Halaman ini menyediakan ringkasan dasbor postur keamanan di Konsol Google Cloud, yang memberi Anda rekomendasi opini dan dapat ditindaklanjuti untuk meningkatkan postur keamanan Anda. Untuk menjelajahi dasbor sendiri, buka halaman Postur Keamanan di Konsol Google Cloud.
Kapan harus menggunakan dasbor postur keamanan
Anda harus menggunakan dasbor postur keamanan jika Anda adalah administrator cluster atau administrator keamanan yang ingin mengotomatiskan deteksi dan pelaporan masalah keamanan umum di beberapa cluster dan workload, dengan gangguan dan intrusi yang minimal terhadap aplikasi yang sedang berjalan. Dasbor postur keamanan terintegrasi dengan produk-produk seperti Cloud Logging, Pengontrol Kebijakan, dan Otorisasi Biner untuk meningkatkan visibilitas postur keamanan Anda.
Jika menggunakan Kontrol Layanan VPC, Anda juga dapat memperbarui perimeter untuk melindungi dasbor postur keamanan dengan menambahkan containersecurity.googleapis.com ke daftar layanan.
Dasbor postur keamanan tidak mengubah tanggung jawab kami atau tanggung jawab Anda berdasarkan model tanggung jawab bersama. Anda tetap bertanggung jawab untuk melindungi beban kerja Anda.
Penggunaan dalam konteks strategi keamanan yang lebih luas
Dasbor postur keamanan memberikan insight tentang postur keamanan workload Anda pada fase runtime siklus proses pengiriman software. Untuk mendapatkan cakupan aplikasi yang komprehensif di sepanjang siklus proses, mulai dari kontrol sumber hingga pemeliharaan, sebaiknya gunakan dasbor dengan alat keamanan lainnya.
GKE menawarkan alat berikut untuk memantau keamanan dan kepatuhan di Konsol Google Cloud:
- Dasbor postur keamanan, tersedia di tingkat GKE Standard dan tingkat GKE Enterprise.
- Dasbor Kepatuhan GKE, tersedia di tingkat GKE Enterprise. Untuk mengetahui detailnya, lihat Tentang dasbor Kepatuhan GKE.
Untuk mengetahui detail selengkapnya tentang alat lain yang tersedia dan praktik terbaik untuk mengamankan aplikasi Anda secara menyeluruh, lihat Melindungi supply chain software Anda.
Sebaiknya Anda juga menerapkan rekomendasi sebanyak mungkin dari Meningkatkan keamanan cluster.
Cara kerja dasbor postur keamanan
Untuk menggunakan dasbor postur keamanan, aktifkan Container Security API di project Anda. Dasbor ini menampilkan insight dari kemampuan yang dibangun ke dalam GKE dan dari produk keamanan Google Cloud tertentu yang berjalan di project Anda.
Pengaktifan fitur khusus cluster
Kemampuan khusus GKE di dasbor postur keamanan dikategorikan sebagai berikut:
- Postur keamanan Kubernetes: Postur keamanan objek dan resource Kubernetes dalam cluster, seperti spesifikasi Pod. Untuk mengetahui detailnya, lihat Tentang pemindaian postur keamanan Kubernetes.
- Pemindaian kerentanan workload: Postur keamanan sistem operasi container dan paket bahasa aplikasi. Untuk mengetahui detailnya, lihat Tentang pemindaian kerentanan workload.
| Jenis | Cara mengaktifkan | Fitur yang disertakan |
|---|---|---|
| Postur keamanan Kubernetes - tingkat standar | Diaktifkan secara otomatis di cluster baru Autopilot dan Standard yang menjalankan GKE versi 1.27 dan yang lebih baru. | |
| Postur keamanan Kubernetes - tingkat lanjutan (Pratinjau) | Tidak diaktifkan secara otomatis dalam versi atau mode operasi apa pun. Hanya tersedia untuk pengguna GKE Enterprise. | |
| Pemindaian kerentanan workload - tingkatan standar | Autopilot: Aktif secara otomatis saat Anda membuat cluster baru yang menjalankan versi 1.27 dan yang lebih baru. Standar: Tidak diaktifkan secara otomatis pada versi apa pun. |
|
| Pemindaian kerentanan workload - insight kerentanan lanjutan | Tersedia untuk diaktifkan di versi 1.27 dan yang lebih baru. Tidak diaktifkan secara otomatis dalam versi atau mode operasi apa pun. |
Anda dapat mengaktifkan fitur ini untuk cluster GKE mandiri atau cluster anggota fleet. Dasbor postur keamanan memungkinkan Anda mengamati semua cluster secara bersamaan, termasuk semua anggota fleet dalam project host fleet Anda.
Fitur lintas produk
Dasbor postur keamanan dapat menampilkan insight dari penawaran keamanan Google Cloud lainnya yang berjalan di project Anda. Cara ini memberikan ringkasan tentang status keamanan fleet atau cluster dalam project tertentu.
| Nama | Deskripsi | Cara mengaktifkan |
|---|---|---|
| Masalah supply chain - Otorisasi Biner (Pratinjau) | Memeriksa masalah berikut saat menjalankan image container:
Jika Anda menggunakan image di repositori Artifact Registry yang merupakan bagian dari project lain, izinkan Otorisasi Biner membaca image tersebut di project artefak dengan memberikan peran IAM yang relevan kepada agen layanan. Untuk mengetahui petunjuknya, lihat Memberikan peran menggunakan gcloud CLI. |
Aktifkan Binary Authorization API di project Anda. Untuk petunjuknya, lihat Mengaktifkan layanan Otorisasi Biner. |
Integrasi dengan Security Command Center
Jika Anda menggunakan paket Standar atau paket Premium Security Command Center di organisasi atau project, Anda akan melihat temuan dasbor postur keamanan di Security Command Center. Untuk detail selengkapnya tentang jenis temuan Security Command Center yang akan Anda lihat, lihat Sumber keamanan.
Manfaat dasbor postur keamanan
Dasbor postur keamanan adalah langkah keamanan dasar yang dapat Anda aktifkan untuk setiap cluster GKE yang memenuhi syarat. Google Cloud merekomendasikan penggunaan dasbor postur keamanan untuk semua cluster Anda karena alasan berikut:
- Gangguan minimal: Fitur tidak mengganggu atau mengganggu workload yang berjalan.
- Rekomendasi yang dapat ditindaklanjuti: Jika tersedia, dasbor postur keamanan menyediakan item tindakan untuk memperbaiki masalah yang ditemukan. Tindakan ini mencakup perintah yang dapat Anda jalankan, contoh perubahan konfigurasi yang harus dibuat, dan saran tentang tindakan yang harus dilakukan untuk memitigasi kerentanan.
- Visualisasi: Dasbor postur keamanan memberikan visualisasi tingkat tinggi mengenai masalah yang memengaruhi cluster di seluruh project Anda, dan menyertakan diagram serta grafik untuk menunjukkan progres yang Anda capai dan dampak potensial dari setiap masalah.
- Hasil opini: GKE menetapkan rating tingkat keparahan untuk masalah yang ditemukan berdasarkan keahlian tim keamanan dan standar industri kami.
- Log peristiwa yang dapat diaudit: GKE menambahkan semua masalah yang ditemukan ke Logging untuk mendapatkan pelaporan dan kemampuan observasi yang lebih baik.
- Kemampuan observasi perangkat: Jika Anda telah mendaftarkan cluster GKE ke sebuah armada, dasbor ini memungkinkan Anda mengamati semua cluster project Anda, termasuk cluster anggota fleet dan cluster GKE mandiri dalam project.
Harga dasbor postur keamanan GKE
Harga untuk kemampuan dashboard postur keamanan adalah sebagai berikut, berlaku untuk cluster GKE mandiri dan cluster GKE fleet:
| Harga dasbor postur keamanan GKE | |
|---|---|
| Audit konfigurasi workload | Tanpa biaya tambahan |
| Pemunculan buletin keamanan | Tanpa biaya tambahan |
| Deteksi ancaman GKE (Pratinjau) | Termasuk dalam biaya GKE Enterprise. Untuk mengetahui detailnya, di halaman harga GKE, lihat Edisi perusahaan. |
| Pemindaian kerentanan container OS | Tanpa biaya tambahan |
| Advanced vulnerability insights | Menggunakan harga Analisis Artefak. Untuk mengetahui detailnya, pada halaman harga Artifact Analysis, lihat Advanced Vulnerability Insights. |
| Supply chain - Otorisasi Biner (Pratinjau) | Tanpa biaya tambahan untuk masalah dasbor postur keamanan. Namun, penggunaan fitur Otorisasi Biner lainnya seperti penerapan terpisah dari fungsi dasbor, dan tunduk pada penetapan harga Otorisasi Biner untuk GKE. |
Entri yang ditambahkan ke Cloud Logging menggunakan harga Cloud Logging. Namun, bergantung pada skala lingkungan dan jumlah masalah yang ditemukan, Anda mungkin tidak melebihi alokasi penyimpanan dan penyerapan gratis untuk Logging. Untuk mengetahui detailnya, lihat Harga logging.
Mengelola postur keamanan perangkat
Jika menggunakan fleets dengan edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengonfigurasi fitur postur keamanan GKE di level fleet menggunakan gcloud CLI. Cluster GKE yang Anda daftarkan sebagai anggota fleet selama pembuatan cluster otomatis mewarisi konfigurasi postur keamanan. Cluster yang sudah menjadi anggota fleet sebelum Anda mengubah konfigurasi postur keamanan tidak mewarisi konfigurasi baru.
Mengaktifkan GKE Enterprise akan menampilkan hasil audit kepatuhan di dasbor postur keamanan. Audit kepatuhan membandingkan cluster dan workload Anda dengan praktik terbaik industri seperti Standar Keamanan Pod. Untuk informasi selengkapnya, lihat Paket Pengontrol Kebijakan.
Untuk mempelajari cara mengubah konfigurasi postur keamanan tingkat fleet, lihat Mengonfigurasi fitur dasbor postur keamanan GKE di level fleet.
Tentang halaman Postur Keamanan
Halaman Postur Keamanan di konsol Google Cloud memiliki tab berikut:
- Dasbor: representasi tingkat tinggi dari hasil pemindaian Anda. Menyertakan diagram dan informasi khusus fitur.
- Kekhawatiran: tampilan mendetail yang dapat difilter dari setiap masalah yang ditemukan oleh GKE di seluruh cluster dan workload Anda. Anda dapat memilih masalah satu per satu untuk mengetahui detail dan opsi mitigasi.
- Setelan: kelola konfigurasi fitur postur keamanan untuk cluster individual atau untuk fleet.
Dasbor
Tab Dashboard memberikan representasi visual dari hasil berbagai pemindaian postur keamanan GKE dan informasi dari produk keamanan Google Cloud lainnya yang diaktifkan dalam project Anda. Untuk mengetahui detail tentang kemampuan pemindaian yang tersedia dan produk keamanan lainnya yang didukung, lihat Cara kerja dasbor postur keamanan dalam dokumen ini.
Jika Anda menggunakan fleet dengan GKE Enterprise, dasbor juga menampilkan semua masalah yang ditemukan untuk cluster, termasuk cluster dalam fleet project dan cluster mandiri. Untuk mengalihkan dasbor guna melihat postur fleet tertentu, pilih project host untuk fleet tersebut dari menu drop-down pemilih project di Konsol Google Cloud. Jika project yang dipilih mengaktifkan Container Security API, dasbor akan menampilkan hasil untuk semua cluster anggota dari fleet project tersebut.
Kekhawatiran
Tab Concerns mencantumkan masalah keamanan aktif yang ditemukan GKE saat memindai cluster dan workload Anda. Halaman ini hanya menampilkan kekhawatiran untuk fitur postur keamanan yang dijelaskan dalam Pengaktifan fitur khusus cluster dalam dokumen ini. Jika menggunakan fleet dengan GKE Enterprise, Anda dapat melihat kekhawatiran untuk cluster anggota armada dan untuk cluster GKE mandiri yang dimiliki project yang dipilih.
Rating tingkat keparahan
Jika memungkinkan, GKE akan menetapkan rating tingkat keparahan untuk masalah yang ditemukan. Anda dapat menggunakan rating ini untuk menentukan urgensi yang diperlukan untuk menyelesaikan temuan. GKE menggunakan rating tingkat keparahan berikut, yang didasarkan pada Skala Rating Keparahan Kualitatif CVSS:
- Kritis: Segera bertindak. Serangan akan menyebabkan insiden.
- Tinggi: Cepat bertindak. Serangan sangat berpotensi menyebabkan suatu insiden.
- Medium: Bertindak dalam waktu dekat. Serangan berpotensi menyebabkan suatu insiden.
- Rendah: Bertindak setelah beberapa waktu. Serangan tampaknya dapat menyebabkan insiden.
Kecepatan respons yang tepat terhadap masalah bergantung pada model ancaman dan toleransi risiko organisasi Anda. Rating tingkat keparahan merupakan panduan kualitatif untuk membantu Anda mengembangkan rencana respons insiden yang menyeluruh.
Tabel masalah
Tabel Masalah menampilkan semua masalah yang terdeteksi oleh GKE. Anda dapat mengubah tampilan default untuk mengelompokkan hasil berdasarkan jenis masalah, namespace Kubernetes, atau beban kerja yang terpengaruh. Anda dapat menggunakan panel filter untuk memfilter hasil menurut rating tingkat keparahan, jenis masalah, lokasi Google Cloud, dan nama cluster. Untuk melihat detail masalah tertentu, klik nama masalah tersebut.
Panel detail masalah
Saat Anda mengklik masalah di tabel Concerns, panel detail masalah akan terbuka. Panel ini memberikan deskripsi mendetail tentang masalah tersebut, dan informasi yang relevan seperti versi OS yang terpengaruh untuk kerentanan, link CVE, atau risiko yang terkait dengan masalah konfigurasi tertentu. Panel detail
memberikan tindakan yang direkomendasikan jika berlaku. Misalnya, workload yang menetapkan
runAsNonRoot: false akan menampilkan perubahan yang direkomendasikan yang perlu Anda lakukan pada
spesifikasi Pod untuk memitigasi kekhawatiran.
Tab Resource yang terpengaruh di panel detail perhatian menampilkan daftar beban kerja di cluster terdaftar Anda yang terpengaruh oleh masalah tersebut.
Setelan
Tab Settings memungkinkan Anda mengonfigurasi fitur postur keamanan khusus cluster, seperti pemindaian kerentanan workload atau pengauditan konfigurasi workload pada cluster GKE yang memenuhi syarat di project atau fleet Anda. Anda dapat melihat status pengaktifan fitur tertentu untuk setiap cluster dan mengubah konfigurasi tersebut untuk cluster yang memenuhi syarat. Jika menggunakan fleet dengan GKE Enterprise, Anda juga dapat melihat apakah cluster anggota fleet Anda memiliki setelan yang sama dengan konfigurasi level fleet.
Contoh alur kerja
Bagian ini adalah contoh alur kerja bagi administrator cluster yang ingin memindai workload dalam cluster untuk menemukan masalah konfigurasi keamanan, seperti hak istimewa root.
- Daftarkan cluster dalam pemindaian postur keamanan Kubernetes menggunakan konsol Google Cloud.
- Periksa dasbor postur keamanan untuk melihat hasil pemindaian, yang mungkin memerlukan waktu hingga 15 menit untuk muncul.
- Klik tab Masalah untuk membuka hasil mendetail.
- Pilih filter jenis masalah Konfigurasi.
- Klik masalah di tabel.
- Di panel detail masalah, perhatikan perubahan konfigurasi yang direkomendasikan dan perbarui spesifikasi Pod dengan rekomendasi.
- Terapkan spesifikasi Pod yang telah diperbarui ke cluster.
Saat pemindaian berjalan lagi, dasbor postur keamanan tidak lagi menampilkan masalah yang telah Anda perbaiki.
Langkah selanjutnya
- Pelajari audit konfigurasi workload lebih lanjut
- Pelajari cara mengaktifkan pemindaian otomatis workload untuk masalah konfigurasi
- Pelajari cara mengaktifkan pemindaian otomatis image container Anda untuk mencari kerentanan yang diketahui
- Pelajari cara mengaktifkan deteksi ancaman GKE (Pratinjau)