Questa pagina fornisce una panoramica della dashboard della security posture nella console Google Cloud, fornendo suggerimenti utili e strategici per migliorare la security posture. Per esplorare personalmente la dashboard, vai alla pagina Security posture nella console Google Cloud.
Quando utilizzare la dashboard della security posture
La dashboard della security posture è consigliata se sei un amministratore di cluster o un amministratore della sicurezza che vuole automatizzare il rilevamento e la segnalazione di problemi di sicurezza comuni in più cluster e carichi di lavoro, con intrusioni e interruzioni minime nelle applicazioni in esecuzione. La dashboard della security posture si integra con prodotti quali Cloud Logging, Policy Controller e Autorizzazione binaria per migliorare la visibilità della postura di sicurezza.
Se utilizzi Controlli di servizio VPC, puoi anche
aggiornare i perimetri
per proteggere la dashboard della security posture aggiungendo
containersecurity.googleapis.com all'elenco dei servizi.
La dashboard della strategia di sicurezza non modifica nessuna delle nostre responsabilità o delle tue responsabilità nell'ambito del modello di responsabilità condivisa. Sei comunque responsabile della protezione dei tuoi carichi di lavoro.
Utilizzo nell'ambito di un'ampia strategia di sicurezza
La dashboard della strategia di sicurezza fornisce insight sulla strategia di sicurezza dei carichi di lavoro nella fase di runtime del ciclo di vita della distribuzione del software. Per ottenere una copertura completa delle tue applicazioni durante l'intero ciclo di vita, dal controllo del codice sorgente alla manutenzione, ti consigliamo di utilizzare la dashboard insieme ad altri strumenti di sicurezza.
GKE offre i seguenti strumenti per monitorare sicurezza e conformità nella console Google Cloud:
- La dashboard della security posture, disponibile nel livello GKE Standard e GKE Enterprise.
- La dashboard di conformità di GKE, disponibile nel livello GKE Enterprise. Per maggiori dettagli, consulta Informazioni sulla dashboard di conformità GKE.
Per ulteriori dettagli sugli altri strumenti disponibili e per conoscere le best practice per salvaguardare le tue applicazioni dall'inizio alla fine, consulta Proteggere la catena di fornitura del software.
Ti consigliamo inoltre di implementare il maggior numero possibile di suggerimenti da Rafforzare la sicurezza del cluster.
Come funziona la dashboard della security posture
Per utilizzare la dashboard della security posture, abilita l'API Container Security nel tuo progetto. La dashboard mostra insight dalle funzionalità integrate in GKE e da alcuni prodotti per la sicurezza di Google Cloud in esecuzione nel tuo progetto.
Abilitazione di funzionalità specifiche per il cluster
Le funzionalità specifiche per GKE nella dashboard della security posture sono classificate come segue:
- Postura di sicurezza di Kubernetes: la strategia di sicurezza per oggetti e risorse Kubernetes nel cluster, ad esempio le specifiche dei pod. Per maggiori dettagli, consulta Informazioni sulla scansione della postura di sicurezza di Kubernetes.
- Analisi delle vulnerabilità del carico di lavoro: la strategia di sicurezza del sistema operativo del container e dei pacchetti di linguaggio delle applicazioni. Per maggiori dettagli, consulta Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro.
Se utilizzi GKE Enterprise, alcune di queste funzionalità sono abilitate per impostazione predefinita nei nuovi cluster. La tabella seguente descrive le funzionalità specifiche del cluster:
| Nome caratteristica | Disponibilità | Funzionalità incluse |
|---|---|---|
| Strategia di sicurezza per Kubernetes - livello Standard |
Richiede GKE 1.27 o versioni successive.
|
|
| Strategia di sicurezza Kubernetes - Livello avanzato (anteprima) | Non abilitato automaticamente in qualsiasi versione o modalità operativa. Richiede la versione GKE Enterprise. | |
| Analisi delle vulnerabilità dei carichi di lavoro - livello standard |
|
|
| Analisi delle vulnerabilità dei carichi di lavoro - Advanced Vulnerability Insights |
|
Puoi abilitare queste funzionalità per cluster GKE autonomi o cluster membri del parco risorse. La dashboard della security posture ti consente di osservare contemporaneamente tutti i cluster, inclusi tutti i membri del parco risorse nel progetto host del parco risorse.
Funzionalità in più prodotti
La dashboard della security posture può mostrare insight da altre offerte per la sicurezza di Google Cloud in esecuzione nel tuo progetto. Fornisce una panoramica dello stato di sicurezza di un singolo parco risorse o dei cluster in un progetto specifico.
| Nome | Descrizione | Come attivarlo |
|---|---|---|
| Problemi della catena di fornitura - Autorizzazione binaria (anteprima) | Controlla i seguenti problemi con l'esecuzione delle immagini container:
Se utilizzi immagini nei repository Artifact Registry che appartengono a un progetto diverso, consenti a Autorizzazione binaria di leggerle nel progetto dell'artefatto concedendo il ruolo IAM pertinente all'agente di servizio. Per le istruzioni, vedi Concedi ruoli utilizzando gcloud CLI. |
Abilita l'API Binary Authorization nel tuo progetto. Per le istruzioni, consulta Abilitare il servizio Autorizzazione binaria. |
Integrazione con Security Command Center
Se utilizzi il livello Standard o Premium di Security Command Center nella tua organizzazione o nel tuo progetto, vedrai i risultati della dashboard della security posture in Security Command Center. Per maggiori dettagli sui tipi di risultati di Security Command Center che vedrai, consulta Origini di sicurezza.
Vantaggi della dashboard della security posture
La dashboard della security posture è una misura di sicurezza di base che puoi abilitare per qualsiasi cluster GKE idoneo. Google Cloud consiglia di utilizzare la dashboard della security posture per tutti i cluster per i seguenti motivi:
- Interruzioni minime: le funzionalità non interrompono o interferiscono con i carichi di lavoro in esecuzione.
- Suggerimenti utili: se disponibile, la dashboard della security posture fornisce attività per risolvere i problemi rilevati. Queste azioni includono comandi che puoi eseguire, esempi di modifiche alla configurazione da apportare e consigli su cosa fare per mitigare le vulnerabilità.
- Visualizzazione: la dashboard della security posture offre una visualizzazione generale dei problemi che interessano i cluster del progetto e include tabelle e grafici per mostrare i progressi compiuti e il potenziale impatto di ogni problema.
- Risultati opinati: GKE assegna una classificazione di gravità ai problemi rilevati in base all'esperienza dei nostri team di sicurezza e degli standard di settore.
- Log degli eventi verificabili: GKE aggiunge a Logging tutti i problemi rilevati per migliorare la segnalabilità e l'osservabilità.
- Osservabilità del parco risorse: se hai registrato cluster GKE in un parco risorse, la dashboard ti consente di osservare tutti i cluster del progetto, inclusi i cluster dei membri del parco risorse e qualsiasi cluster GKE autonomo nel progetto.
Prezzi della dashboard della strategia di sicurezza di GKE
Di seguito sono riportati i prezzi per le funzionalità della dashboard della postura di sicurezza, applicabili ai cluster GKE autonomi e al parco di cluster GKE:
| Prezzi della dashboard della strategia di sicurezza di GKE | |
|---|---|
| Controllo della configurazione del carico di lavoro | Senza costi aggiuntivi |
| Visualizzazione del bollettino sulla sicurezza | Senza costi aggiuntivi |
| Rilevamento delle minacce GKE (anteprima) | Incluso nel costo di GKE Enterprise. Per maggiori dettagli, nella pagina dei prezzi di GKE, consulta Versione Enterprise. |
| Analisi delle vulnerabilità del sistema operativo dei container | Senza costi aggiuntivi |
| Advanced Vulnerability Insights | Utilizza i prezzi di Artifact Analysis. Per maggiori dettagli, nella pagina dei prezzi di Artifact Analysis, consulta Advanced Vulnerability Insights. |
| Catena di fornitura - Autorizzazione binaria (anteprima) | Nessun costo aggiuntivo per i problemi della dashboard relativi alla security posture. Tuttavia, l'utilizzo di altre funzionalità di Autorizzazione binaria, come l'applicazione, è separato dalla funzionalità della dashboard ed è soggetto ai prezzi di Autorizzazione binaria per GKE. |
Le voci aggiunte a Cloud Logging utilizzano i prezzi di Cloud Logging. Tuttavia, a seconda della scala del tuo ambiente e del numero di problemi rilevati, potresti non superare le allocazioni gratuite per l'importazione e lo spazio di archiviazione per Logging. Per maggiori dettagli, consulta Prezzi di Logging.
Gestisci la security posture del parco risorse
Se utilizzi i parchi risorse con la versione Google Kubernetes Engine (GKE) Enterprise, puoi configurare le funzionalità della strategia di sicurezza di GKE a livello del parco risorse utilizzando gcloud CLI. I cluster GKE che registri come membri del parco risorse durante la creazione del cluster ereditano automaticamente la configurazione della postura di sicurezza. I cluster che erano già membri del parco risorse prima della modifica della configurazione della postura di sicurezza non ereditano la nuova configurazione. Questa configurazione ereditata sostituisce le impostazioni predefinite che GKE applica ai nuovi cluster.
L'abilitazione di GKE Enterprise visualizza i risultati del controllo di conformità nella dashboard della security posture. I controlli di conformità confrontano i cluster e i carichi di lavoro con le best practice del settore, come gli standard di sicurezza dei pod. Per ulteriori informazioni, consulta la pagina Pacchetti di Policy Controller.
Per scoprire come modificare la configurazione della postura di sicurezza a livello di parco risorse, consulta Configurare le funzionalità della dashboard della postura di sicurezza di GKE a livello di parco risorse.
Informazioni sulla pagina Security posture
La pagina Security posture nella console Google Cloud contiene le seguenti schede:
- Dashboard: una rappresentazione di alto livello dei risultati delle scansioni. Include grafici e informazioni specifiche sulle funzionalità.
- Precauzioni: una visualizzazione dettagliata e filtrabile di eventuali problemi rilevati da GKE nei cluster e nei carichi di lavoro. Puoi selezionare singoli problemi per i dettagli e le opzioni di mitigazione.
- Impostazioni: gestisci la configurazione delle funzionalità della postura di sicurezza per i singoli cluster o per i parchi risorse.
Dashboard
La scheda Dashboard fornisce una rappresentazione visiva dei risultati di varie analisi della security posture di GKE e delle informazioni provenienti da altri prodotti per la sicurezza Google Cloud abilitati nel tuo progetto. Per maggiori dettagli sulle funzionalità di analisi disponibili e su altri prodotti di sicurezza supportati, consulta Come funziona la dashboard della security posture in questo documento.
Se utilizzi parchi risorse con GKE Enterprise, la dashboard mostra anche eventuali problemi rilevati per i cluster, inclusi i cluster nel parco risorse del progetto e i cluster autonomi. Per cambiare la dashboard in modo da visualizzare la postura di un parco risorse specifico, seleziona il progetto host per quel parco risorse dal menu a discesa del selettore progetti nella console Google Cloud. Se nel progetto selezionato è abilitata l'API Container Security, la dashboard mostra i risultati per tutti i cluster membri del parco risorse del progetto.
Problemi
La scheda Problemi elenca i problemi di sicurezza attivi che GKE rileva durante l'analisi di cluster e carichi di lavoro. Questa pagina mostra solo i dubbi per le funzionalità della postura di sicurezza descritte in Abilitazione delle funzionalità specifiche del cluster in questo documento. Se utilizzi parchi risorse con GKE Enterprise, puoi visualizzare i problemi per i cluster membri del parco risorse e per i cluster GKE autonomi di proprietà del progetto selezionato.
Classificazioni della gravità
Ove applicabile, GKE assegna un grado di gravità alle preoccupazioni rilevate. Puoi utilizzare queste classificazioni per determinare l'urgenza con cui hai bisogno di risolvere il risultato. GKE utilizza le seguenti classificazioni di gravità, basate sulla scala di valutazione della gravità qualitativa CVSS:
- Critica: intervieni immediatamente. Un attacco comporterà un incidente.
- Alto: intervieni tempestivamente. È molto probabile che un attacco porti a un incidente.
- Medio: intervieni tempestivamente. Un attacco probabilmente porterà a un incidente.
- Basso: intervieni eventualmente. Un attacco potrebbe causare un incidente.
La velocità esatta di risposta ai problemi dipende dal modello di minaccia e dalla tolleranza al rischio della tua organizzazione. I livelli di gravità sono una linea guida qualitativa per aiutarti a sviluppare un piano di risposta agli incidenti approfondito.
Tabella dei problemi
La tabella Dubbi mostra tutti i problemi rilevati da GKE. Puoi cambiare la visualizzazione predefinita per raggruppare i risultati in base al tipo di problema, allo spazio dei nomi Kubernetes o ai carichi di lavoro interessati. Puoi utilizzare il riquadro dei filtri per filtrare i risultati in base a valutazione di gravità, tipo di problema, località di Google Cloud e nome del cluster. Per visualizzare i dettagli di un problema specifico, fai clic sul relativo nome.
Riquadro dei dettagli del problema
Quando fai clic su un problema nella tabella Dubbi, viene visualizzato il riquadro dei dettagli del problema. Questo riquadro fornisce una descrizione dettagliata del problema e informazioni pertinenti come le versioni del sistema operativo interessate per le vulnerabilità, i link CVE o i rischi associati a un problema di configurazione specifico. Il riquadro dei dettagli
fornisce un'azione consigliata, se applicabile. Ad esempio, un carico di lavoro che imposta runAsNonRoot: false restituisce la modifica consigliata da apportare alla specifica del pod per mitigare il problema.
La scheda Risorse interessate nel riquadro dei dettagli del problema mostra un elenco dei carichi di lavoro nei cluster registrati che sono interessati dal problema.
Impostazioni
La scheda Impostazioni consente di configurare funzionalità della strategia di sicurezza specifiche per il cluster, come l'analisi delle vulnerabilità dei carichi di lavoro o il controllo della configurazione dei carichi di lavoro, sui cluster GKE idonei nel progetto o nel parco risorse. Puoi visualizzare lo stato di attivazione di funzionalità specifiche per ciascun cluster e modificare la configurazione per i cluster idonei. Se utilizzi i parchi risorse con GKE Enterprise, puoi anche vedere se i cluster membri del parco risorse hanno le stesse impostazioni della configurazione a livello di parco risorse.
Flusso di lavoro di esempio
Questa sezione è un esempio del flusso di lavoro per un amministratore di cluster che vuole analizzare i carichi di lavoro in un cluster per rilevare eventuali problemi di configurazione della sicurezza, ad esempio i privilegi principali.
- Registra il cluster nell'analisi della strategia di sicurezza di Kubernetes utilizzando la console Google Cloud.
- Controlla la dashboard della postura di sicurezza per verificare i risultati della scansione, la cui visualizzazione potrebbe richiedere fino a 15 minuti.
- Fai clic sulla scheda Problemi per aprire i risultati dettagliati.
- Seleziona il filtro del tipo di problema Configurazione.
- Fai clic su un problema nella tabella.
- Nel riquadro dei dettagli del problema, annota la modifica alla configurazione consigliata e aggiorna la specifica del pod con il suggerimento.
- Applica la specifica del pod aggiornata al cluster.
Alla successiva esecuzione della scansione, la dashboard della security posture non mostrerà più il problema che hai risolto.
Passaggi successivi
- Scopri di più sul controllo della configurazione dei carichi di lavoro
- Scopri come abilitare l'analisi automatica dei carichi di lavoro per rilevare eventuali problemi di configurazione
- Scopri come attivare l'analisi automatica delle immagini container per individuare vulnerabilità note
- Scopri come abilitare il rilevamento delle minacce per GKE (anteprima)