Questa pagina fornisce una panoramica della dashboard della postura di sicurezza nella console Google Cloud, che offre suggerimenti attendibili e strategici per migliorare la postura di sicurezza. Per esplorare la dashboard, vai alla pagina Postura di sicurezza nella console Google Cloud.
Quando utilizzare la dashboard della security posture
Devi utilizzare la dashboard della security posture se sei un amministratore di cluster o un amministratore della sicurezza che vuole automatizzare il rilevamento e la generazione di report sui problemi di sicurezza comuni in più cluster e workload, con intrusioni e interruzioni minime nelle applicazioni in esecuzione. La dashboard sulla postura di sicurezza si integra con prodotti come Cloud Logging, Policy Controller e l'Autorizzazione binaria per migliorare la visibilità della tua postura di sicurezza.
Se utilizzi Controlli di servizio VPC, puoi anche
aggiornare i perimetri
per proteggere la dashboard della posizione di sicurezza aggiungendo
containersecurity.googleapis.com all'elenco dei servizi.
La dashboard sulla postura di sicurezza non cambia le nostre né le tue responsabilità ai sensi del modello di responsabilità condivisa. Sei comunque responsabile della protezione dei tuoi carichi di lavoro.
Utilizzo nell'ambito di una strategia di sicurezza più ampia
La dashboard sulla postura di sicurezza fornisce informazioni sulla postura di sicurezza del carico di lavoro nella fase di runtime del ciclo di vita della distribuzione del software. Per ottenere una copertura completa delle tue applicazioni durante tutto il ciclo di vita, dal controllo del codice sorgente alla manutenzione, ti consigliamo di utilizzare la dashboard con altri strumenti di sicurezza.
GKE offre i seguenti strumenti per monitorare la sicurezza e la conformità nella console Google Cloud:
- La dashboard della postura di sicurezza, disponibile nel livello GKE Standard e nel livello GKE Enterprise.
La dashboard GKE Compliance (anteprima), disponibile nel livello GKE Enterprise. Per maggiori dettagli, consulta Informazioni sulla dashboard Conformità GKE.
Per ulteriori dettagli sugli altri strumenti disponibili e sulle best practice per proteggere le tue applicazioni da un'estremità all'altra, consulta Proteggere la catena di approvvigionamento del software.
Ti consigliamo inoltre vivamente di implementare il maggior numero possibile di consigli da Migliora la sicurezza del cluster.
Come funziona la dashboard della security posture
Per utilizzare la dashboard sulla postura di sicurezza, abilita l'API Container Security nel tuo progetto. La dashboard mostra gli approfondimenti delle funzionalità integrate in GKE e di alcuni Google Cloud prodotti di sicurezza in esecuzione nel progetto.
Attivazione di funzionalità specifiche per il cluster
Le funzionalità specifiche di GKE nella dashboard della postura di sicurezza sono classificate come segue:
- Security posture di Kubernetes: la strategia di sicurezza degli oggetti e delle risorse Kubernetes nel cluster, ad esempio le specifiche dei pod. Per maggiori dettagli, consulta Informazioni sull'analisi della postura di sicurezza di Kubernetes.
- Scansione delle vulnerabilità del carico di lavoro: la security posture del sistema operativo del container e dei pacchetti di linguaggio delle applicazioni. Per maggiori dettagli, consulta Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro.
Se utilizzi GKE Enterprise, alcune di queste funzionalità sono abilitate per impostazione predefinita nei nuovi cluster. La tabella seguente descrive le funzionalità specifiche del cluster:
| Nome caratteristica | Disponibilità | Funzionalità incluse |
|---|---|---|
| Strategia di sicurezza per Kubernetes - livello standard |
Richiede GKE 1.27 o versioni successive.
|
|
| Posizione di sicurezza di Kubernetes - livello avanzato (anteprima) |
Non abilitato automaticamente in nessuna versione o modalità di funzionamento. Richiede la versione GKE Enterprise. |
|
| Analisi delle vulnerabilità dei workload - livello standard |
|
|
| Analisi delle vulnerabilità dei workload: approfondimenti sulle vulnerabilità avanzate |
|
Puoi attivare queste funzionalità per i cluster GKE autonomi o per i cluster membri del parco risorse. La dashboard della security posture ti consente di osservare tutti i tuoi cluster contemporaneamente, inclusi tutti i membri del parco risorse nel progetto host del parco risorse.
Funzionalità in più prodotti
La dashboard relativa alla posizione di sicurezza può mostrare approfondimenti di altre offerte di sicurezza in esecuzione nel progetto.Google Cloud In questo modo viene fornita una panoramica dello stato di sicurezza di un singolo parco risorse o dei cluster in un progetto specifico.
| Nome | Descrizione | Come attivare |
|---|---|---|
| Problemi della catena di fornitura - Autorizzazione binaria (anteprima) |
Controlla i seguenti problemi relativi all'esecuzione delle immagini container:
Se utilizzi immagini nei repository Artifact Registry che appartengono a un progetto diverso, consenti a Autorizzazione binaria di leggerle nel progetto dell'elemento concedendo all'agente di servizio il ruolo IAM pertinente. Per le istruzioni, consulta Concedere i ruoli utilizzando gcloud CLI. |
Abilita l'API Binary Authorization nel tuo progetto. Per le istruzioni, consulta Attivare Autorizzazione binaria binari. |
Integrazione con Security Command Center
Se utilizzi il livello Standard o Premium di Security Command Center nella tua organizzazione o nel tuo progetto, vedrai i risultati della dashboard della posizione di sicurezza in Security Command Center. Per ulteriori dettagli sui tipi di risultati di Security Command Center che vedrai, consulta Origini di sicurezza.
Vantaggi della dashboard della security posture
La dashboard della security posture è una misura di sicurezza di base che puoi attivare per qualsiasi cluster GKE idoneo. Google Cloudconsiglia di utilizzare la dashboard della security posture per tutti i cluster per i seguenti motivi:
- Interruzione minima: le funzionalità non interferiscono con i carichi di lavoro in esecuzione né li interrompono.
- Consigli utili: se disponibili, la dashboard della security posture fornisce attività da svolgere per risolvere i problemi rilevati. Queste azioni includono comandi che puoi eseguire ed esempi di modifiche alla configurazione da apportare.
- Visualizzazione: la dashboard sulla postura di sicurezza fornisce una visualizzazione di alto livello dei problemi che interessano i cluster del progetto e include grafici e diagrammi per mostrare i progressi compiuti e l'impatto potenziale di ciascun problema.
- Risultati soggettivi: GKE assegna un livello di gravità ai problemi rilevati in base all'esperienza dei nostri team di sicurezza e agli standard di settore.
- Log di eventi verificabili: GKE aggiunge tutti i problemi rilevati al logging per una migliore generazione di report e osservabilità.
- Osservabilità del parco risorse: se hai registrato cluster GKE in un parco risorse, la dashboard ti consente di osservare tutti i cluster del progetto, inclusi i cluster membri del parco risorse e eventuali cluster GKE autonomi nel progetto.
Prezzi della dashboard della postura di sicurezza di GKE
I prezzi delle funzionalità della dashboard della postura di sicurezza sono riportati di seguito e si applicano ai cluster GKE autonomi e ai cluster GKE di parchi risorse:
| Prezzi della dashboard della postura di sicurezza di GKE | |
|---|---|
| Controllo della configurazione dei workload | Nessun costo aggiuntivo |
| Visualizzazione dei bollettini sulla sicurezza | Nessun costo aggiuntivo |
| (Ritiro previsto) Rilevamento delle minacce GKE (anteprima) | Incluso nel costo di GKE Enterprise. Per maggiori dettagli, consulta la versione Enterprise nella pagina dei prezzi di GKE. |
| Analisi delle vulnerabilità del sistema operativo del container | Nessun costo aggiuntivo |
| Advanced Vulnerability Insights | Utilizza i prezzi di Artifact Analysis. Per informazioni dettagliate, consulta la pagina dei prezzi di Artifact Analysis Approfondimenti sulle vulnerabilità avanzate. |
| (Ritiro previsto) Catena di approvvigionamento - Autorizzazione binaria (anteprima) | Nessun costo aggiuntivo per i problemi relativi alla dashboard della posizione di sicurezza. Tuttavia, l'utilizzo di altre funzionalità dell'autorizzazione binaria, come l'applicazione, è separato dalla funzionalità della dashboard ed è soggetto ai prezzi dell'autorizzazione binaria per GKE. |
Le voci aggiunte a Cloud Logging utilizzano i prezzi di Cloud Logging. Tuttavia, a seconda della dimensione del tuo ambiente e del numero di problemi scoperti, potresti non superare le allocazioni gratuite per l'importazione e lo spazio di archiviazione per Logging. Per i dettagli, consulta Prezzi di Logging.
Gestire la postura di sicurezza del parco risorse
Se utilizzi i parchi risorse con la versione Enterprise di Google Kubernetes Engine (GKE), puoi configurare le funzionalità di security posture di GKE a livello di parco risorse utilizzando gcloud CLI. I cluster GKE registrati come membri del parco risorse durante la creazione del cluster ereditano automaticamente la configurazione della postura di sicurezza. I cluster che erano già membri del parco risorse prima di modificare la configurazione della postura di sicurezza non ereditano la nuova configurazione. Questa configurazione ereditata sostituisce le impostazioni predefinite applicate da GKE ai nuovi cluster.
L'abilitazione di GKE Enterprise mostra i risultati dei controlli di conformità nella dashboard della postura di sicurezza. Il controllo della conformità confronta i tuoi cluster e i tuoi carichi di lavoro con le best practice del settore, come gli standard di sicurezza dei pod. Per maggiori informazioni, consulta i bundle di Policy Controller.
Per scoprire come modificare la configurazione della security posture a livello di parco risorse, consulta Configurare le funzionalità della dashboard della strategia di sicurezza di GKE a livello di parco risorse.
Informazioni sulla pagina Postura di sicurezza
La pagina Postura di sicurezza nella console Google Cloud contiene le seguenti schede:
- Dashboard: una rappresentazione di alto livello dei risultati delle scansioni. Sono inclusi grafici e informazioni specifiche sulle funzionalità.
- Problemi: una vista dettagliata e filtrabile di eventuali problemi rilevati da GKE nei cluster e nei workload. Puoi selezionare singoli problemi per visualizzarne i dettagli e le opzioni di mitigazione.
- Impostazioni: gestisci la configurazione della funzionalità di security posture per singoli cluster o per parchi risorse.
Dashboard
La scheda Dashboard fornisce una rappresentazione visiva dei risultati di varie analisi della security posture di GKE e informazioni di altriGoogle Cloud prodotti per la sicurezza abilitati nel progetto. Per informazioni dettagliate sulle funzionalità di scansione disponibili e su altri prodotti di sicurezza supportati, consulta Come funziona la dashboard della postura di sicurezza in questo documento.
Se utilizzi i parchi risorse con GKE Enterprise, la dashboard mostra anche eventuali problemi rilevati per i cluster, inclusi i cluster nel parco risorse del progetto e i cluster autonomi. Per cambiare la dashboard in modo da visualizzare la posizione di un parco risorse specifico, seleziona il progetto host per quel parco risorse dal menu a discesa del selettore di progetti nella console Google Cloud. Se nel progetto selezionato è abilitata l'API Container Security, la dashboard mostra i risultati per tutti i cluster membri del parco del progetto.
Problemi
La scheda Problemi elenca i problemi di sicurezza attivi rilevati da GKE durante l'analisi dei cluster e dei workload. Questa pagina mostra solo i problemi relativi alle funzionalità di analisi della posizione di sicurezza descritte in Abilitazione di funzionalità specifiche per i cluster in questo documento. Se utilizzi i parchi risorse con GKE Enterprise, puoi visualizzare i problemi relativi ai cluster membri del parco risorse e ai cluster GKE autonomi di proprietà del progetto selezionato.
Valutazioni della gravità
Ove applicabile, GKE assegna una valutazione della gravità ai problemi rilevati. Puoi utilizzare queste valutazioni per determinare l'urgenza con cui devi risolvere il problema. GKE utilizza i seguenti livelli di gravità, basati sulla scala di valutazione della gravità qualitativa CVSS:
- Critico: intervieni immediatamente. Un attacco comporterà un incidente.
- Alto: agisci tempestivamente. È molto probabile che un attacco generi un incidente.
- Medio: agisci subito. Un attacco probabilmente causerà un incidente.
- Basso: agisci in un secondo momento. Un attacco potrebbe causare un incidente.
La velocità esatta della risposta ai problemi dipende dal modello di minacce e dalla tolleranza al rischio della tua organizzazione. Le valutazioni della gravità sono linee guida qualitative per aiutarti a sviluppare un piano di risposta agli incidenti completo.
Tabella dei problemi
La tabella Problemi mostra tutti i problemi rilevati da GKE. Puoi modificare la visualizzazione predefinita per raggruppare i risultati in base al tipo di problema, allo spazio dei nomi Kubernetes o ai carichi di lavoro interessati. Puoi utilizzare il riquadro dei filtri per filtrare i risultati in base alla valutazione della gravità, al tipo di problema, Google Cloud alla località e al nome del cluster. Per visualizzare i dettagli di un preoccupazioni specifico, fai clic sul nome del problema.
Riquadro dei dettagli del dubbio
Quando fai clic su un problema nella tabella Problemi, si apre il riquadro dei dettagli del problema. Questo riquadro fornisce una descrizione dettagliata del problema e informazioni pertinenti, ad esempio le versioni del sistema operativo interessate dalle vulnerabilità, i link alle CVE o i rischi associati a un problema di configurazione specifico. Il riquadro dei dettagli fornisce un'azione consigliata, se applicabile. Ad esempio, un carico di lavoro che impostarunAsNonRoot: false restituirà la modifica consigliata da apportare alla specifica del pod per mitigare il problema.
La scheda Risorse interessate nel riquadro dei dettagli del problema mostra un elenco di workload nei cluster registrati interessati dal problema.
Impostazioni
La scheda Impostazioni ti consente di configurare funzionalità di security posture specifiche per cluster, come analisi delle vulnerabilità dei carichi di lavoro o il controllo della configurazione dei carichi di lavoro, sui cluster GKE idonei nel tuo progetto o parco risorse. Puoi visualizzare lo stato di attivazione di funzionalità specifiche per ciascun cluster e modificare la configurazione per i cluster idonei. Se utilizzi i parchi risorse con GKE Enterprise, puoi anche verificare se i cluster dei membri del parco risorse hanno le stesse impostazioni della configurazione a livello di parco risorse.
Flusso di lavoro di esempio
Questa sezione è un esempio del flusso di lavoro per un amministratore di cluster che vuole eseguire la scansione dei workload in un cluster per rilevare problemi di configurazione della sicurezza, come i privilegi di root.
- Registra il cluster nella scansione della posizione di sicurezza di Kubernetes utilizzando la console Google Cloud.
- Controlla la dashboard della postura di sicurezza per i risultati dell'analisi, che potrebbero richiedere fino a 30 minuti.
- Fai clic sulla scheda Problemi per aprire i risultati dettagliati.
- Seleziona il filtro del tipo di problema Configurazione.
- Fai clic su un problema nella tabella.
- Nel riquadro dei dettagli del problema, prendi nota della modifica alla configurazione consigliata e aggiorna la specifica del pod in base al consiglio.
- Applica la specifica del pod aggiornata al cluster.
La volta successiva che viene eseguita la scansione, la dashboard della posizione di sicurezza non mostra più il problema che hai risolto.
Passaggi successivi
- Scopri di più sul controllo della configurazione del workload
- Scopri come attivare la scansione automatica dei carichi di lavoro per individuare problemi di configurazione
- Scopri come attivare la scansione automatica delle immagini container per rilevare vulnerabilità note
- Scopri come attivare GKE Threat Detection (anteprima)