Halaman ini menyediakan ringkasan dasbor postur keamanan di Konsol Google Cloud, yang menyediakan insight yang pasti dan dapat ditindaklanjuti rekomendasi untuk meningkatkan postur keamanan Anda. Untuk menjelajahi dasbor sendiri, buka Halaman Postur Keamanan di konsol Google Cloud.
Kapan harus menggunakan dasbor postur keamanan
Anda harus menggunakan dasbor postur keamanan jika Anda adalah administrator cluster atau administrator keamanan yang ingin mengotomatiskan deteksi dan pelaporan masalah keamanan umum di beberapa cluster dan workload, dengan gangguan dan intrusi yang minimal terhadap aplikasi yang sedang berjalan. Tujuan dasbor postur keamanan terintegrasi dengan produk seperti Cloud Logging, Pengontrol Kebijakan, dan Otorisasi Biner untuk meningkatkan visibilitas Anda terkait keamanan.
Jika Anda menggunakan Kontrol Layanan VPC, Anda juga dapat
perbarui perimeter Anda
untuk melindungi dasbor postur keamanan dengan
containersecurity.googleapis.com ke daftar layanan.
Dasbor postur keamanan tidak mengubah tanggung jawab kami atau tanggung jawab Anda berdasarkan model tanggung jawab bersama. Anda tetap bertanggung jawab untuk melindungi workload Anda.
Penggunaan dalam konteks strategi keamanan yang lebih luas
Dasbor postur keamanan memberikan insight tentang postur keamanan workload Anda pada fase runtime siklus proses pengiriman software. Untuk mendapatkan cakupan aplikasi yang komprehensif di sepanjang siklus proses, mulai dari kontrol sumber hingga pemeliharaan, sebaiknya gunakan dasbor dengan alat keamanan lainnya.
GKE menawarkan alat berikut untuk memantau keamanan dan kepatuhan di Konsol Google Cloud:
- Dasbor postur keamanan, tersedia di GKE Standard, dan GKE Enterprise.
- Dasbor Kepatuhan GKE, tersedia di GKE Enterprise tingkat atas. Untuk mengetahui detailnya, lihat Tentang dasbor Kepatuhan GKE.
Untuk detail selengkapnya tentang alat lain yang tersedia dan untuk untuk mengamankan aplikasi Anda secara menyeluruh, lihat Lindungi supply chain software Anda.
Sebaiknya Anda juga menerapkan rekomendasi sebanyak mungkin dari Meningkatkan keamanan cluster.
Cara kerja dasbor postur keamanan
Untuk menggunakan dasbor postur keamanan, aktifkan Container Security API dalam proyek Anda. Dasbor menunjukkan kepada Anda wawasan dari kemampuan yang dibangun ke dalam GKE dan dari keamanan Google Cloud tertentu produk yang sedang berjalan di proyek Anda.
Pengaktifan fitur khusus cluster
Kemampuan khusus GKE di dasbor postur keamanan dikategorikan sebagai berikut:
- Postur keamanan Kubernetes: Postur keamanan objek dan resource Kubernetes dalam cluster, seperti spesifikasi Pod. Untuk mengetahui detailnya, lihat Tentang pemindaian postur keamanan Kubernetes.
- Pemindaian kerentanan workload: Postur keamanan sistem operasi container dan paket bahasa aplikasi. Untuk mengetahui detailnya, lihat Tentang pemindaian kerentanan workload.
Jika Anda menggunakan GKE Enterprise, beberapa fitur ini diaktifkan secara {i>default<i} di cluster baru. Hal berikut yang menjelaskan fitur khusus cluster:
| Nama fitur | Ketersediaan | Kemampuan yang disertakan |
|---|---|---|
| Postur keamanan Kubernetes - tingkat standar |
Memerlukan GKE versi 1.27 atau yang lebih baru.
|
|
| Postur keamanan Kubernetes - tingkat lanjutan (Pratinjau) | Tidak diaktifkan secara otomatis dalam versi atau mode operasi apa pun. Memerlukan edisi GKE Enterprise. | |
| Pemindaian kerentanan workload - tingkatan standar |
|
|
| Pemindaian kerentanan workload - insight kerentanan lanjutan |
|
Anda dapat mengaktifkan fitur ini untuk cluster GKE mandiri atau cluster anggota fleet. Dasbor postur keamanan memungkinkan Anda mengamati semua cluster secara bersamaan, termasuk semua anggota fleet di project host fleet Anda.
Fitur lintas produk
Dasbor postur keamanan dapat menunjukkan insight dari Penawaran keamanan Google Cloud yang sedang berjalan di project Anda. Ini memberikan gambaran umum tentang status keamanan sebuah armada atau klaster dalam menyelesaikan proyek tertentu.
| Nama | Deskripsi | Cara mengaktifkan |
|---|---|---|
| Masalah supply chain - Otorisasi Biner (Pratinjau) | Memeriksa masalah berikut terkait menjalankan image container:
Jika Anda menggunakan image di repositori Artifact Registry yang termasuk dalam project lain, biarkan Otorisasi Biner membaca image tersebut di project artefak dengan memberikan IAM yang relevan, ke agen layanan. Untuk mengetahui petunjuknya, lihat Memberikan peran menggunakan gcloud CLI. |
Aktifkan Binary Authorization API di project Anda. Untuk petunjuk, lihat Mengaktifkan layanan Otorisasi Biner. |
Integrasi dengan Security Command Center
Jika Anda menggunakan paket Standar Security Command Center atau paket Premium organisasi atau proyek, Anda akan melihat temuan dasbor postur keamanan di dengan Security Command Center. Untuk detail selengkapnya tentang jenis Security Command Center temuan yang akan Anda lihat, merujuk pada Sumber keamanan.
Manfaat dasbor postur keamanan
Dasbor postur keamanan adalah langkah keamanan dasar yang dapat Anda aktifkan untuk setiap cluster GKE yang memenuhi syarat. Google Cloud merekomendasikan penggunaan dasbor postur keamanan untuk semua cluster Anda karena alasan berikut:
- Gangguan minimal: Fitur tidak mengganggu atau mengganggu pengoperasian sebagian besar workload standar dan berbasis cloud.
- Rekomendasi yang dapat ditindaklanjuti: Jika tersedia, dasbor postur keamanan menyediakan item tindakan untuk memperbaiki masalah yang ditemukan. Tindakan ini mencakup perintah yang dapat Anda jalankan, contoh perubahan konfigurasi yang harus dibuat, dan saran tentang tindakan yang harus dilakukan untuk memitigasi kerentanan.
- Visualisasi: Dasbor postur keamanan memberikan visualisasi tingkat tinggi mengenai masalah yang memengaruhi cluster di seluruh project Anda, dan menyertakan diagram serta grafik untuk menunjukkan progres yang Anda capai dan dampak potensial dari setiap masalah.
- Hasil opini: GKE menetapkan rating tingkat keparahan untuk masalah yang ditemukan berdasarkan keahlian tim keamanan dan standar industri kami.
- Log peristiwa yang dapat diaudit: GKE menambahkan semua masalah yang ditemukan ke Logging untuk mendapatkan pelaporan dan kemampuan observasi yang lebih baik.
- Kemampuan observasi perangkat: Jika Anda telah mendaftarkan cluster GKE untuk sebuah fleet, dasbor memungkinkan Anda mengamati semua cluster project, termasuk cluster anggota fleet serta cluster GKE mandiri dalam project.
Harga dasbor postur keamanan GKE
Harga untuk kemampuan dashboard postur keamanan adalah sebagai berikut, berlaku untuk cluster GKE mandiri dan cluster GKE fleet:
| Harga dasbor postur keamanan GKE | |
|---|---|
| Audit konfigurasi workload | Tanpa biaya tambahan |
| Pemunculan buletin keamanan | Tanpa biaya tambahan |
| Deteksi ancaman GKE (Pratinjau) | Termasuk dalam biaya GKE Enterprise. Untuk mengetahui detailnya, di halaman harga GKE, lihat Edisi perusahaan. |
| Pemindaian kerentanan container OS | Tanpa biaya tambahan |
| Advanced vulnerability insights | Menggunakan harga Artifact Analysis. Untuk mengetahui detailnya, pada halaman harga Artifact Analysis, lihat Advanced Vulnerability Insights. |
| Supply chain - Otorisasi Biner (Pratinjau) | Tanpa biaya tambahan untuk masalah dasbor postur keamanan. Namun, penggunaan fitur Otorisasi Biner lainnya seperti penerapan terpisah dari fungsi dasbor, dan tunduk pada Otorisasi Biner untuk harga GKE. |
Entri yang ditambahkan ke Cloud Logging menggunakan harga Cloud Logging. Namun, bergantung pada skala lingkungan dan jumlah masalah yang ditemukan, Anda mungkin tidak melebihi alokasi penyimpanan dan penyerapan gratis untuk Logging. Untuk mengetahui detailnya, lihat Harga logging.
Mengelola postur keamanan perangkat
Jika Anda menggunakan fleet dengan Edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengonfigurasi postur keamanan GKE di level fleet menggunakan gcloud CLI. GKE yang Anda daftarkan sebagai anggota fleet saat pembuatan cluster secara otomatis mewarisi konfigurasi postur keamanan. Cluster yang sudah menjadi fleet anggota sebelum Anda mengubah konfigurasi postur keamanan tidak mewarisi konfigurasi baru. Konfigurasi yang diwariskan ini menggantikan setelan default bahwa GKE diterapkan pada cluster baru.
Mengaktifkan GKE Enterprise akan menampilkan hasil pengauditan kepatuhan pada dasbor postur keamanan. Audit kepatuhan membandingkan cluster Anda dan workload dengan praktik terbaik industri seperti Standar Keamanan Pod. Sebagai informasi selengkapnya, lihat Paket Pengontrol Kebijakan.
Untuk mempelajari cara mengubah konfigurasi postur keamanan tingkat fleet Anda, lihat Konfigurasi fitur dasbor postur keamanan GKE di tingkat fleet.
Tentang halaman Postur Keamanan
Halaman Postur Keamanan di konsol Google Cloud memiliki tab berikut:
- Dasbor: representasi tingkat tinggi dari hasil pemindaian Anda. Menyertakan diagram dan informasi khusus fitur.
- Kekhawatiran: tampilan mendetail yang dapat difilter dari setiap masalah yang ditemukan oleh GKE di seluruh cluster dan workload Anda. Anda dapat memilih masalah satu per satu untuk mengetahui detail dan opsi mitigasi.
- Setelan: mengelola konfigurasi fitur postur keamanan untuk cluster individu atau untuk fleet.
Dasbor
Tab Dashboard memberikan representasi visual dari hasil berbagai pemindaian postur keamanan GKE dan informasi dari Produk keamanan Google Cloud yang diaktifkan di project Anda. Sebagai detail tentang kemampuan pemindaian yang tersedia dan keamanan lain yang didukung produk, lihat Cara kerja dasbor postur keamanan dalam dokumen ini.
Jika Anda menggunakan fleet dengan GKE Enterprise, dasbor juga menunjukkan kekhawatiran apa pun yang ditemukan tentang cluster, termasuk cluster dalam fleet project dan cluster mandiri. Untuk mengganti dasbor untuk melihat postur fleet tertentu, pilih project host untuk perangkat tersebut dari menu drop-down pemilih project di Konsol Google Cloud. Jika project yang dipilih mengaktifkan Container Security API, menunjukkan hasil untuk semua klaster anggota dari armada proyek itu.
Masalah
Tab Concerns mencantumkan masalah keamanan aktif yang ditangani GKE temukan saat memindai cluster dan workload Anda. Halaman ini hanya menampilkan kekhawatiran tentang fitur postur keamanan yang dijelaskan dalam Pengaktifan fitur khusus cluster dalam dokumen ini. Jika Anda menggunakan fleet dengan GKE Enterprise, Anda dapat mengalami cluster anggota fleet dan untuk cluster GKE mandiri yang yang dimiliki project yang dipilih.
Rating tingkat keparahan
Jika memungkinkan, GKE akan menetapkan rating tingkat keparahan untuk masalah yang ditemukan. Anda dapat menggunakan rating ini untuk menentukan urgensi yang Anda butuhkan untuk menyelesaikan temuannya. GKE menggunakan rating tingkat keparahan berikut, yang didasarkan pada Skala Rating Keparahan Kualitatif CVSS:
- Kritis: Segera bertindak. Serangan akan menyebabkan insiden.
- Tinggi: Cepat bertindak. Serangan sangat berpotensi menyebabkan suatu insiden.
- Medium: Bertindak dalam waktu dekat. Serangan berpotensi menyebabkan suatu insiden.
- Rendah: Bertindak setelah beberapa waktu. Serangan tampaknya dapat menyebabkan insiden.
Kecepatan respons yang tepat terhadap masalah bergantung pada model ancaman dan toleransi risiko organisasi Anda. Rating tingkat keparahan bersifat kualitatif untuk membantu Anda mengembangkan rencana respons insiden yang menyeluruh.
Tabel masalah
Tabel Masalah menampilkan semua masalah yang terdeteksi oleh GKE. Anda dapat mengubah tampilan default untuk mengelompokkan hasil berdasarkan jenis yang menjadi perhatian, namespace Kubernetes, atau workload yang terpengaruh. Anda dapat menggunakan panel filter untuk memfilter hasil menurut rating tingkat keparahan, jenis masalah, lokasi Google Cloud, dan nama cluster. Untuk melihat detail masalah tertentu, klik nama masalah tersebut.
Panel detail masalah
Saat Anda mengklik masalah di tabel Masalah, panel detail masalah
terbuka. Panel ini memberikan deskripsi mendetail tentang masalah tersebut, dan informasi yang relevan seperti versi OS yang terpengaruh untuk kerentanan, link CVE, atau risiko yang terkait dengan masalah konfigurasi tertentu. Panel detail
memberikan tindakan yang direkomendasikan jika berlaku. Misalnya, workload yang menetapkan
runAsNonRoot: false akan menampilkan perubahan yang direkomendasikan yang perlu Anda lakukan pada
spesifikasi Pod untuk memitigasi kekhawatiran.
Tab Resource yang terpengaruh di panel detail masalah menampilkan daftar di cluster terdaftar Anda yang terpengaruh oleh masalah tersebut.
Setelan
Tab Setelan memungkinkan Anda mengonfigurasi fitur postur keamanan khusus cluster, seperti pemindaian kerentanan workload atau audit konfigurasi workload, di cluster GKE yang memenuhi syarat di project atau fleet Anda. Anda dapat melihat status pengaktifan fitur tertentu untuk setiap cluster dan mengubah khusus untuk cluster yang memenuhi syarat. Jika Anda menggunakan fleet dengan GKE Enterprise, Anda juga dapat melihat apakah anggota fleet cluster memiliki setelan yang sama dengan konfigurasi tingkat fleet.
Contoh alur kerja
Bagian ini adalah contoh alur kerja untuk administrator cluster yang ingin memindai beban kerja di cluster untuk mendeteksi masalah konfigurasi keamanan, seperti root hak istimewa pengguna.
- Daftarkan cluster dalam pemindaian postur keamanan Kubernetes menggunakan konsol Google Cloud.
- Periksa dasbor postur keamanan untuk melihat hasil pemindaian, yang mungkin memerlukan waktu hingga 30 menit agar muncul.
- Klik tab Masalah untuk membuka hasil mendetail.
- Pilih filter jenis masalah Konfigurasi.
- Klik masalah di tabel.
- Di panel detail masalah, perhatikan perubahan konfigurasi yang direkomendasikan dan perbarui spesifikasi Pod dengan rekomendasi.
- Terapkan spesifikasi Pod yang telah diperbarui ke cluster.
Saat pemindaian berjalan lagi, dasbor postur keamanan tidak lagi menampilkan masalah yang telah Anda perbaiki.
Langkah selanjutnya
- Pelajari lebih lanjut audit konfigurasi workload
- Pelajari cara mengaktifkan pemindaian otomatis beban kerja untuk masalah konfigurasi
- Pelajari cara mengaktifkan pemindaian otomatis image container untuk mendeteksi kerentanan yang diketahui
- Pelajari cara mengaktifkan deteksi ancaman GKE (Pratinjau)