本页面简要介绍了 Google Cloud 控制台中的安全状况信息中心,其中提供了切实可行的针对性建议来改善安全状况。如需自行探索信息中心,请前往 Google Cloud 控制台中的安全状况页面。
何时使用安全状况信息中心
如果您是集群管理员或安全管理员,并且希望跨多个集群和工作负载自动检测和报告常见安全问题,同时最大限度地减少扰乱和中断正在运行的应用,则应使用安全状况信息中心。 安全状况信息中心与 Cloud Logging、Policy Controller 和 Binary Authorization 等产品集成,可让您更清楚地了解安全状况。
如果您使用 VPC Service Controls,还可以更新边界以保护安全状况信息中心,方法是将 containersecurity.googleapis.com 添加到服务列表中。
安全状况信息中心不会更改共担责任模型下我们的任何责任或您的任何责任。您仍需负责保护您的工作负载。
作为广泛安全策略的一部分使用
安全状况信息中心提供有关软件交付生命周期运行时阶段的工作负载安全状况的数据分析。为了在从源代码控制到维护的整个生命周期内全面覆盖您的应用,我们建议您将该信息中心与其他安全工具结合使用。
GKE 提供以下工具,用于在 Google Cloud 控制台中监控安全性和合规性:
- 安全状况信息中心,在 GKE Standard 层级和 GKE Enterprise 层级提供。
- GKE Compliance 信息中心,在 GKE Enterprise 层级提供。如需了解详情,请参阅 GKE Compliance 信息中心简介。
如需详细了解其他可用的工具以及端到端保护应用的最佳实践,请参阅保护软件供应链。
我们还强烈建议您参阅加固集群安全性来实施尽可能多的建议。
安全状况信息中心的工作原理
如需使用安全状况信息中心,请在项目中启用 Container Security API。该信息中心会显示来自 GKE 内置功能以及项目中运行的某些 Google Cloud 安全产品的分析洞见。
特定于集群的功能启用
安全状况信息中心中特定于 GKE 的功能按以下所示进行分类:
- Kubernetes 安全状况:集群中 Kubernetes 对象和资源(例如 Pod 规范)的安全状况。 如需了解详情,请参阅 Kubernetes 安全状况扫描简介。
- 工作负载漏洞扫描:容器操作系统和应用语言包的安全状况。如需了解详情,请参阅工作负载漏洞扫描简介。
如果您使用 GKE Enterprise,则新集群中会默认启用其中一些功能。下表介绍了特定于集群的功能:
| 功能名称 | 可用性 | 包含的功能 |
|---|---|---|
| Kubernetes 安全状况 - 标准层级 |
需要 GKE 1.27 版或更高版本。
|
|
| Kubernetes 安全状况 - 高级层级(预览版) | 不会在任何版本或操作模式中自动启用。 需要 GKE Enterprise 版本。 | |
| 工作负载漏洞扫描 - 标准层级 |
|
|
| 工作负载漏洞扫描 - Advanced Vulnerability Insights |
|
您可以为独立 GKE 集群或舰队成员集群启用这些功能。通过安全状况信息中心,您可以同时观察所有集群,包括舰队宿主项目中的所有舰队成员。
跨产品功能
安全状况信息中心可以显示来自项目中运行的其他 Google Cloud 安全产品的分析洞见。这样可以让您简要了解单个舰队或特定项目中的集群的安全状态。
| 名称 | 说明 | 启用方式 |
|---|---|---|
| 供应链问题 - Binary Authorization(预览版) | 检查正在运行的容器映像是否存在以下问题: 如果您使用 Artifact Registry 仓库中属于其他项目的映像,请通过向服务代理授予相关 IAM 角色,让 Binary Authorization 读取工件项目中的这些映像。如需查看相关说明,请参阅使用 gcloud CLI 授予角色。 |
在您的项目中启用 Binary Authorization API。如需查看相关说明,请参阅启用 Binary Authorization 服务。 |
与 Security Command Center 的集成
如果您在组织或项目中使用 Security Command Center 标准层级或高级层级,则会在 Security Command Center 中看到安全状况信息中心发现结果。如需详细了解您看到的 Security Command Center 发现结果的类型,请参阅安全来源。
安全状况信息中心的优势
安全状况信息中心是您可以为任何符合条件的 GKE 集群启用的基础安全措施。Google Cloud 建议您对所有集群使用安全状况信息中心,原因如下:
- 最大限度地减少中断:功能不会干扰或中断正在运行的工作负载。
- 切实可行的建议:安全建议信息中心(如果有)提供操作项以解决发现的问题。这些操作包括您可以运行的命令、要进行的更改配置示例以及如何缓解漏洞的建议。
- 可视化:安全状况信息中心提供会影响整个项目中集群的问题的简明可视化,并包含图表和图形以显示您取得的进展以及每个问题的潜在影响。
- 针对性的结果:GKE 会根据安全团队的专业知识和业界标准将严重级别分配给所发现的问题。
- 可审核的事件日志:GKE 将所有发现的问题添加到 Logging 中,以提高可报告性和可观测性。
- 舰队可观测性:如果您已将 GKE 集群注册到舰队,则信息中心可让您观察项目的所有集群,包括舰队成员集群以及项目中的任何独立 GKE 集群。
GKE 安全状况信息中心价格
安全状况信息中心功能的价格如下,适用于独立 GKE 集群和舰队 GKE 集群:
| GKE 安全状况信息中心价格 | |
|---|---|
| 工作负载配置审核 | 无需额外费用 |
| 安全公告呈现 | 无需额外费用 |
| GKE 威胁检测(预览版) | 包含在 GKE Enterprise 的费用中。如需了解详情,请在 GKE 价格页面中参阅企业版。 |
| 容器操作系统漏洞扫描 | 无需额外费用 |
| Advanced Vulnerability Insights | 使用 Artifact Analysis 价格。 如需了解详情,请参阅 Artifact Analysis 价格页面上的高级漏洞数据分析。 |
| 供应链 - Binary Authorization(预览版) | 安全状况信息中心问题没有额外费用。但是,使用其他 Binary Authorization 功能(例如强制执行)与信息中心功能无关,并且适用 Binary Authorization for GKE 价格。 |
添加到 Cloud Logging 的条目使用 Cloud Logging 价格。但是,根据环境的规模和所发现的问题数量,您可能无法超出 Logging 的免费注入和存储配额。如需了解详情,请参阅 Logging 价格。
管理舰队安全状况
如果您将舰队与 Google Kubernetes Engine (GKE) Enterprise 版本搭配使用,则可以使用 gcloud CLI 在舰队级层配置 GKE 安全状况功能。您在创建集群期间注册为舰队成员的 GKE 集群会自动继承安全状况配置。在更改安全状况配置之前已经是舰队成员的集群不会继承新配置。此继承配置会替换 GKE 应用于新集群的默认设置。
启用 GKE Enterprise 会在安全状况信息中心内显示合规性审核结果。合规性审核会将集群和工作负载与 Pod 安全标准等行业最佳实践进行比较。如需了解详情,请参阅 Policy Controller 包。
如需了解如何更改舰队级安全状况配置,请参阅在舰队级层配置 GKE 安全状况信息中心功能。
“安全状况”页面简介
Google Cloud 控制台中的“安全状况”页面具有以下标签页:
- 信息中心:扫描结果的简明表示形式。包括图表和功能特定信息。
- 问题:GKE 在集群和工作负载发现的任何问题的可过滤的详细视图。您可以选择各个问题的详细信息和缓解选项。
- 设置:管理各个集群或舰队的安全状况功能配置。
信息中心
信息中心标签页直观展示了各种 GKE 安全状况扫描的结果以及项目中启用的其他 Google Cloud 安全产品的信息。如需详细了解可用的扫描功能和其他受支持的安全产品,请参阅本文档中的安全状况信息中心的工作原理。
如果您将舰队与 GKE Enterprise 搭配使用,则信息中心还会显示任何发现的集群问题,包括项目舰队中的集群和独立集群。如需切换信息中心以查看特定舰队的状况,请从 Google Cloud 控制台中的项目选择器下拉菜单中选择该舰队的宿主项目。如果所选项目启用了 Container Security API,则信息中心会显示该项目舰队的所有成员集群的相关结果。
问题
问题标签页列出了 GKE 在扫描集群和工作负载时发现的有效安全问题。本页面仅显示本文档的特定于集群的功能启用中所述的安全状况功能问题。如果您将舰队与 GKE Enterprise 搭配使用,则可以查看舰队成员集群和所选项目拥有的独立 GKE 集群的问题。
严重级别
在适用的情况下,GKE 会为发现的问题指定严重级别。您可以使用这些级别来确定解决发现结果所需依据的紧急程度。GKE 使用以下严重级别,这些严重级别基于 CVSS 定性严重级别表:
- 严重:立即采取相应措施。攻击会导致突发事件。
- 高:立即采取相应措施。攻击极有可能会导致突发事件。
- 中:尽快采取相应措施。攻击很可能会导致突发事件。
- 低:最终应采取相应措施。攻击可能会导致突发事件。
您对问题的确切响应速度取决于贵组织的威胁模型和风险容忍度。严重级别是用于制定全面的突发事件响应方案的定性准则。
问题表
问题表显示 GKE 检测到的所有问题。您可以更改默认视图,以按问题类型、Kubernetes 命名空间或受影响的工作负载对结果进行分组。您可以使用过滤条件窗格,按严重级别、问题类型、Google Cloud 位置和集群名称过滤结果。如需查看特定问题的详细信息,请点击该问题的名称。
“问题详情”窗格
点击问题表中的问题时,系统会打开问题详情窗格。此窗格提供问题的详细描述以及相关信息,例如受影响的操作系统版本、CVE 链接或与特定配置问题关联的风险。如果适用,详情窗格还会提供建议的操作。例如,设置 runAsNonRoot: false 的工作负载会返回您需要对 Pod 规范进行的建议更改,以缓解问题。
问题详情窗格中的受影响的资源标签页显示已注册集群中受该问题影响的工作负载的列表。
设置
在设置标签页中,您可以对项目或舰队中符合条件的 GKE 集群配置特定于集群的安全状况功能,例如工作负载漏洞扫描或工作负载配置审核。您可以查看每个集群的特定功能启用状态,并为符合条件的集群更改该配置。如果您将舰队与 GKE Enterprise 搭配使用,则还可以查看舰队成员集群的设置是否与舰队级配置相同。
工作流示例
本部分是想要扫描集群中的工作负载以查找安全配置问题(例如 root 权限)的集群管理员的工作流示例。
- 使用 Google Cloud 控制台将集群注册到 Kubernetes 安全状况扫描中。
- 查看安全状况信息中心以获取扫描结果,最多可能需要 30 分钟才会显示结果。
- 点击问题标签页以打开详细结果。
- 选择配置问题类型过滤条件。
- 点击表中的某个问题。
- 在“问题详情”窗格上,记下建议的配置更改并按照建议更新 Pod 规范。
- 将更新后的 Pod 规范应用于集群。
下次扫描运行时,安全状况信息中心将不再显示您已修复的问题。