untuk cluster individual atau untuk fleet.

Dasbor

Tab Dashboard memberikan representasi visual dari hasil berbagai pemindaian postur keamanan GKE dan informasi dari produk keamanan Google Cloud lainnya yang diaktifkan dalam project Anda. Untuk mengetahui detail tentang kemampuan pemindaian yang tersedia dan produk keamanan lainnya yang didukung, lihat Cara kerja dasbor postur keamanan dalam dokumen ini.

Jika Anda menggunakan fleet dengan GKE Enterprise, dasbor juga menampilkan semua masalah yang ditemukan untuk cluster, termasuk cluster dalam fleet project dan cluster mandiri. Untuk mengalihkan dasbor guna melihat postur fleet tertentu, pilih project host untuk fleet tersebut dari menu drop-down pemilih project di Konsol Google Cloud. Jika project yang dipilih mengaktifkan Container Security API, dasbor akan menampilkan hasil untuk semua cluster anggota dari fleet project tersebut.

Kekhawatiran

Tab Concerns mencantumkan masalah keamanan aktif yang ditemukan GKE saat memindai cluster dan workload Anda. Halaman ini hanya menampilkan kekhawatiran untuk fitur postur keamanan yang dijelaskan dalam Pengaktifan fitur khusus cluster dalam dokumen ini. Jika menggunakan fleet dengan GKE Enterprise, Anda dapat melihat kekhawatiran untuk cluster anggota armada dan untuk cluster GKE mandiri yang dimiliki project yang dipilih.

Rating tingkat keparahan

Jika memungkinkan, GKE akan menetapkan rating tingkat keparahan untuk masalah yang ditemukan. Anda dapat menggunakan rating ini untuk menentukan urgensi yang diperlukan untuk menyelesaikan temuan. GKE menggunakan rating tingkat keparahan berikut, yang didasarkan pada Skala Rating Keparahan Kualitatif CVSS:

Kritis: Segera bertindak. Serangan akan menyebabkan insiden.
Tinggi: Cepat bertindak. Serangan sangat berpotensi menyebabkan suatu insiden.
Medium: Bertindak dalam waktu dekat. Serangan berpotensi menyebabkan suatu insiden.
Rendah: Bertindak setelah beberapa waktu. Serangan tampaknya dapat menyebabkan insiden.

Kecepatan respons yang tepat terhadap masalah bergantung pada model ancaman dan toleransi risiko organisasi Anda. Rating tingkat keparahan merupakan panduan kualitatif untuk membantu Anda mengembangkan rencana respons insiden yang menyeluruh.

Tabel masalah

Tabel Masalah menampilkan semua masalah yang terdeteksi oleh GKE. Anda dapat mengubah tampilan default untuk mengelompokkan hasil berdasarkan jenis masalah, namespace Kubernetes, atau beban kerja yang terpengaruh. Anda dapat menggunakan panel filter untuk memfilter hasil menurut rating tingkat keparahan, jenis masalah, lokasi Google Cloud, dan nama cluster. Untuk melihat detail masalah tertentu, klik nama masalah tersebut.

Panel detail masalah

Saat Anda mengklik masalah di tabel Concerns, panel detail masalah akan terbuka. Panel ini memberikan deskripsi mendetail tentang masalah tersebut, dan informasi yang relevan seperti versi OS yang terpengaruh untuk kerentanan, link CVE, atau risiko yang terkait dengan masalah konfigurasi tertentu. Panel detail memberikan tindakan yang direkomendasikan jika berlaku. Misalnya, workload yang menetapkan runAsNonRoot: false akan menampilkan perubahan yang direkomendasikan yang perlu Anda lakukan pada spesifikasi Pod untuk memitigasi kekhawatiran.

Tab Resource yang terpengaruh di panel detail perhatian menampilkan daftar beban kerja di cluster terdaftar Anda yang terpengaruh oleh masalah tersebut.

Setelan

Tab Settings memungkinkan Anda mengonfigurasi fitur postur keamanan khusus cluster, seperti pemindaian kerentanan workload atau pengauditan konfigurasi workload pada cluster GKE yang memenuhi syarat di project atau fleet Anda. Anda dapat melihat status pengaktifan fitur tertentu untuk setiap cluster dan mengubah konfigurasi tersebut untuk cluster yang memenuhi syarat. Jika menggunakan fleet dengan GKE Enterprise, Anda juga dapat melihat apakah cluster anggota fleet Anda memiliki setelan yang sama dengan konfigurasi level fleet.

Contoh alur kerja

Bagian ini adalah contoh alur kerja bagi administrator cluster yang ingin memindai workload dalam cluster untuk menemukan masalah konfigurasi keamanan, seperti hak istimewa root.

Daftarkan cluster dalam pemindaian postur keamanan Kubernetes menggunakan konsol Google Cloud.
Periksa dasbor postur keamanan untuk melihat hasil pemindaian, yang mungkin memerlukan waktu hingga 15 menit untuk muncul.
Klik tab Masalah untuk membuka hasil mendetail.
Pilih filter jenis masalah Konfigurasi.
Klik masalah di tabel.
Di panel detail masalah, perhatikan perubahan konfigurasi yang direkomendasikan dan perbarui spesifikasi Pod dengan rekomendasi.
Terapkan spesifikasi Pod yang telah diperbarui ke cluster.

Saat pemindaian berjalan lagi, dasbor postur keamanan tidak lagi menampilkan masalah yang telah Anda perbaiki.