Questa pagina fornisce una panoramica della dashboard della security posture nella Console Google Cloud, che ti offre suggerimenti strategici e strategici per migliorare la security posture. Per esplorare la dashboard di persona, vai alla Pagina Security posture nella console Google Cloud.
Quando utilizzare la dashboard della security posture
Dovresti usare la dashboard della security posture se rappresenti un cluster o un amministratore della sicurezza che voglia automatizzare il rilevamento segnalazione di problemi di sicurezza comuni in più cluster e carichi di lavoro. con intrusioni e interruzioni minime nelle applicazioni in esecuzione. La la dashboard della security posture si integra con prodotti quali Cloud Logging, Policy Controller e Autorizzazione binaria per migliorare la tua visibilità sui strategia di sicurezza.
Se utilizzi Controlli di servizio VPC,
aggiornare i perimetri
per proteggere la dashboard della security posture aggiungendo
containersecurity.googleapis.com all'elenco dei servizi.
La dashboard della security posture non modifica nessuna delle nostre responsabilità né modifiche responsabilità nell'ambito modello di responsabilità condivisa. Sei comunque responsabile della protezione dei tuoi carichi di lavoro.
Utilizzo nell'ambito di un'ampia strategia di sicurezza
La dashboard della security posture fornisce insight sul carico di lavoro postura di sicurezza nella fase di runtime del ciclo di vita della distribuzione del software. A ottieni una copertura completa delle tue applicazioni durante l'intero ciclo di vita, controllo del codice sorgente alla manutenzione, ti consigliamo di utilizzare la dashboard con altre strumenti di sicurezza.
GKE offre i seguenti strumenti per monitorare sicurezza la conformità nella console Google Cloud:
- La dashboard della security posture, disponibile in GKE il livello Standard e il livello GKE Enterprise.
- La dashboard di conformità di GKE, disponibile in GKE Enterprise livello. Per maggiori dettagli, vedi Informazioni sulla dashboard di conformità GKE.
Per ulteriori dettagli sugli altri strumenti disponibili e per per salvaguardare le tue applicazioni dall'inizio alla fine, consulta Proteggi la catena di fornitura del software.
Inoltre, ti consigliamo vivamente di implementare il maggior numero possibile di consigli il più possibile con Rafforza la sicurezza del cluster.
Come funziona la dashboard della security posture
Per utilizzare la dashboard della security posture, abilita l'API Container Security nel tuo progetto. La dashboard mostra approfondimenti sulle funzionalità integrati in GKE e da una certa sicurezza di Google Cloud prodotti in esecuzione nel tuo progetto.
Abilitazione di funzionalità specifiche per il cluster
Le funzionalità specifiche per GKE nella dashboard della security posture sono classificati nel seguente modo:
- Postura di sicurezza di Kubernetes: la security posture degli oggetti Kubernetes e le risorse nel cluster, come le specifiche dei pod. Per maggiori dettagli, vedi Informazioni sull'analisi della strategia di sicurezza per Kubernetes.
- Analisi delle vulnerabilità del carico di lavoro: il livello di sicurezza del container e pacchetti linguistici di applicazioni e sistemi operativi. Per maggiori dettagli, vedi Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro.
Se utilizzi GKE Enterprise alcune di queste funzionalità sono abilitate per impostazione predefinita nei nuovi cluster. Le seguenti che descrive le funzionalità specifiche del cluster:
| Nome caratteristica | Disponibilità | Funzionalità incluse |
|---|---|---|
| Strategia di sicurezza per Kubernetes - livello Standard |
Richiede GKE 1.27 o versioni successive.
|
|
| Strategia di sicurezza Kubernetes - Livello avanzato (anteprima) | Non abilitato automaticamente in qualsiasi versione o modalità operativa. Richiede la versione GKE Enterprise. | |
| Analisi delle vulnerabilità dei carichi di lavoro - livello standard |
|
|
| Analisi delle vulnerabilità dei carichi di lavoro - Advanced Vulnerability Insights |
|
Puoi abilitare queste funzionalità per cluster GKE autonomi o cluster dei membri del parco risorse. La dashboard della security posture ti consente di osservare tutti i tuoi cluster contemporaneamente, inclusi tutti i membri del parco risorse nel progetto host del parco risorse.
Funzionalità in più prodotti
La dashboard della security posture può mostrare insight da altri Le offerte per la sicurezza di Google Cloud in esecuzione nel tuo progetto. Questo offre una panoramica dello stato di sicurezza di un singolo parco risorse o dei cluster di un progetto specifico.
| Nome | Descrizione | Come attivarlo |
|---|---|---|
| Problemi della catena di fornitura - Autorizzazione binaria (anteprima) | Controlla i seguenti problemi con l'esecuzione delle immagini container:
Se utilizzi immagini in repository Artifact Registry che appartengono a un progetto diverso, consenti ad Autorizzazione binaria di leggere queste immagini per il progetto artefatto concedendo le risorse IAM pertinenti di servizio all'agente di servizio. Per istruzioni, vedi Concedi i ruoli utilizzando gcloud CLI. |
Abilita l'API Binary Authorization nel tuo progetto. Per istruzioni, consulta Abilitare il servizio Autorizzazione binaria. |
Integrazione con Security Command Center
Se utilizzi il livello Standard o Premium di Security Command Center organizzazione o progetto, vedrai i risultati della dashboard della security posture Security Command Center. Per maggiori dettagli sui tipi di Security Command Center che vedrete, fare riferimento Origini di sicurezza.
Vantaggi della dashboard della security posture
La dashboard della security posture è una misura di sicurezza di base che puoi abilitare per qualsiasi cluster GKE idoneo. Google Cloud consiglia di utilizzare la dashboard della security posture per tutti i cluster per i seguenti motivi:
- Interruzioni minime: le funzionalità non interrompono o interferiscono con la corsa carichi di lavoro con scale out impegnativi.
- Consigli pratici: se disponibile, la dashboard della security posture indica azioni per risolvere i problemi rilevati. Queste azioni includono i comandi che puoi eseguire, esempi di modifiche alla configurazione da apportare e consigli su cosa fare per mitigare le vulnerabilità.
- Visualizzazione: la dashboard della security posture fornisce una una visualizzazione di alto livello dei problemi che interessano i cluster del tuo progetto, e include tabelle e grafici per mostrare i progressi compiuti e il potenziale impatto di ogni problema.
- Risultati opinati: GKE assegna una la gravità ai problemi rilevati in base alla la competenza dei nostri team di sicurezza e gli standard di settore.
- Log degli eventi verificabili: GKE aggiunge tutti i problemi rilevati ai Logging per migliorare la segnalabilità e l'osservabilità.
- Osservabilità del parco risorse: se hai registrato cluster GKE in un parco, la dashboard ti consente osservi tutti i cluster del progetto, inclusi i cluster membro del parco risorse e a qualsiasi cluster GKE autonomo nel progetto.
Prezzi della dashboard della strategia di sicurezza di GKE
I prezzi per le funzionalità della dashboard della security posture sono come segue, applicabile ai cluster GKE autonomi e al parco risorse Cluster GKE:
| Prezzi della dashboard della strategia di sicurezza di GKE | |
|---|---|
| Controllo della configurazione del carico di lavoro | Senza costi aggiuntivi |
| Visualizzazione del bollettino sulla sicurezza | Senza costi aggiuntivi |
| Rilevamento delle minacce GKE (anteprima) | Incluso nel costo di GKE Enterprise. Per maggiori dettagli, nella pagina dei prezzi di GKE, consulta Versione Enterprise. |
| Analisi delle vulnerabilità del sistema operativo dei container | Senza costi aggiuntivi |
| Advanced Vulnerability Insights | Utilizza i prezzi di Artifact Analysis. Per maggiori dettagli, nella pagina dei prezzi di Artifact Analysis, consulta Approfondimenti avanzati sulle vulnerabilità. |
| Catena di fornitura - Autorizzazione binaria (anteprima) | Nessun costo aggiuntivo per i problemi della dashboard relativi alla security posture. Tuttavia, l'utilizzo di altre funzionalità di Autorizzazione binaria, come l'applicazione, è separata funzionalità della dashboard ed è soggetta alle Prezzi di Autorizzazione binaria per GKE. |
Le voci aggiunte a Cloud Logging utilizzano Prezzi di Cloud Logging. Tuttavia, a seconda della scala del tuo ambiente e del numero di problemi potresti non superare le allocazioni per l'importazione gratuita e lo spazio di archiviazione Logging. Per maggiori dettagli, vedi Prezzi di Logging.
Gestisci la security posture del parco risorse
Se utilizzi i parchi risorse con La versione Google Kubernetes Engine (GKE) Enterprise può configurare la strategia di sicurezza di GKE a livello di parco risorse utilizzando gcloud CLI. GKE cluster che registri come membri del parco risorse durante la creazione automatica del cluster la configurazione della security posture. Cluster che erano già un parco risorse prima della modifica della configurazione della security posture non ereditano una nuova configurazione. Questa configurazione ereditata sostituisce le impostazioni predefinite che GKE applica ai nuovi cluster.
L'abilitazione di GKE Enterprise mostra i risultati del controllo di conformità in la dashboard della security posture. Il controllo di conformità confronta i cluster e carichi di lavoro con best practice del settore come gli standard di sicurezza dei pod. Per ulteriori informazioni, vedi Pacchetti di Policy Controller.
Per scoprire come modificare la configurazione della security posture a livello di parco risorse, consulta Configura le funzionalità della dashboard della strategia di sicurezza di GKE a livello di parco risorse.
Informazioni sulla pagina Security posture
La pagina Security posture nella console Google Cloud contiene seguenti schede:
- Dashboard: una rappresentazione di alto livello dei risultati delle scansioni. Include grafici e informazioni specifiche sulle funzionalità.
- Dubbi: una visualizzazione dettagliata e filtrabile di tutti i dubbi rilevati da con GKE nei tuoi cluster e carichi di lavoro. Puoi selezionare singoli dubbi per i dettagli e le opzioni di mitigazione.
- Impostazioni: consente di gestire la configurazione della funzionalità della postura di sicurezza per singoli cluster o per i parchi risorse.
Dashboard
La scheda Dashboard fornisce una rappresentazione visiva dei risultati varie analisi della postura di sicurezza GKE e informazioni da altri I prodotti per la sicurezza di Google Cloud abilitati nel tuo progetto. Per informazioni dettagliate sulle funzionalità di scansione disponibili e su altre misure di sicurezza supportate vedi i prodotti, vedi Come funziona la dashboard della security posture in questo documento.
Se utilizzi parchi risorse con GKE Enterprise, la dashboard visualizza eventuali problemi rilevati per i cluster, nel parco risorse del progetto e nei cluster autonomi. Per passare a per visualizzare la postura di un parco risorse specifico, seleziona il progetto host per del parco risorse dal menu a discesa del selettore progetti nella console Google Cloud. Se nel progetto selezionato è abilitata l'API Container Security, mostra i risultati per tutti i cluster membri del parco risorse di quel progetto.
Problemi
La scheda Problemi di sicurezza elenca i problemi di sicurezza attivi che GKE durante l'analisi di cluster e carichi di lavoro. Questa pagina mostra solo per le funzionalità della security posture descritte in Abilitazione di funzionalità specifiche per i cluster in questo documento. Se utilizzi i parchi risorse con GKE Enterprise, puoi vedere i problemi relativi cluster membro del parco risorse e per i cluster GKE autonomi che proprietario del progetto selezionato.
Classificazioni della gravità
Ove applicabile, GKE assegna una valutazione di gravità al rilevamento i problemi correlati. Puoi usare queste valutazioni per determinare l'urgenza di cui hai bisogno per risolvere il risultato. GKE utilizza i seguenti livelli di gravità, che si basano Scala di valutazione della gravità qualitativa CVSS:
- Critica: intervieni immediatamente. Un attacco comporterà un incidente.
- Alto: intervieni tempestivamente. È molto probabile che un attacco porti a un incidente.
- Medio: intervieni subito. Un attacco probabilmente porterà a un incidente.
- Basso: intervieni quando vuoi. Un attacco potrebbe causare un incidente.
La velocità esatta di risposta ai dubbi dipende dalle impostazioni della tua organizzazione. il modello di minaccia e la tolleranza al rischio. I livelli di gravità sono a livello qualitativo per sviluppare un piano di risposta agli incidenti approfondito.
Tabella dei problemi
La tabella Dubbi mostra tutti i problemi rilevati con GKE. Puoi modificare la visualizzazione predefinita e raggruppare i risultati in base al tipo di problema, allo spazio dei nomi Kubernetes o ai carichi di lavoro interessati. Puoi utilizza il riquadro dei filtri per filtrare i risultati in base a valutazione della gravità, tipo di problema Località Google Cloud e nome del cluster. Per visualizzare i dettagli di una specifica fai clic sul nome del problema.
Riquadro dei dettagli del problema
Quando fai clic su un problema nella tabella Dubbi, viene visualizzato il riquadro dei dettagli del problema.
si apre. Questo riquadro fornisce una descrizione dettagliata del problema e i relativi
informazioni come le versioni del sistema operativo interessate per le vulnerabilità, i link CVE
e i rischi associati a un problema
di configurazione specifico. Riquadro dei dettagli
fornisce un'azione consigliata, se applicabile. Ad esempio, un carico di lavoro che imposta
runAsNonRoot: false restituirà la modifica consigliata da apportare a
la specifica del pod per attenuare il problema.
La scheda Risorse interessate nel riquadro dei dettagli del problema mostra un elenco nei cluster registrati interessati dal problema.
Impostazioni
La scheda Impostazioni ti consente di configurare funzionalità della strategia di sicurezza specifiche per il cluster, come l'analisi delle vulnerabilità dei carichi di lavoro o il controllo della configurazione dei carichi di lavoro, cluster GKE idonei nel tuo progetto o nel tuo parco risorse. Puoi visualizzare stato di abilitazione di funzionalità specifiche per ogni cluster e per i cluster idonei. Se utilizzi parchi risorse con GKE Enterprise, puoi anche vedere se i membri del tuo parco risorse cluster hanno le stesse impostazioni della configurazione a livello di parco risorse.
Flusso di lavoro di esempio
Questa sezione è un esempio del flusso di lavoro per un amministratore del cluster che vuole analizzare i carichi di lavoro in un cluster per rilevare eventuali problemi di configurazione della sicurezza, ad esempio privilegiati.
- Registra il cluster nell'analisi della strategia di sicurezza di Kubernetes utilizzando nella console Google Cloud.
- Controlla la dashboard della security posture per vedere i risultati dell'analisi, possono trascorrere fino a 30 minuti.
- Fai clic sulla scheda Problemi per aprire i risultati dettagliati.
- Seleziona il filtro del tipo di problema Configurazione.
- Fai clic su un problema nella tabella.
- Nel riquadro dei dettagli del problema, prendi nota della modifica consigliata per la configurazione e aggiornare la specifica del pod con il suggerimento.
- Applica la specifica del pod aggiornata al cluster.
Alla successiva esecuzione della scansione, la dashboard della security posture non verrà più mostra il problema che hai risolto.
Passaggi successivi
- Scopri di più sul controllo della configurazione dei carichi di lavoro
- Scopri come abilitare l'analisi automatica dei carichi di lavoro per rilevare eventuali problemi di configurazione
- Scopri come attivare l'analisi automatica delle immagini container per individuare vulnerabilità note
- Scopri come abilitare il rilevamento delle minacce per GKE (anteprima)