Informationen zum Sicherheitsstatus-Dashboard


Auf dieser Seite erhalten Sie einen Überblick über das Sicherheitsstatus-Dashboard in der Google Cloud Console. Sie erhalten dort zielgerichtete, umsetzbare Empfehlungen zur Verbesserung des Sicherheitsstatus. Weitere Informationen zum Dashboard finden Sie auf der Seite „Sicherheitsstatus“ in der Google Cloud Console.

Wann sollte das Sicherheitsstatus-Dashboard verwendet werden?

Sie sollten das Sicherheitsstatus-Dashboard verwenden, wenn Sie ein Cluster-Administrator oder ein Sicherheitsadministrator sind, der die Erkennung und Meldung allgemeiner Sicherheitsprobleme über mehrere Cluster und Arbeitslasten hinweg automatisieren möchte, und zwar mit minimalen Eingriffen und Unterbrechungen bei Ihren laufenden Anwendungen. Das Sicherheitsstatus-Dashboard kann in Produkte wie Cloud Logging, Policy Controller und Binärautorisierung integriert werden, um die Sichtbarkeit in Ihrem Sicherheitsstatus zu verbessern.

Wenn Sie VPC Service Controls verwenden, können Sie auch Ihre Perimeter aktualisieren, um das Sicherheitsstatus-Dashboard zu schützen. Fügen Sie dazu containersecurity.googleapis.com zur Liste der Dienste hinzu.

Das Sicherheitsstatus-Dashboard ändert nichts an unseren Verantwortlichkeiten oder Ihren Verantwortlichkeiten gemäß dem Modell der geteilten Verantwortung. Sie sind weiterhin für den Schutz Ihrer Arbeitslasten verantwortlich.

Nutzung als Teil einer umfassenden Sicherheitsstrategie

Das Sicherheitsstatus-Dashboard bietet Einblicke in den Sicherheitsstatus Ihrer Arbeitslasten in der Laufzeitphase des Softwarebereitstellungszyklus. Um eine umfassende Abdeckung Ihrer Anwendungen während des gesamten Lebenszyklus von der Versionsverwaltung bis zur Wartung zu erreichen, empfehlen wir die Verwendung des Dashboards mit anderen Sicherheitstools.

GKE bietet die folgenden Tools, um die Sicherheit und Compliance in der Google Cloud Console zu überwachen:

  • Das Sicherheitsstatus-Dashboard, das in der GKE-Standardstufe und der GKE Enterprise-Stufe verfügbar ist.
  • Das GKE-Compliance-Dashboard, das auf der GKE Enterprise-Stufe verfügbar ist. Weitere Informationen finden Sie unter GKE-Compliance-Dashboard.

Weitere Informationen zu anderen verfügbaren Tools und Best Practices zum Schutz Ihrer Anwendungen von Anfang bis Ende finden Sie unter Softwarelieferkette schützen.

Außerdem empfehlen wir dringend, so viele Empfehlungen wie möglich aus Clustersicherheit erhöhen zu implementieren.

Funktionsweise des Sicherheitsstatus-Dashboards

Um das Sicherheitsstatus-Dashboard zu verwenden, aktivieren Sie die Container Security API in Ihrem Projekt. Das Dashboard bietet Informationen aus Funktionen, die in GKE eingebunden sind, und aus bestimmten Google Cloud-Sicherheitsprodukten, die in Ihrem Projekt ausgeführt werden.

Clusterspezifische Features aktivieren

Die GKE-spezifischen Funktionen im Sicherheitsstatus-Dashboard sind so kategorisiert:

Wenn Sie GKE Enterprise verwenden, sind einige dieser Funktionen in neuen Clustern standardmäßig aktiviert. In der folgenden Tabelle werden die clusterspezifischen Features beschrieben:

Featurename Verfügbarkeit Enthaltene Funktionen
Kubernetes-Sicherheitsstatus – Standardstufe

Erfordert GKE-Version 1.27 oder höher.

  • GKE Enterprise Edition: Standardmäßig in allen neuen Clustern aktiviert
  • GKE Standard Edition: Standardmäßig in allen neuen Clustern deaktiviert.
Kubernetes-Sicherheitsstatus – erweiterte Stufe (Vorschau) In keiner Version und keinem Betriebsmodus automatisch aktiviert. Erfordert GKE Enterprise Edition.
Scannen auf Sicherheitslücken in Arbeitslasten – Standard-Stufe
  • GKE Enterprise Edition: Standardmäßig in allen neuen Clustern mit Version 1.27 und höher aktiviert
  • GKE Standard Edition: Standardmäßig aktiviert in allen neuen Clustern im Autopilot-Modus mit Version 1.27 und höher. Standardmäßig in allen Clustern im neuen Standardmodus deaktiviert.
Scannen von Arbeitslasten auf Sicherheitslücken – erweiterte Informationen zu Sicherheitslücken
  • GKE Enterprise Edition: Standardmäßig in allen neuen Clustern mit Version 1.27 und höher aktiviert
  • GKE Standard Edition: Standardmäßig deaktiviert in allen neuen Clustern.

Sie können diese Features für eigenständige GKE-Cluster oder Flottenmitgliedscluster aktivieren. Im Sicherheitsstatus-Dashboard können Sie alle Cluster gleichzeitig beobachten, einschließlich aller Mitglieder der Flotte in Ihrem Flotten-Host-Projekt.

Produktübergreifende Funktionen

Im Sicherheitsstatus-Dashboard können Sie Informationen aus anderen Google Cloud-Sicherheitsangeboten anzeigen, die in Ihrem Projekt ausgeführt werden. Dies bietet einen Überblick über den Sicherheitsstatus einer einzelnen Flotte oder der Cluster in einem bestimmten Projekt.

Name Beschreibung Aktivierungsmethode
Bedenken hinsichtlich der Lieferkette – Binärautorisierung (Vorschau)

Sucht nach folgenden Problemen beim Ausführen von Container-Images:

  • Images, die das Tag latest verwenden, entweder implizit oder explizit
  • Images (bereitgestellt von Digest), die vor mehr als 30 Tagen in Artifact Registry oder Container Registry (verworfen) hochgeladen wurden

Wenn Sie Images in Artifact Registry-Repositories verwenden, die zu einem anderen Projekt gehören, lassen Sie die Binärautorisierung diese Images im Artefaktprojekt lesen, indem Sie dem Dienst-Agent die entsprechende IAM-Rolle zuweisen. Eine Anleitung finden Sie unter Rollen mit der gcloud CLI gewähren.

Aktivieren Sie die Binary Authorization API in Ihrem Projekt. Eine Anleitung finden Sie unter Binärautorisierungsdienst aktivieren.

Einbindung in Security Command Center

Wenn Sie in Ihrer Organisation oder Ihrem Projekt die Standard- oder Premium-Stufe von Security Command Center verwenden, werden die Ergebnisse des Sicherheitsstatus-Dashboards in Security Command Center angezeigt. Weitere Informationen zu den angezeigten Ergebnistypen von Security Command Center finden Sie unter Sicherheitsquellen.

Vorteile des Sicherheitsstatus-Dashboards

Das Sicherheitsstatus-Dashboard ist eine grundlegende Sicherheitsmaßnahme, die Sie für jeden zulässigen GKE-Cluster aktivieren können. Google Cloud empfiehlt aus folgenden Gründen, das Sicherheitsstatus-Dashboard für alle Cluster zu verwenden:

  • Minimale Störungen: Die Funktionen beeinträchtigen oder stören keine laufenden Arbeitslasten.
  • Umsetzbare Empfehlungen: Wenn verfügbar, zeigt das Sicherheitsstatus-Dashboard Maßnahmen zur Behebung erkannter Probleme auf. Zu diesen Maßnahmen gehören Befehle, die Sie ausführen können, Beispiele für Konfigurationsänderungen, die Sie vornehmen sollten, und Ratschläge zur Entschärfung von Schwachstellen.
  • Visualisierung: Das Sicherheitsstatus-Dashboard bietet eine allgemeine Visualisierung der Aspekt, die sich auf Cluster in Ihrem Projekt auswirken. Es enthält Diagramme und Grafiken, die Ihren Fortschritt und die potenziellen Auswirkungen der einzelnen Aspekte zeigen.
  • Bewertete Ergebnisse: GKE weist den erkannten Problemen eine Schweregradbewertung zu, die auf den Kenntnissen unserer Sicherheitsteams und auf Branchenstandards basiert.
  • Prüfbare Ereignislogs: GKE fügt alle erkannten Probleme in Logging hinzu, um die Berichterstellung und Beobachtbarkeit zu verbessern.
  • Flottenbeobachtbarkeit: Wenn Sie GKE-Cluster bei einer Flotte registriert haben, können Sie im Dashboard alle Flottenmitgliedscluster Ihres Projekts und eigenständige GKE-Cluster im Projekt beobachten.

Preise für das GKE-Sicherheitsstatus-Dashboard

Für die Funktionen des Sicherheitsstatus-Dashboards gelten die folgenden Preise in Bezug auf eigenständige GKE-Cluster und Flotten-GKE-Cluster:

Preise für das GKE-Sicherheitsstatus-Dashboard
Prüfung der Arbeitslastkonfiguration Keine zusätzlichen Kosten
Anzeigen von Sicherheitsbulletins Keine zusätzlichen Kosten
GKE-Bedrohungserkennung (Vorschau) In den Kosten von GKE Enterprise enthalten. Weitere Informationen finden Sie auf der Seite mit den GKE-Preisen unter Enterprise Edition.
Scannen auf Sicherheitslücken im Container-Betriebssystem Keine zusätzlichen Kosten
Advanced Vulnerability Insights

Verwendet die Preise der Artefaktanalyse.

Weitere Informationen finden Sie auf der Seite mit den Preisen für Artifact Analysis unter Advanced Vulnerability Insights.

Lieferkette – Binärautorisierung (Vorschau) Keine zusätzlichen Kosten für Dashboard für den Sicherheitsstatus-Angelegenheiten. Die Verwendung anderer Binärautorisierungsfunktionen wie die Erzwingung ist jedoch von den Dashboard-Funktionen getrennt und unterliegt den Binärautorisierung für GKE-Preisen.

Für Einträge, die zu Cloud Logging hinzugefügt werden, gelten die Cloud Logging-Preise. Je nach Umfang der Umgebung und der Anzahl der erkannten Probleme kann es sein, dass Sie die kostenlosen Kontingente für Aufnahme und Speicherung für Logging nicht überschreiten. Weitere Informationen finden sich unter Logging-Preise.

Flottensicherheitsstatus verwalten

Wenn Sie Flotten mit Google Kubernetes Engine (GKE) Enterprise verwenden, können Sie die Funktionen des GKE-Sicherheitsstatus auf Flottenebene mit der gcloud CLI konfigurieren. GKE-Cluster, die Sie bei der Clustererstellung als Flottenmitglieder registrieren, übernehmen die Konfiguration des Sicherheitsstatus automatisch. Cluster, die bereits Mitglieder der Flotte waren, bevor Sie die Konfiguration des Sicherheitsstatus geändert haben, übernehmen die neue Konfiguration nicht. Diese übernommene Konfiguration überschreibt die Standardeinstellungen, die GKE auf neue Cluster anwendet.

Beim Aktivieren von GKE Enterprise werden die Ergebnisse der Complianceprüfung im Sicherheitsstatus-Dashboard angezeigt. Die Complianceprüfung vergleicht Ihre Cluster und Arbeitslasten mit Best Practices der Branche wie den Pod-Sicherheitsstandards. Weitere Informationen finden Sie unter Policy Controller-Bundles.

Informationen zum Ändern der Sicherheitsstatus der Flottenebene finden Sie unter Features des GKE-Sicherheitsstatus auf Flottenebene konfigurieren.

Über die Seite „Sicherheitsstatus“

Die Seite „Sicherheitsstatus“ in der Google Cloud Console hat die folgenden Tabs:

  • Dashboard: Eine allgemeine Darstellung der Ergebnisse Ihrer Scans. Umfasst Diagramme und funktionsspezifische Informationen.
  • Bedenken: Eine detaillierte filterbare Ansicht aller von GKE über Ihre Cluster und Arbeitslasten erkannten Bedenken. Sie können für einzelne Probleme Details und Optionen zur Risikominimierung aufrufen.
  • Einstellungen: Verwalten Sie die Konfiguration des Sicherheitsstatus für einzelne Cluster oder für Flotten.

Dashboard

Der Tab Dashboard bietet eine visuelle Darstellung der Ergebnisse verschiedener GKE-Sicherheitsscans und Informationen aus anderen Google Cloud-Sicherheitsprodukten, die in Ihrem Projekt aktiviert sind. Weitere Informationen zu den verfügbaren Scanfunktionen und anderen unterstützten Sicherheitsprodukten finden Sie in diesem Dokument unter Funktionsweise des Dashboards für die Sicherheitslage.

Wenn Sie Flotten mit GKE Enterprise verwenden, zeigt das Dashboard auch alle erkannten Bedenken für Cluster an, einschließlich Clustern in der Flotte des Projekts und der eigenständigen Cluster. Um das Dashboard umzuschalten, sodass der Status einer bestimmten Flotte angezeigt wird, wählen Sie das Hostprojekt für diese Flotte aus dem Drop-down-Menü der Projektauswahl in der Google Cloud Console aus. Wenn das ausgewählte Projekt die Container Security API aktiviert hat, zeigt das Dashboard Ergebnisse für alle Mitgliedscluster der Flotte dieses Projekts an.

Bedenken

Auf dem Tab Bedenken werden aktive Sicherheitsbedenken aufgeführt, die GKE beim Scannen Ihrer Cluster und Arbeitslasten erkennt. Auf dieser Seite werden nur Bedenken hinsichtlich der in der Clusterspezifische Featureaktivierung in diesem Dokument. Wenn Sie Flotten mit GKE Enterprise verwenden, können Sie Probleme bei Flottenmitgliedsclustern und bei eigenständigen GKE-Clustern sehen, die dem ausgewählten Projekt gehören.

Schweregradbewertungen

Gegebenenfalls weist GKE den erkannten Problemen eine Schweregradbewertung zu. Sie können diese Bewertungen verwenden, um zu bestimmen, wie schnell Sie das Ergebnis bearbeiten müssen. GKE verwendet die folgenden Schweregradbewertungen, die auf der Bewertungsskala des Allgemeines Bewertungssystem für Schwachstellen (CVSS Qualitative Severity Rating Scale) basieren:

  • Kritisch: Handeln Sie sofort. Ein Angriff führt zu einem Vorfall.
  • Hoch: Handeln Sie umgehend. Ein Angriff führt höchstwahrscheinlich zu einem Vorfall.
  • Mittel: Handeln Sie bald. Ein Angriff führt wahrscheinlich zu einem Vorfall.
  • Niedrig: Handeln Sie, wenn es Ihnen passt. Ein Angriff könnte zu einem Vorfall führen.

Die genaue Geschwindigkeit Ihrer Reaktion auf Bedenken hängt vom Bedrohungsmodell und der Risikotoleranz Ihres Unternehmens ab. Die Schweregrade sind eine qualitative Richtlinie, die Sie bei der Entwicklung eines gründlichen Reaktionsplans für Vorfälle unterstützt.

Tabelle mit Bedenken

In der Tabelle Bedenken werden alle von GKE erkannten Probleme angezeigt. Sie können die Standardansicht ändern, um Ergebnisse nach Art des Problems, Kubernetes-Namespace oder nach betroffenen Arbeitslasten zu gruppieren. Im Filterbereich können Sie die Ergebnisse nach Schweregradbewertung, Typ des Problems, Google Cloud-Standort und Clustername filtern. Wenn Sie die Details zu einem bestimmten Problem aufrufen möchten, klicken Sie auf den Namen des jeweiligen Problems.

Deatilseite „Bedenken“

Wenn Sie auf ein Problem in der Tabelle Bedenken klicken, wird der Bereich mit den Problemdetails geöffnet. Dieser Bereich enthält eine detaillierte Beschreibung des Problems und relevante Informationen wie betroffene Betriebssystemversionen für Sicherheitslücken, CVE-Links oder Risiken, die mit einem bestimmten Konfigurationsproblem verbunden sind. Im Detailbereich wird gegebenenfalls eine empfohlene Aktion angezeigt. Eine Arbeitslast mit dem Wert runAsNonRoot: false gibt beispielsweise die empfohlene Änderung an der Pod-Spezifikation zurück, um das Problem zu minimieren.

Im Tab Betroffene Arbeitslasten im Detailbereich des Problemfalls wird eine Liste der Arbeitslasten in Ihren registrierten Clustern angezeigt, die von diesem Problemfall betroffen sind.

Einstellungen

Auf dem Tab Einstellungen können Sie clusterspezifische Sicherheitsstatus, wie Scannen von Sicherheitslücken oder Prüfung der Arbeitslastkonfiguration, auf geeigneten GKE-Clustern in Ihrem Projekt oder Ihrer Flotte konfigurieren. Sie können den Aktivierungsstatus bestimmter Features für jeden Cluster aufrufen und diese Konfiguration für geeignete Cluster ändern. Wenn Sie Flotten mit GKE Enterprise verwenden, können Sie auch sehen, ob Ihre Flottenmitgliedscluster die gleichen Einstellungen wie die Konfiguration auf Flottenebene haben.

Beispielworkflow

Dieser Abschnitt ist ein Beispiel für den Arbeitsablauf eines Cluster-Administrators, der die Arbeitslasten in einem Cluster auf Probleme mit der Sicherheitskonfiguration (z. B. Root-Rechte) überprüfen möchte.

  1. Registrieren Sie den Cluster mithilfe der Google Cloud Console für den Scan des Kubernetes-Sicherheitsstatus.
  2. Prüfen Sie das Sicherheitsstatus-Dashboard auf Scanergebnisse. Es kann bis zu 30 Minuten dauern, bis diese angezeigt werden.
  3. Klicken Sie auf den Tab Bedenken, um die detaillierten Ergebnisse zu öffnen.
  4. Wählen Sie den Filtertyp Konfiguration aus.
  5. Klicken Sie in der Tabelle auf einen Problemfall.
  6. Beachten Sie im Detailbereich für das Problem die empfohlene Konfigurationsänderung und aktualisieren Sie die Pod-Spezifikation mit der Empfehlung.
  7. Wenden Sie die aktualisierte Pod-Spezifikation auf den Cluster an.

Wenn der Scan das nächste Mal ausgeführt wird, zeigt das Sicherheitsstatus-Dashboard nicht mehr das Problem an, das Sie behoben haben.

Nächste Schritte