Halaman ini menyediakan ringkasan dasbor postur keamanan di Konsol Google Cloud, yang memberikan rekomendasi yang tegas dan dapat ditindaklanjuti untuk meningkatkan postur keamanan Anda. Untuk menjelajahi sendiri dasbor, buka halaman Postur Keamanan di Konsol Google Cloud.
Kapan harus menggunakan dasbor postur keamanan
Anda harus menggunakan dasbor postur keamanan jika Anda adalah administrator cluster atau administrator keamanan yang ingin mengotomatiskan deteksi dan pelaporan masalah keamanan umum di beberapa cluster dan workload, dengan gangguan dan intrusi yang minimal terhadap aplikasi yang sedang berjalan. Dasbor postur keamanan terintegrasi dengan produk seperti Cloud Logging, Pengontrol Kebijakan, dan Otorisasi Biner untuk meningkatkan visibilitas terkait postur keamanan Anda.
Jika menggunakan Kontrol Layanan VPC, Anda juga dapat memperbarui perimeter untuk melindungi dasbor postur keamanan dengan menambahkan containersecurity.googleapis.com ke daftar layanan.
Dasbor postur keamanan tidak mengubah tanggung jawab kami atau tanggung jawab Anda berdasarkan model tanggung jawab bersama. Anda tetap bertanggung jawab untuk melindungi workload Anda.
Penggunaan dalam konteks strategi keamanan yang lebih luas
Dasbor postur keamanan memberikan insight tentang postur keamanan workload Anda pada fase runtime siklus proses pengiriman software. Untuk mendapatkan cakupan aplikasi yang komprehensif di sepanjang siklus proses, mulai dari kontrol sumber hingga pemeliharaan, sebaiknya gunakan dasbor dengan alat keamanan lainnya.
GKE menawarkan alat berikut untuk memantau keamanan dan kepatuhan di Konsol Google Cloud:
- Dasbor postur keamanan, tersedia di GKE Standard dan GKE Enterprise.
- Dasbor Kepatuhan GKE, tersedia di tingkat GKE Enterprise. Untuk mengetahui detailnya, lihat Tentang dasbor Kepatuhan GKE.
Untuk mengetahui detail selengkapnya tentang alat lain yang tersedia dan praktik terbaik untuk mengamankan aplikasi Anda secara menyeluruh, lihat Melindungi supply chain software Anda.
Sebaiknya Anda juga menerapkan rekomendasi sebanyak mungkin dari Meningkatkan keamanan cluster.
Cara kerja dasbor postur keamanan
Untuk menggunakan dasbor postur keamanan, aktifkan Container Security API di project Anda. Dasbor ini menunjukkan insight dari kemampuan yang terintegrasi ke dalam GKE dan dari produk keamanan Google Cloud tertentu yang berjalan di project Anda.
Pengaktifan fitur khusus cluster
Kemampuan khusus GKE di dasbor postur keamanan dikategorikan sebagai berikut:
- Postur keamanan Kubernetes: Postur keamanan objek dan resource Kubernetes dalam cluster, seperti spesifikasi Pod. Untuk mengetahui detailnya, lihat Tentang pemindaian postur keamanan Kubernetes.
- Pemindaian kerentanan workload: Postur keamanan sistem operasi container dan paket bahasa aplikasi. Untuk mengetahui detailnya, lihat Tentang pemindaian kerentanan workload.
Jika Anda menggunakan GKE Enterprise, beberapa fitur ini diaktifkan secara default di cluster baru. Tabel berikut menjelaskan fitur khusus cluster:
| Nama perlengkapan | Ketersediaan | Kemampuan yang disertakan |
|---|---|---|
| Postur keamanan Kubernetes - tingkat standar |
Memerlukan GKE versi 1.27 atau yang lebih baru.
|
|
| Postur keamanan Kubernetes - tingkat lanjutan (Pratinjau) | Tidak diaktifkan secara otomatis dalam versi atau mode operasi apa pun. Memerlukan edisi GKE Enterprise. | |
| Pemindaian kerentanan workload - tingkatan standar |
|
|
| Pemindaian kerentanan workload - insight kerentanan lanjutan |
|
Anda dapat mengaktifkan fitur ini untuk cluster GKE mandiri atau cluster anggota fleet. Dasbor postur keamanan memungkinkan Anda mengamati semua cluster secara bersamaan, termasuk semua anggota fleet di project host fleet Anda.
Fitur lintas produk
Dasbor postur keamanan dapat menampilkan insight dari penawaran keamanan Google Cloud lainnya yang berjalan di project Anda. Fitur ini memberikan ringkasan status keamanan satu fleet atau cluster dalam project tertentu.
| Name | Deskripsi | Cara mengaktifkan |
|---|---|---|
| Masalah supply chain - Otorisasi Biner (Pratinjau) | Memeriksa masalah berikut terkait menjalankan image container:
Jika Anda menggunakan image di repositori Artifact Registry yang termasuk dalam project lain, izinkan Otorisasi Biner membaca image tersebut dalam project artefak dengan memberikan peran IAM yang relevan ke agen layanan. Untuk mengetahui petunjuknya, baca bagian Memberikan peran menggunakan gcloud CLI. |
Aktifkan Binary Authorization API di project Anda. Untuk mengetahui petunjuknya, lihat Mengaktifkan layanan Otorisasi Biner. |
Integrasi dengan Security Command Center
Jika Anda menggunakan paket Standar Security Command Center atau paket Premium di organisasi atau project, Anda akan melihat temuan dasbor postur keamanan di Security Command Center. Untuk detail selengkapnya tentang jenis temuan Security Command Center yang akan Anda lihat, lihat Sumber keamanan.
Manfaat dasbor postur keamanan
Dasbor postur keamanan adalah langkah keamanan dasar yang dapat Anda aktifkan untuk setiap cluster GKE yang memenuhi syarat. Google Cloud merekomendasikan penggunaan dasbor postur keamanan untuk semua cluster Anda karena alasan berikut:
- Gangguan minimal: Fitur tidak mengganggu atau mengganggu pengoperasian beban kerja.
- Rekomendasi yang dapat ditindaklanjuti: Jika tersedia, dasbor postur keamanan menyediakan item tindakan untuk memperbaiki masalah yang ditemukan. Tindakan ini mencakup perintah yang dapat Anda jalankan, contoh perubahan konfigurasi yang harus dibuat, dan saran tentang tindakan yang harus dilakukan untuk memitigasi kerentanan.
- Visualisasi: Dasbor postur keamanan memberikan visualisasi tingkat tinggi mengenai masalah yang memengaruhi cluster di seluruh project Anda, dan menyertakan diagram serta grafik untuk menunjukkan progres yang Anda capai dan dampak potensial dari setiap masalah.
- Hasil opini: GKE menetapkan rating tingkat keparahan untuk masalah yang ditemukan berdasarkan keahlian tim keamanan dan standar industri kami.
- Log peristiwa yang dapat diaudit: GKE menambahkan semua masalah yang ditemukan ke Logging untuk mendapatkan pelaporan dan kemampuan observasi yang lebih baik.
- Kemampuan observasi perangkat: Jika Anda telah mendaftarkan cluster GKE ke fleet, dasbor memungkinkan Anda mengamati semua cluster project, termasuk cluster anggota fleet dan cluster GKE mandiri dalam project.
Harga dasbor postur keamanan GKE
Harga untuk kemampuan dashboard postur keamanan adalah sebagai berikut, berlaku untuk cluster GKE mandiri dan cluster GKE fleet:
| Harga dasbor postur keamanan GKE | |
|---|---|
| Audit konfigurasi workload | Tanpa biaya tambahan |
| Pemunculan buletin keamanan | Tanpa biaya tambahan |
| Deteksi ancaman GKE (Pratinjau) | Termasuk dalam biaya GKE Enterprise. Untuk mengetahui detailnya, di halaman harga GKE, lihat Edisi Enterprise. |
| Pemindaian kerentanan container OS | Tanpa biaya tambahan |
| Advanced vulnerability insights | Menggunakan harga Artifact Analysis. Untuk mengetahui detailnya, pada halaman harga Artifact Analysis, lihat Advanced Vulnerability Insights. |
| Supply chain - Otorisasi Biner (Pratinjau) | Tanpa biaya tambahan untuk masalah dasbor postur keamanan. Namun, penggunaan fitur Otorisasi Biner lainnya seperti penerapan terpisah untuk fungsi dasbor, dan tunduk pada Otorisasi Biner untuk harga GKE. |
Entri yang ditambahkan ke Cloud Logging menggunakan harga Cloud Logging. Namun, bergantung pada skala lingkungan dan jumlah masalah yang ditemukan, Anda mungkin tidak melebihi alokasi penyimpanan dan penyerapan gratis untuk Logging. Untuk mengetahui detailnya, lihat Harga logging.
Mengelola postur keamanan perangkat
Jika menggunakan fleet dengan edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengonfigurasi fitur postur keamanan GKE di tingkat fleet menggunakan gcloud CLI. Cluster GKE yang Anda daftarkan sebagai anggota fleet selama pembuatan cluster akan otomatis mewarisi konfigurasi postur keamanan. Cluster yang sudah menjadi anggota fleet sebelum Anda mengubah konfigurasi postur keamanan tidak akan mewarisi konfigurasi baru. Konfigurasi yang diwariskan ini menggantikan setelan default yang diterapkan GKE ke cluster baru.
Mengaktifkan GKE Enterprise akan menampilkan hasil pengauditan kepatuhan di dasbor postur keamanan. Audit kepatuhan membandingkan cluster dan workload Anda dengan praktik terbaik industri seperti Standar Keamanan Pod. Untuk mengetahui informasi selengkapnya, lihat Paket Pengontrol Kebijakan.
Untuk mempelajari cara mengubah konfigurasi postur keamanan tingkat fleet, lihat Mengonfigurasi fitur dasbor postur keamanan GKE di tingkat fleet.
Tentang halaman Postur Keamanan
Halaman Postur Keamanan di konsol Google Cloud memiliki tab berikut:
- Dasbor: representasi tingkat tinggi dari hasil pemindaian Anda. Menyertakan diagram dan informasi khusus fitur.
- Kekhawatiran: tampilan mendetail yang dapat difilter dari setiap masalah yang ditemukan oleh GKE di seluruh cluster dan workload Anda. Anda dapat memilih masalah satu per satu untuk mengetahui detail dan opsi mitigasi.
- Setelan: mengelola konfigurasi fitur postur keamanan untuk setiap cluster atau fleet.
Dashboard
Tab Dashboard memberikan representasi visual dari hasil berbagai pemindaian postur keamanan GKE dan informasi dari produk keamanan Google Cloud lainnya yang diaktifkan di project Anda. Untuk mengetahui detail tentang kemampuan pemindaian yang tersedia dan produk keamanan lainnya yang didukung, lihat Cara kerja dasbor postur keamanan dalam dokumen ini.
Jika Anda menggunakan fleet dengan GKE Enterprise, dasbor juga akan menampilkan masalah apa pun yang ditemukan terkait cluster, termasuk cluster dalam fleet project dan cluster mandiri. Untuk mengalihkan dasbor guna melihat postur fleet tertentu, pilih project host untuk perangkat tersebut dari menu drop-down pemilih project di konsol Google Cloud. Jika project yang dipilih mengaktifkan Container Security API, dasbor akan menampilkan hasil untuk semua cluster anggota dari fleet project tersebut.
Masalah
Tab Concerns mencantumkan masalah keamanan aktif yang ditemukan GKE saat memindai cluster dan workload Anda. Halaman ini hanya menampilkan kekhawatiran terkait fitur postur keamanan yang dijelaskan dalam Pengaktifan fitur khusus cluster dalam dokumen ini. Jika menggunakan fleet dengan GKE Enterprise, Anda akan menemukan kekhawatiran terkait cluster anggota anggota dan cluster GKE mandiri yang dimiliki project yang dipilih.
Rating tingkat keparahan
Jika memungkinkan, GKE akan menetapkan rating tingkat keparahan untuk masalah yang ditemukan. Anda dapat menggunakan rating ini untuk menentukan urgensi yang diperlukan untuk menyelesaikan temuan. GKE menggunakan rating tingkat keparahan berikut, yang didasarkan pada Skala Rating Keparahan Kualitatif CVSS:
- Kritis: Segera bertindak. Serangan akan menyebabkan insiden.
- Tinggi: Cepat bertindak. Serangan sangat berpotensi menyebabkan suatu insiden.
- Medium: Bertindak dalam waktu dekat. Serangan berpotensi menyebabkan suatu insiden.
- Rendah: Bertindak setelah beberapa waktu. Serangan tampaknya dapat menyebabkan insiden.
Kecepatan respons yang tepat terhadap masalah bergantung pada model ancaman dan toleransi risiko organisasi Anda. Rating tingkat keparahan merupakan panduan kualitatif untuk membantu Anda mengembangkan rencana respons insiden yang menyeluruh.
Tabel masalah
Tabel Masalah menampilkan semua masalah yang terdeteksi oleh GKE. Anda dapat mengubah tampilan default untuk mengelompokkan hasil berdasarkan jenis masalah, namespace Kubernetes, atau workload yang terpengaruh. Anda dapat menggunakan panel filter untuk memfilter hasil menurut rating tingkat keparahan, jenis masalah, lokasi Google Cloud, dan nama cluster. Untuk melihat detail masalah tertentu, klik nama masalah tersebut.
Panel detail masalah
Jika Anda mengklik masalah di tabel Concerns, panel detail masalah
akan terbuka. Panel ini memberikan deskripsi mendetail tentang masalah tersebut, dan informasi yang relevan seperti versi OS yang terpengaruh untuk kerentanan, link CVE, atau risiko yang terkait dengan masalah konfigurasi tertentu. Panel detail
memberikan tindakan yang direkomendasikan jika berlaku. Misalnya, workload yang menetapkan
runAsNonRoot: false akan menampilkan perubahan yang direkomendasikan yang perlu Anda lakukan pada
spesifikasi Pod untuk memitigasi kekhawatiran.
Tab Resource yang terpengaruh di panel detail masalah menampilkan daftar beban kerja di cluster terdaftar Anda yang terpengaruh oleh masalah tersebut.
Setelan
Tab Setelan memungkinkan Anda mengonfigurasi fitur postur keamanan khusus cluster, seperti pemindaian kerentanan workload atau audit konfigurasi workload, pada cluster GKE yang memenuhi syarat dalam project atau fleet Anda. Anda dapat melihat status pengaktifan fitur tertentu untuk setiap cluster dan mengubah konfigurasi tersebut untuk cluster yang memenuhi syarat. Jika menggunakan fleet dengan GKE Enterprise, Anda juga dapat melihat apakah cluster anggota fleet Anda memiliki setelan yang sama dengan konfigurasi tingkat fleet.
Contoh alur kerja
Bagian ini adalah contoh alur kerja untuk administrator cluster yang ingin memindai workload di cluster untuk menemukan masalah konfigurasi keamanan, seperti hak istimewa root.
- Daftarkan cluster dalam pemindaian postur keamanan Kubernetes menggunakan konsol Google Cloud.
- Periksa dasbor postur keamanan untuk melihat hasil pemindaian, yang mungkin memerlukan waktu hingga 15 menit untuk muncul.
- Klik tab Masalah untuk membuka hasil mendetail.
- Pilih filter jenis masalah Konfigurasi.
- Klik masalah di tabel.
- Di panel detail masalah, perhatikan perubahan konfigurasi yang direkomendasikan dan perbarui spesifikasi Pod dengan rekomendasi.
- Terapkan spesifikasi Pod yang telah diperbarui ke cluster.
Saat pemindaian berjalan lagi, dasbor postur keamanan tidak lagi menampilkan masalah yang telah Anda perbaiki.
Langkah selanjutnya
- Pelajari lebih lanjut audit konfigurasi workload
- Pelajari cara mengaktifkan pemindaian otomatis beban kerja untuk masalah konfigurasi
- Pelajari cara mengaktifkan pemindaian otomatis image container untuk mendeteksi kerentanan yang diketahui
- Pelajari cara mengaktifkan deteksi ancaman GKE (Pratinjau)