セキュリティ ポスチャー ダッシュボードについて


このページでは、Google Cloud コンソールのセキュリティ ポスチャー ダッシュボードの概要について説明します。ダッシュボードには、セキュリティ ポスチャーを改善するための実用的な推奨事項が表示されます。ダッシュボード自体を調べるには、Google Cloud コンソールの [セキュリティ ポスチャー] ページに移動します。

セキュリティ ポスチャー ダッシュボードを使用する場合

実行中のアプリケーションへの侵入と中断を最小限に抑えながら、複数のクラスタやワークロードに共通のセキュリティの懸案事項の検出と報告を自動化するクラスタ管理者またはセキュリティ管理者は、セキュリティ対策ダッシュボードを使用することをおすすめします。セキュリティ対策ダッシュボードは、Cloud Logging、Policy Controller、Binary Authorization などのプロダクトと統合されており、セキュリティ対策の可視性が向上します。

VPC Service Controls を使用している場合は、サービスのリストに containersecurity.googleapis.com を追加することで、境界を更新して、セキュリティ対策ダッシュボードを保護することもできます。

セキュリティ対策ダッシュボードは、共有責任モデルに基づく Google とユーザーの責任には影響しません。ワークロードを保護する責任は依然としてお客様にあります。

広範なセキュリティ戦略の一環としての使用

セキュリティ ポスチャー ダッシュボードは、ソフトウェア デリバリー ライフサイクルのランタイム フェーズにおけるワークロードのセキュリティ ポスチャーに関する分析情報を提供します。ソース管理からメンテナンスまで、ライフサイクル全体でアプリケーションを包括的にカバーするには、ダッシュボードを他のセキュリティ ツールと一緒に使用することをおすすめします。

GKE では、Google Cloud コンソールでセキュリティとコンプライアンスをモニタリングするために、次のツールが用意されています。

  • セキュリティ ポスチャー ダッシュボード: GKE スタンダード ティアと GKE Enterprise ティアで利用できます。
  • GKE Compliance ダッシュボード: GKE Enterprise ティアで利用できます。詳細については、GKE Compliance ダッシュボードについてをご覧ください。

使用可能な他のツールと、アプリケーションをエンドツーエンドで保護するためのベスト プラクティスに関する詳細は、ソフトウェア サプライ チェーンを保護するをご覧ください。

また、クラスタのセキュリティを強化するの推奨事項を可能な限り多く実装することを強くおすすめします。

セキュリティ対策ダッシュボードの仕組み

セキュリティ対策ダッシュボードを使用するには、プロジェクトで Container Security API を有効にします。ダッシュボードには、GKE に組み込まれている機能と、プロジェクトで実行されている特定の Google Cloud セキュリティ プロダクトからの分析情報が表示されます。

クラスタ固有の機能の有効化

セキュリティ対策ダッシュボードの GKE 固有の機能は、次のように分類されます。

  • ワークロードの脆弱性スキャン: コンテナ オペレーティング システムとアプリケーション言語パッケージのセキュリティ ポスチャー。詳細については、ワークロードの脆弱性スキャンについてをご覧ください。

GKE Enterprise を使用している場合、これらの機能の一部は新しいクラスタでデフォルトで有効になっています。次の表に、クラスタ固有の機能を示します。

機能名 対象 含まれている機能
Kubernetes セキュリティ ポスチャー - スタンダード ティア

GKE バージョン 1.27 以降が必要です。

  • GKE Enterprise エディション: すべての新しいクラスタでデフォルトで有効になっています。
  • GKE Standard エディション: すべての新しいクラスタでデフォルトで有効になっています。
Kubernetes のセキュリティ対策 - Advanced ティア(プレビュー版 どのバージョンまたは運用モードでも自動的には有効になりません。GKE Enterprise エディションが必要です。
ワークロードの脆弱性スキャン - スタンダード ティア
  • GKE Enterprise エディション: バージョン 1.27 以降を実行しているすべての新しいクラスタでデフォルトで有効になっています。
  • GKE Standard エディション: バージョン 1.27 以降を実行しているすべての新しい Autopilot モードクラスタでデフォルトで有効になっています。すべての新しい Standard モードクラスタでデフォルトで無効になっています。
ワークロードの脆弱性スキャン - 高度な脆弱性分析情報
  • GKE Enterprise エディション: バージョン 1.27 以降を実行しているすべての新しいクラスタでデフォルトで有効になっています。
  • GKE Standard エディション: すべての新しいクラスタでデフォルトで無効になっています。

これらの機能は、スタンドアロン GKE クラスタまたはフリート メンバー クラスタで有効にできます。セキュリティ対策ダッシュボードでは、フリート ホスト プロジェクトのすべてのフリート メンバーを含む、すべてのクラスタを同時にモニタリングできます。

複数のプロダクトにまたがる機能

セキュリティ対策ダッシュボードには、プロジェクトで実行されている他の Google Cloud セキュリティ サービスからの分析情報が表示されます。これにより、単一フリートまたは特定のプロジェクト内のクラスタのセキュリティ ステータスの概要を確認できます。

名前 説明 有効にする方法
サプライ チェーンの懸念 - Binary Authorization(プレビュー)

コンテナ イメージの実行に関する次の問題を確認します。

  • 暗黙的または明示的に latest タグを使用するイメージ
  • 30 日以上前に Artifact Registry または Container Registry にアップロードされた(ダイジェストによってデプロイされた)イメージ(非推奨

別のプロジェクトに属する Artifact Registry リポジトリのイメージを使用する場合は、関連する IAM ロールをサービス エージェントに付与し、Binary Authorization がアーティファクト プロジェクトのこれらのイメージを読み取れるようにします。手順については、gcloud CLI を使用してロールを付与するをご覧ください。

プロジェクトで Binary Authorization API を有効にします。手順については、Binary Authorization サービスを有効にするをご覧ください。

Security Command Center とのインテグレーション

組織またはプロジェクトで Security Command Center のスタンダード ティアまたはプレミアム ティアを使用している場合、Security Command Center のセキュリティ対策ダッシュボードに検出結果が表示されます。表示される Security Command Center の検出結果の種類の詳細については、セキュリティ ソースをご覧ください。

セキュリティ ポスチャー ダッシュボードのメリット

セキュリティ対策ダッシュボードは、有効な GKE クラスタに対して有効にできる基本的なセキュリティ対策です。Google Cloud では、次の理由から、すべてのクラスタでセキュリティ対策ダッシュボードを使用することをおすすめします。

  • 中断を最小限に抑える: 機能によって、実行中のワークロードを妨げられることや中断されることはありません。
  • 実行可能な推奨事項: ある場合は、検出された懸案事項を解決するためのアクション アイテムがセキュリティ対策ダッシュボードで提供されます。これらのアクションには、実行できるコマンド、行う構成変更の例、脆弱性を軽減するためのアドバイスが含まれます。
  • 可視化: セキュリティ対策ダッシュボードは、プロジェクト全体のクラスタに影響を及ぼす懸念事項の概要を可視化し、進捗状況と各懸念事項の潜在的な影響を示すチャートとグラフを含みます。
  • スコア付き結果: GKE は、セキュリティ チームと業界標準の専門知識に基づいて、発見された懸念事項に重大度評価を割り当てます。
  • 監査可能なイベントログ: GKE は、検出されたすべての懸念事項を Logging に追加して、レポート機能とオブザーバビリティを向上させます。
  • フリートのオブザーバビリティ: GKE クラスタをフリートに登録している場合は、このダッシュボードを使用することで、プロジェクトのフリート メンバー クラスタとスタンドアロン GKE クラスタを含む、プロジェクトのすべてのクラスタをモニタリングできます。

GKE セキュリティ対策ダッシュボードの料金

スタンドアロン GKE クラスタとフリート GKE クラスタに適用されるセキュリティ対策ダッシュボードの機能の料金は、次のとおりです。

GKE セキュリティ対策ダッシュボードの料金
ワークロード構成の監査 追加料金なし
セキュリティに関する公開情報の表示 追加料金なし
GKE 脅威検出(プレビュー GKE Enterprise の費用に含まれています。詳細については、GKE の料金ページで Enterprise エディションをご覧ください。
コンテナ OS の脆弱性スキャン 追加料金なし
Advanced Vulnerability Insights

Artifact Analysis の料金を使用します。

詳細については、Artifact Analysis の料金ページで Advanced Vulnerability Insights をご覧ください。

サプライ チェーン - Binary Authorization(プレビュー セキュリティ対策ダッシュボードの懸念事項については追加料金なし。ただし、適用などの他の Binary Authorization 機能の使用はダッシュボード機能とは別のものであり、GKE の Binary Authorization の料金の対象となります。

Cloud Logging に追加されたエントリでは、Cloud Logging の料金が使用されます。ただし、環境の規模と検出された懸念事項の数によっては、Logging の無料の取り込みとストレージの割り当てを超えない場合があります。詳細については、ロギングの料金をご覧ください。

フリートのセキュリティ対策を管理する

Google Kubernetes Engine(GKE)Enterprise エディションでフリートを使用する場合は、gcloud CLI を使用して GKE のセキュリティ対策機能をフリートレベルで構成できます。クラスタの作成時にフリート メンバーとして登録した GKE クラスタは、セキュリティ ポスチャーの構成を自動的に継承します。セキュリティ ポスチャーの構成を変更する前にすでにフリート メンバーだったクラスタは、新しい構成を継承しません。継承されたこの構成は、GKE が新しいクラスタに適用するデフォルト設定をオーバーライドします。

GKE Enterprise を有効にすると、セキュリティ ポスチャー ダッシュボードにコンプライアンス監査の結果が表示されます。コンプライアンス監査では、クラスタとワークロードを Pod のセキュリティ標準などの業界のベスト プラクティスと比較します。詳細については、Policy Controller のバンドルをご覧ください。

フリートレベルのセキュリティ対策の構成を変更する方法については、フリートレベルで GKE セキュリティ対策ダッシュボードの機能を構成するをご覧ください。

[セキュリティ対策] ページについて

Google Cloud コンソールの [Security Posture] ページには、次のタブがあります。

  • ダッシュボード: スキャンの結果の概要を表します。グラフと機能に固有の情報が含まれています。
  • 懸念事項: クラスタとワークロードにまたがって GKE が検出した懸念事項を、詳細でフィルタ可能な形で表示します。個々の懸念事項の詳細と緩和策を選択できます。
  • 設定: 個々のクラスタまたはフリートのセキュリティ対策機能の構成を管理します。

ダッシュボード

[ダッシュボード] タブには、さまざまな GKE セキュリティ対策スキャンの結果と、プロジェクトで有効になっている他の Google Cloud セキュリティ プロダクトからの情報が視覚的に表示されます。利用可能なスキャン機能とサポートされている他のセキュリティ プロダクトの詳細については、このドキュメントのセキュリティ対策ダッシュボードの仕組みをご覧ください。

GKE Enterprise でフリートを使用している場合、ダッシュボードには、プロジェクトのフリート内のクラスタやスタンドアロン クラスタ内のクラスタなど、クラスタで検出された懸念事項も表示されます。特定のフリートの状態を表示するようにダッシュボードを切り替えるには、Google Cloud コンソールのプロジェクト セレクタ プルダウン メニューから、対象のフリートのホスト プロジェクトを選択します。選択したプロジェクトで Container Security API が有効になっている場合、ダッシュボードには、そのプロジェクトのフリートのすべてのメンバー クラスタの結果が表示されます。

懸念事項

[懸念事項] タブには、GKE がクラスタとワークロードのスキャン時に検出したアクティブなセキュリティ懸念事項が一覧表示されます。このページでは、このドキュメントのクラスタ固有の機能の有効化で説明されているセキュリティ対策機能に関する注意事項のみが表示されます。GKE Enterprise でフリートを使用する場合は、フリート メンバー クラスタと、選択したプロジェクトが所有するスタンドアロン GKE クラスタに関する懸念事項を確認できます。

重大度の評価

GKE では、検出された懸念事項に重大度が割り当てられます(該当する場合)。これらの評価を使用して、検出結果の解決が必要な緊急度を判断できます。GKE では、CVSS の定性的重大度評価スケールに基づく次の重大度評価を使用します。

  • 重大: 直ちに対応してください。攻撃はインシデントにつながります。
  • : 速やかに対応してください。攻撃は非常に高い確率でインシデントにつながります。
  • : 早めに対応してください。攻撃は高い確率でインシデントにつながります。
  • : 対応してください。攻撃はインシデントにつながる可能性があります。

懸念事項に対する正確な対応速度は、組織の脅威モデルとリスク許容度によって異なります。重大度の評価は、徹底したインシデント対応計画の策定に役立つ定性的ガイドラインです。

懸念事項テーブル

[懸念事項] テーブルには、GKE によって検出されたすべての懸念事項が表示されます。デフォルトのビューを変更して、懸念の種類、Kubernetes Namespace、または影響を受けるワークロードで結果をグループ化できます。フィルタペインを使用すると、重大度、懸念事項の種類、Google Cloud のロケーション、クラスタ名で結果をフィルタできます。特定の懸念事項の詳細情報を表示するには、その懸念事項の名前をクリックします。

懸念事項の詳細ペイン

[懸念事項] テーブルで懸念をクリックすると、懸念の詳細ペインが開きます。このペインには、懸念事項の詳細な説明と、脆弱性、CVE リンク、特定の構成の懸念事項に関連するリスクなど、影響を受ける OS のバージョンが表示されます。該当する場合は、詳細ペインに推奨される対応が表示されます。たとえば、runAsNonRoot: false を設定するワークロードでは、この懸案事項を軽減するために Pod 仕様を変更するために必要な推奨の変更が返されます。

懸案事項の詳細ペインの [影響を受けるリソース] タブに、その脆弱性の影響を受ける登録済みクラスタ内のワークロードのリストが表示されます。

設定

[設定] タブでは、プロジェクトまたはフリート内の適格な GKE クラスタで、ワークロードの脆弱性スキャンやワークロード構成の監査など、クラスタ固有のセキュリティ対策機能を構成できます。各クラスタの特定の機能の有効化ステータスを表示し、対象となるクラスタの構成を変更できます。GKE Enterprise でフリートを使用している場合は、フリート メンバー クラスタにフリートレベルの構成と同じ設定があるかどうかを確認することもできます。

ワークフローの例

このセクションでは、クラスタ内のワークロードをスキャンして、root 権限などのセキュリティ構成の問題を確認するクラスタ管理者のワークフローの例を示します。

  1. Google Cloud コンソールを使用して、Kubernetes セキュリティ ポスチャー スキャンにクラスタを登録します。
  2. セキュリティ ポスチャー ダッシュボードでスキャン結果を確認します。スキャン結果が表示されるまでに最大 30 分かかる場合があります。
  3. [懸念事項] タブをクリックして、詳細な結果を開きます。
  4. [Configuration] 懸念事項タイプのフィルタを選択します。
  5. 表内の懸念事項をクリックします。
  6. 懸案事項の詳細ペインで、推奨される構成の変更をメモし、推奨事項を使用して Pod 仕様を更新します。
  7. 更新された Pod 仕様をクラスタに適用します。

次回のスキャンを実行すると、修正された懸念事項がセキュリティ対策ダッシュボードに表示されなくなります。

次のステップ