Halaman ini menyediakan ringkasan dasbor postur keamanan di konsol Google Cloud, yang memberikan rekomendasi opini yang dapat ditindaklanjuti untuk meningkatkan postur keamanan Anda. Untuk menjelajahi dasbor secara mandiri, buka halaman Postur Keamanan di Konsol Google Cloud.
Kapan harus menggunakan dasbor postur keamanan
Anda harus menggunakan dasbor postur keamanan jika Anda adalah administrator cluster atau administrator keamanan yang ingin mengotomatiskan deteksi dan pelaporan masalah keamanan umum di beberapa cluster dan workload, dengan gangguan dan intrusi yang minimal terhadap aplikasi yang sedang berjalan. Dasbor postur keamanan terintegrasi dengan produk-produk seperti Cloud Logging, Pengontrol Kebijakan, dan Otorisasi Biner untuk meningkatkan visibilitas Anda terhadap postur keamanan Anda.
Jika menggunakan Kontrol Layanan VPC, Anda juga dapat memperbarui perimeter untuk melindungi dasbor postur keamanan dengan menambahkan containersecurity.googleapis.com ke daftar layanan.
Dasbor postur keamanan tidak mengubah tanggung jawab kami atau tanggung jawab Anda berdasarkan model tanggung jawab bersama. Anda tetap bertanggung jawab untuk melindungi workload Anda.
Penggunaan dalam konteks strategi keamanan yang lebih luas
Dasbor postur keamanan memberikan insight tentang postur keamanan workload Anda pada fase runtime siklus proses pengiriman software. Untuk mendapatkan cakupan aplikasi yang komprehensif di sepanjang siklus proses, mulai dari kontrol sumber hingga pemeliharaan, sebaiknya gunakan dasbor dengan alat keamanan lainnya.
GKE menawarkan alat berikut untuk memantau keamanan dan kepatuhan di konsol Google Cloud:
- Dasbor postur keamanan, yang tersedia di tingkat GKE Standard dan tingkat GKE Enterprise.
- Dasbor GKE Compliance, yang tersedia di tingkat GKE Enterprise. Untuk mengetahui detailnya, lihat Tentang dasbor Kepatuhan GKE.
Untuk mengetahui detail selengkapnya tentang alat lain yang tersedia dan praktik terbaik untuk melindungi aplikasi Anda dari ujung ke ujung, lihat Melindungi supply chain software Anda.
Sebaiknya Anda juga menerapkan rekomendasi sebanyak mungkin dari Meningkatkan keamanan cluster.
Cara kerja dasbor postur keamanan
Untuk menggunakan dasbor postur keamanan, aktifkan Container Security API di project Anda. Dasbor ini menampilkan insight dari kemampuan yang terintegrasi ke dalam GKE dan dari produk keamanan Google Cloud tertentu yang berjalan di project Anda.
Pengaktifan fitur khusus cluster
Kemampuan khusus GKE di dasbor postur keamanan dikategorikan sebagai berikut:
- Postur keamanan Kubernetes: Postur keamanan objek dan resource Kubernetes dalam cluster, seperti spesifikasi Pod. Untuk mengetahui detailnya, lihat Tentang pemindaian postur keamanan Kubernetes.
- Pemindaian kerentanan workload: Postur keamanan sistem operasi container dan paket bahasa aplikasi. Untuk mengetahui detailnya, lihat Tentang pemindaian kerentanan workload.
Jika Anda menggunakan GKE Enterprise, beberapa fitur ini diaktifkan secara default di cluster baru. Tabel berikut menjelaskan fitur khusus cluster:
| Nama fitur | Ketersediaan | Kemampuan yang disertakan |
|---|---|---|
| Postur keamanan Kubernetes - tingkat standar |
Memerlukan GKE versi 1.27 atau yang lebih baru.
|
|
| Postur keamanan Kubernetes - tingkat lanjut (Pratinjau) | Tidak diaktifkan secara otomatis dalam versi atau mode operasi apa pun. Memerlukan edisi GKE Enterprise. | |
| Pemindaian kerentanan workload - tingkatan standar |
|
|
| Pemindaian kerentanan workload - Advanced Vulnerability Insights |
|
Anda dapat mengaktifkan fitur ini untuk cluster GKE mandiri atau cluster anggota fleet. Dasbor postur keamanan memungkinkan Anda mengamati semua cluster secara bersamaan, termasuk semua anggota fleet dalam project host fleet Anda.
Fitur lintas produk
Dasbor postur keamanan dapat menampilkan insight dari penawaran keamanan Google Cloud lainnya yang berjalan di project Anda. Hal ini memberikan ringkasan status keamanan satu fleet atau cluster dalam project tertentu.
| Nama | Deskripsi | Cara mengaktifkan |
|---|---|---|
| Masalah supply chain - Otorisasi Biner (Pratinjau) | Memeriksa masalah berikut dengan menjalankan image container:
Jika Anda menggunakan image di repositori Artifact Registry yang merupakan milik project lain, izinkan Otorisasi Biner membaca image tersebut di project artefak dengan memberikan peran IAM yang relevan kepada agen layanan. Untuk mengetahui petunjuknya, lihat Memberikan peran menggunakan gcloud CLI. |
Aktifkan Binary Authorization API di project Anda. Untuk mengetahui petunjuknya, lihat Mengaktifkan layanan Otorisasi Biner. |
Integrasi dengan Security Command Center
Jika menggunakan paket Standar atau Premium Security Command Center di organisasi atau project, Anda akan melihat temuan dasbor postur keamanan di Security Command Center. Untuk mengetahui detail selengkapnya tentang jenis temuan Security Command Center yang akan Anda lihat, lihat Sumber keamanan.
Manfaat dasbor postur keamanan
Dasbor postur keamanan adalah langkah keamanan dasar yang dapat Anda aktifkan untuk setiap cluster GKE yang memenuhi syarat. Google Cloud merekomendasikan penggunaan dasbor postur keamanan untuk semua cluster Anda karena alasan berikut:
- Gangguan minimal: Fitur tidak mengganggu atau merusak workload yang sedang berjalan.
- Rekomendasi yang dapat ditindaklanjuti: Jika tersedia, dasbor postur keamanan menyediakan item tindakan untuk memperbaiki masalah yang ditemukan. Tindakan ini mencakup perintah yang dapat Anda jalankan, contoh perubahan konfigurasi yang harus dibuat, dan saran tentang tindakan yang harus dilakukan untuk memitigasi kerentanan.
- Visualisasi: Dasbor postur keamanan memberikan visualisasi tingkat tinggi mengenai masalah yang memengaruhi cluster di seluruh project Anda, dan menyertakan diagram serta grafik untuk menunjukkan progres yang Anda capai dan dampak potensial dari setiap masalah.
- Hasil opini: GKE menetapkan rating tingkat keparahan untuk masalah yang ditemukan berdasarkan keahlian tim keamanan dan standar industri kami.
- Log peristiwa yang dapat diaudit: GKE menambahkan semua masalah yang ditemukan ke Logging untuk mendapatkan pelaporan dan kemampuan observasi yang lebih baik.
- Kemampuan observasi fleet: Jika telah mendaftarkan cluster GKE ke fleet, dasbor memungkinkan Anda mengamati semua cluster project, termasuk cluster anggota fleet dan cluster GKE mandiri dalam project.
Harga dasbor postur keamanan GKE
Harga untuk kemampuan dashboard postur keamanan adalah sebagai berikut, berlaku untuk cluster GKE mandiri dan cluster GKE fleet:
| Harga dasbor postur keamanan GKE | |
|---|---|
| Audit konfigurasi workload | Tanpa biaya tambahan |
| Pemunculan buletin keamanan | Tanpa biaya tambahan |
| Deteksi ancaman GKE (Pratinjau) | Termasuk dalam biaya GKE Enterprise. Untuk mengetahui detailnya, di halaman harga GKE, lihat Edisi Enterprise. |
| Pemindaian kerentanan container OS | Tanpa biaya tambahan |
| Advanced vulnerability insights | Menggunakan harga Artifact Analysis. Untuk mengetahui detailnya, pada halaman harga Artifact Analysis, lihat Advanced Vulnerability Insights. |
| Supply chain - Binary Authorization (Pratinjau) | Tidak ada biaya tambahan untuk masalah dasbor postur keamanan. Namun, penggunaan fitur Otorisasi Biner lainnya seperti penerapan terpisah dari fungsi dasbor, dan tunduk pada harga Otorisasi Biner untuk GKE. |
Entri yang ditambahkan ke Cloud Logging menggunakan harga Cloud Logging. Namun, bergantung pada skala lingkungan dan jumlah masalah yang ditemukan, Anda mungkin tidak melebihi alokasi penyimpanan dan penyerapan gratis untuk Logging. Untuk mengetahui detailnya, lihat Harga logging.
Mengelola postur keamanan fleet
Jika menggunakan fleet dengan edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengonfigurasi fitur postur keamanan GKE di tingkat fleet menggunakan gcloud CLI. Cluster GKE yang Anda daftarkan sebagai anggota fleet selama pembuatan cluster secara otomatis mewarisi konfigurasi postur keamanan. Cluster yang sudah menjadi anggota armada sebelum Anda mengubah konfigurasi postur keamanan tidak mewarisi konfigurasi baru. Konfigurasi yang diwarisi ini akan menggantikan setelan default yang diterapkan GKE ke cluster baru.
Mengaktifkan GKE Enterprise akan menampilkan hasil audit kepatuhan di dasbor postur keamanan. Audit kepatuhan membandingkan cluster dan workload Anda dengan praktik terbaik industri seperti Standar Keamanan Pod. Untuk mengetahui informasi selengkapnya, lihat Paket Pengontrol Kebijakan.
Untuk mempelajari cara mengubah konfigurasi postur keamanan tingkat fleet, lihat Mengonfigurasi fitur dasbor postur keamanan GKE di tingkat fleet.
Tentang halaman Postur Keamanan
Halaman Postur Keamanan di konsol Google Cloud memiliki tab berikut:
- Dasbor: representasi tingkat tinggi dari hasil pemindaian Anda. Menyertakan diagram dan informasi khusus fitur.
- Kekhawatiran: tampilan mendetail yang dapat difilter dari setiap masalah yang ditemukan oleh GKE di seluruh cluster dan workload Anda. Anda dapat memilih masalah satu per satu untuk mengetahui detail dan opsi mitigasi.
- Setelan: mengelola konfigurasi fitur postur keamanan untuk setiap cluster atau untuk fleet.
Dasbor
Tab Dasbor memberikan representasi visual dari hasil berbagai pemindaian postur keamanan GKE dan informasi dari produk keamanan Google Cloud lainnya yang diaktifkan di project Anda. Untuk mengetahui detail tentang kemampuan pemindaian yang tersedia dan produk keamanan lainnya yang didukung, lihat Cara kerja dasbor postur keamanan dalam dokumen ini.
Jika Anda menggunakan fleet dengan GKE Enterprise, dasbor juga menampilkan masalah yang ditemukan untuk cluster, termasuk cluster dalam fleet project dan cluster mandiri. Untuk beralih dasbor guna melihat postur fleet tertentu, pilih project host untuk fleet tersebut dari menu drop-down pemilih project di Konsol Google Cloud. Jika project yang dipilih telah mengaktifkan Container Security API, dasbor akan menampilkan hasil untuk semua cluster anggota dari fleet project tersebut.
Masalah
Tab Masalah mencantumkan masalah keamanan aktif yang ditemukan GKE saat memindai cluster dan workload Anda. Halaman ini hanya menampilkan masalah untuk fitur postur keamanan yang dijelaskan dalam Pengaktifan fitur khusus cluster dalam dokumen ini. Jika menggunakan fleet dengan GKE Enterprise, Anda dapat melihat masalah untuk cluster anggota fleet dan untuk cluster GKE mandiri yang dimiliki oleh project yang dipilih.
Rating tingkat keparahan
Jika memungkinkan, GKE akan menetapkan rating tingkat keparahan untuk masalah yang ditemukan. Anda dapat menggunakan rating ini untuk menentukan tingkat urgensi yang diperlukan untuk menyelesaikan temuan tersebut. GKE menggunakan rating tingkat keparahan berikut, yang didasarkan pada Skala Rating Keparahan Kualitatif CVSS:
- Kritis: Segera bertindak. Serangan akan menyebabkan insiden.
- Tinggi: Cepat bertindak. Serangan sangat berpotensi menyebabkan suatu insiden.
- Medium: Bertindak dalam waktu dekat. Serangan berpotensi menyebabkan suatu insiden.
- Rendah: Bertindak setelah beberapa waktu. Serangan tampaknya dapat menyebabkan insiden.
Kecepatan respons yang tepat terhadap masalah bergantung pada model ancaman dan toleransi risiko organisasi Anda. Rating keparahan adalah panduan kualitatif untuk membantu Anda mengembangkan rencana respons insiden yang menyeluruh.
Tabel masalah
Tabel Masalah menampilkan semua masalah yang terdeteksi oleh GKE. Anda dapat mengubah tampilan default untuk mengelompokkan hasil berdasarkan jenis masalah, namespace Kubernetes, atau workload yang terpengaruh. Anda dapat menggunakan panel filter untuk memfilter hasil menurut rating tingkat keparahan, jenis masalah, lokasi Google Cloud, dan nama cluster. Untuk melihat detail masalah tertentu, klik nama masalah tersebut.
Panel detail masalah
Saat Anda mengklik masalah di tabel Concerns, panel detail masalah
akan terbuka. Panel ini memberikan deskripsi mendetail tentang masalah tersebut, dan informasi yang relevan seperti versi OS yang terpengaruh untuk kerentanan, link CVE, atau risiko yang terkait dengan masalah konfigurasi tertentu. Panel detail
memberikan tindakan yang direkomendasikan jika berlaku. Misalnya, workload yang menetapkan
runAsNonRoot: false akan menampilkan perubahan yang direkomendasikan yang perlu Anda lakukan pada
spesifikasi Pod untuk memitigasi kekhawatiran.
Tab Resource yang terpengaruh di panel detail masalah menampilkan daftar workload di cluster terdaftar yang terpengaruh oleh masalah tersebut.
Setelan
Tab Setelan memungkinkan Anda mengonfigurasi fitur postur keamanan khusus cluster, seperti pemindaian kerentanan beban kerja atau audit konfigurasi beban kerja, di cluster GKE yang memenuhi syarat di project atau fleet Anda. Anda dapat melihat status pengaktifan fitur tertentu untuk setiap cluster dan mengubah konfigurasi tersebut untuk cluster yang memenuhi syarat. Jika menggunakan fleet dengan GKE Enterprise, Anda juga dapat melihat apakah cluster anggota fleet memiliki setelan yang sama dengan konfigurasi tingkat fleet.
Contoh alur kerja
Bagian ini adalah contoh alur kerja untuk administrator cluster yang ingin memindai workload dalam cluster untuk menemukan masalah konfigurasi keamanan, seperti hak istimewa root.
- Daftarkan cluster dalam pemindaian postur keamanan Kubernetes menggunakan konsol Google Cloud.
- Periksa dasbor postur keamanan untuk melihat hasil pemindaian, yang mungkin memerlukan waktu hingga 30 menit untuk muncul.
- Klik tab Masalah untuk membuka hasil mendetail.
- Pilih filter jenis masalah Konfigurasi.
- Klik masalah di tabel.
- Di panel detail masalah, perhatikan perubahan konfigurasi yang direkomendasikan dan perbarui spesifikasi Pod dengan rekomendasi.
- Terapkan spesifikasi Pod yang telah diperbarui ke cluster.
Saat pemindaian berjalan lagi, dasbor postur keamanan tidak lagi menampilkan masalah yang telah Anda perbaiki.
Langkah selanjutnya
- Pelajari audit konfigurasi workload lebih lanjut
- Pelajari cara mengaktifkan pemindaian otomatis workload Anda untuk masalah konfigurasi
- Pelajari cara mengaktifkan pemindaian otomatis image container Anda untuk mengetahui kerentanan yang diketahui
- Pelajari cara mengaktifkan GKE Threat Detection (Pratinjau)