Acerca del panel de control de la postura de seguridad

---

En esta página se ofrece una descripción general del panel de control de la postura de seguridad de la consolaGoogle Cloud , que te proporciona recomendaciones prácticas y basadas en opiniones para mejorar tu postura de seguridad. Para explorar el panel de control por tu cuenta, ve a la página Postura de seguridad de la consola de Google Cloud .

Cuándo usar el panel de control de postura de seguridad

Deberías usar el panel de control de postura de seguridad si eres administrador de un clúster o administrador de seguridad y quieres automatizar la detección y la creación de informes de problemas de seguridad habituales en varios clústeres y cargas de trabajo, con una intrusión y una interrupción mínimas en tus aplicaciones en ejecución. El panel de control de la postura de seguridad se integra con productos como Cloud Logging y Policy Controller para mejorar la visibilidad de tu postura de seguridad.

Si usas Controles de Servicio de VPC, también puedes actualizar tus perímetros para proteger el panel de control de postura de seguridad añadiendo containersecurity.googleapis.com a la lista de servicios.

El panel de control de postura de seguridad no cambia ninguna de nuestras responsabilidades ni las tuyas en virtud del modelo de responsabilidad compartida. Sigues siendo responsable de proteger tus cargas de trabajo.

Uso como parte de una estrategia de seguridad general

El panel de control de la postura de seguridad proporciona información valiosa sobre la postura de seguridad de tu carga de trabajo en la fase de tiempo de ejecución del ciclo de vida del envío de software. Para obtener una cobertura completa de tus aplicaciones a lo largo de todo el ciclo de vida, desde el control de código fuente hasta el mantenimiento, te recomendamos que uses el panel de control junto con otras herramientas de seguridad.

GKE ofrece el panel de control de la postura de seguridad para monitorizar la seguridad en la Google Cloud consola.

Para obtener más información sobre otras herramientas disponibles y sobre las prácticas recomendadas para proteger tus aplicaciones de principio a fin, consulta Protege tu cadena de suministro de software.

También te recomendamos que implementes tantas recomendaciones como sea posible de la sección Refuerza la seguridad de tu clúster.

Cómo funciona el panel de control de postura de seguridad

Para usar el panel de control de postura de seguridad, habilita la API Container Security en tu proyecto. En el panel de control se muestran estadísticas de las funciones integradas en GKE y de determinados productos de seguridad que se ejecutan en tu proyecto. Google Cloud

Habilitación de funciones específicas de clúster

Las funciones específicas de GKE del panel de control de la postura de seguridad se clasifican de la siguiente manera:

• Estrategia de seguridad de Kubernetes: la estrategia de seguridad de los objetos y recursos de Kubernetes del clúster, como las especificaciones de los pods. Para obtener más información, consulta Acerca del análisis de la postura de seguridad de Kubernetes.

• Análisis de vulnerabilidades de las cargas de trabajo: la postura de seguridad del sistema operativo del contenedor y los paquetes de lenguaje de la aplicación. Para obtener más información, consulta Información sobre el análisis de vulnerabilidades de cargas de trabajo.

En la siguiente tabla se describen las funciones específicas de los clústeres:

Nombre de la función	Disponibilidad	Funciones incluidas
Postura de seguridad de Kubernetes (nivel estándar)	Se necesita GKE 1.27 o una versión posterior. Habilitado de forma predeterminada en todos los clústeres nuevos.	Análisis automático de cargas de trabajo para detectar problemas de configuración Boletines de seguridad útiles
Análisis de vulnerabilidades de cargas de trabajo (nivel estándar)	Inhabilitado de forma predeterminada en todos los clústeres nuevos.	Análisis automático de imágenes de contenedor para detectar vulnerabilidades útiles
Análisis de vulnerabilidades de cargas de trabajo: información valiosa sobre vulnerabilidades avanzadas	Inhabilitado de forma predeterminada en todos los clústeres nuevos.	Análisis automático de imágenes de contenedor para detectar vulnerabilidades útiles Análisis automático de paquetes de idiomas de aplicaciones para detectar vulnerabilidades

Puedes habilitar estas funciones en clústeres de GKE independientes o en clústeres miembros de una flota. El panel de control de postura de seguridad te permite observar todos tus clústeres simultáneamente, incluidos todos los miembros de la flota en tu proyecto de host de flota.

Integración con Security Command Center

Si activas Security Command Center en tu organización o proyecto, verás los resultados del panel de control de la postura de seguridad en Security Command Center. Para obtener más información sobre los resultados de Security Command Center que aparecen en el panel de control de postura de seguridad, consulta Fuentes de seguridad.

Además, si activas el nivel de servicio Premium o Enterprise de Security Command Center en tu organización o proyecto, el panel de control de postura de seguridad mostrará los siguientes paneles adicionales:

• Principales amenazas: resume las principales amenazas que afectan a tus cargas de trabajo de GKE, agrupadas por gravedad y categoría.
• Principales vulnerabilidades de software (vista previa): muestra las principales CVEs asociadas a las detecciones de Security Command Center de tus cargas de trabajo de GKE.

Para activar el nivel Premium de Security Command Center en tu proyecto, haz lo siguiente:

1. En la Google Cloud consola, ve a la página Postura de seguridad de GKE.

   Ir a Postura de seguridad de GKE

2. Busca el panel Amenazas de muestra. En este panel se muestran ejemplos de los tipos de resultados de seguridad que puedes ver después de habilitar Security Command Center. Estos ejemplos no representan problemas de seguridad reales en tu proyecto.

   Si ves un panel titulado Principales amenazas, significa que Security Command Center ya está activado. Puedes saltarte los pasos restantes.

3. En el panel Amenazas de muestra, haz clic en Probar el análisis de seguridad gratis. Se abrirá el panel de activación.

4. Haz clic en Iniciar prueba gratuita.

Después de activar Security Command Center, empieza a analizar o escanear tus cargas de trabajo de GKE y tus recursos de otros servicios de Google Cloud. Este análisis inicial suele completarse en cuestión de minutos u horas.

Ventajas del panel de control de postura de seguridad

El panel de control de la postura de seguridad es una medida de seguridad fundamental que puedes habilitar en cualquier clúster de GKE apto. Google Cloud Recomendamos usar el panel de control de la postura de seguridad en todos tus clústeres por los siguientes motivos:

• Interrupciones mínimas: las funciones no interfieren ni interrumpen las cargas de trabajo en ejecución.
• Recomendaciones prácticas: cuando están disponibles, el panel de control de la postura de seguridad proporciona tareas para solucionar los problemas detectados. Estas acciones incluyen comandos que puedes ejecutar y ejemplos de cambios de configuración que puedes hacer.
• Visualización: el panel de control de postura de seguridad ofrece una visualización general de los problemas que afectan a los clústeres de tu proyecto e incluye gráficos que muestran el progreso que has conseguido y el impacto potencial de cada problema.
• Resultados basados en opiniones: GKE asigna una valoración de gravedad a los problemas detectados en función de la experiencia de nuestros equipos de seguridad y de los estándares del sector.
• Registros de eventos auditables: GKE añade todos los problemas detectados al registro para mejorar la generación de informes y la observabilidad.
• Observabilidad de la flota: si has registrado clústeres de GKE en una flota, el panel de control te permite observar todos los clústeres de tu proyecto, incluidos los clústeres miembros de la flota y los clústeres de GKE independientes del proyecto.

Precios del panel de control de la postura de seguridad de GKE

Los precios de las funciones del panel de control de la posición de seguridad son los siguientes y se aplican a los clústeres de GKE independientes y a los clústeres de GKE de flotas:

Precios del panel de control de la postura de seguridad de GKE
Auditoría de la configuración de cargas de trabajo	Sin coste adicional
Publicación de boletines de seguridad	Sin coste adicional
(Obsoleto) Análisis de vulnerabilidades de SO de contenedor	Sin coste adicional
(Obsoleto) Estadísticas de vulnerabilidades avanzadas	Se aplican los precios de Artifact Analysis. Para obtener más información, consulta la sección Información avanzada sobre vulnerabilidades de la página de precios de Artifact Analysis.
Resultados de Security Command Center	Usa los precios de Security Command Center.

Las entradas que se añaden a Cloud Logging se rigen por los precios de Cloud Logging. Sin embargo, en función de la escala de tu entorno y del número de problemas detectados, es posible que no superes las asignaciones gratuitas de ingestión y almacenamiento de Logging. Para obtener más información, consulta los precios de Logging.

Gestionar la postura de seguridad de la flota

Si usas flotas con GKE, puedes configurar las funciones de postura de seguridad de GKE a nivel de flota mediante la CLI de gcloud. Los clústeres de GKE que registres como miembros de la flota durante la creación del clúster heredarán automáticamente la configuración de la postura de seguridad. Los clústeres que ya eran miembros de la flota antes de que cambiara la configuración de postura de seguridad no heredarán la nueva configuración. Esta configuración heredada anula los ajustes predeterminados que GKE aplica a los clústeres nuevos.

Para saber cómo cambiar la configuración de la postura de seguridad a nivel de flota, consulta Configurar las funciones del panel de control de postura de seguridad de GKE a nivel de flota.

Acerca de la página Posición de seguridad

La página Postura de seguridad de la consola tiene las siguientes pestañas: Google Cloud

• Panel de control: una representación general de los resultados de tus análisis. Incluye gráficos e información específica sobre las funciones.
• Problemas: una vista detallada y filtrable de los problemas que ha detectado GKE en tus clústeres y cargas de trabajo. Puedes seleccionar problemas concretos para ver los detalles y las opciones de mitigación.
• Configuración: gestiona la configuración de la función de postura de seguridad de clústeres concretos o de flotas.

Panel de control

La pestaña Panel de control ofrece una representación visual de los resultados de varios análisis de postura de seguridad de GKE y de la información de otrosGoogle Cloud productos de seguridad que están habilitados en tu proyecto. Para obtener más información sobre las funciones de análisis disponibles y otros productos de seguridad compatibles, consulta el artículo Cómo funciona el panel de control de la postura de seguridad de este documento.

Si usas flotas con GKE, el panel de control también muestra los problemas detectados en los clústeres, incluidos los de la flota del proyecto y los independientes. Para cambiar el panel de control y ver la postura de una flota específica, selecciona el proyecto host de esa flota en el menú desplegable del selector de proyectos de la consola Google Cloud . Si el proyecto seleccionado tiene habilitada la API Container Security, el panel de control muestra los resultados de todos los clústeres miembros de la flota de ese proyecto.

Dudas

En la pestaña Problemas se muestran los problemas de seguridad activos que GKE descubre al analizar tus clústeres y cargas de trabajo. En esta página solo se muestran los problemas de las funciones de postura de seguridad descritas en la sección Habilitación de funciones específicas de clúster de este documento. Si usas flotas con GKE, puedes ver los problemas de los clústeres miembros de la flota y de los clústeres de GKE independientes que sean propiedad del proyecto seleccionado.

Valoraciones de gravedad

Cuando procede, GKE asigna una clasificación de gravedad a los problemas detectados. Puedes usar estas valoraciones para determinar la urgencia con la que debes resolver el problema. GKE usa las siguientes valoraciones de gravedad, que se basan en la escala de valoración cualitativa de gravedad de CVSS:

• Crítico: actúa inmediatamente. Un ataque provocará un incidente.
• Alto: actúa con rapidez. Es muy probable que un ataque provoque un incidente.
• Medio: actúa pronto. Es probable que un ataque provoque un incidente.
• Baja: actúa cuando puedas. Un ataque podría provocar un incidente.

La velocidad precisa de tu respuesta a las preocupaciones depende del modelo de amenazas y la tolerancia al riesgo de tu organización. Las clasificaciones de gravedad son una guía cualitativa que te ayudará a desarrollar un plan de respuesta ante incidentes exhaustivo.

Tabla de problemas

En la tabla Problemas se muestran todos los problemas detectados por GKE. Puedes cambiar la vista predeterminada para agrupar los resultados por tipo de problema, espacio de nombres de Kubernetes o cargas de trabajo afectadas. Puede usar el panel de filtros para filtrar los resultados por nivel de gravedad, tipo de problema,Google Cloud ubicación y nombre del clúster. Para ver los detalles de un problema concreto, haz clic en su nombre.

Panel de detalles de la incidencia

Cuando hace clic en un problema de la tabla Problemas, se abre el panel de detalles del problema. En este panel se ofrece una descripción detallada del problema y la información pertinente, como las versiones del SO afectadas por las vulnerabilidades, los enlaces CVE o los riesgos asociados a un problema de configuración específico. El panel de detalles proporciona una acción recomendada si procede. Por ejemplo, una carga de trabajo que defina runAsNonRoot: false devolvería el cambio recomendado que debes hacer en la especificación del pod para mitigar el problema.

La pestaña Recursos afectados del panel de detalles del problema muestra una lista de cargas de trabajo de los clústeres registrados que se ven afectadas por ese problema.

Ajustes

La pestaña Configuración te permite configurar funciones de postura de seguridad específicas de clústeres, como la auditoría de configuración de cargas de trabajo, en clústeres de GKE aptos de tu proyecto o flota. Puedes ver el estado de habilitación de funciones específicas de cada clúster y cambiar esa configuración en los clústeres aptos. Si usas flotas con GKE, también puedes ver si tus clústeres miembros de la flota tienen los mismos ajustes que la configuración a nivel de flota.

Ejemplo de flujo de trabajo

En esta sección se muestra un ejemplo del flujo de trabajo de un administrador de clústeres que quiere analizar las cargas de trabajo de un clúster para detectar problemas de configuración de seguridad, como privilegios de root.

1. Registra el clúster en el análisis de la postura de seguridad de Kubernetes mediante laGoogle Cloud consola.
2. Consulta el panel de control de la postura de seguridad para ver los resultados del análisis, que pueden tardar hasta 30 minutos en aparecer.
3. Haz clic en la pestaña Preocupaciones para ver los resultados detallados.
4. Seleccione el filtro de tipo de problema Configuración.
5. En la tabla, haz clic en el problema que quieras.
6. En el panel de detalles del problema, anota el cambio de configuración recomendado y actualiza la especificación del pod con la recomendación.
7. Aplica la especificación de Pod actualizada al clúster.

La próxima vez que se ejecute el análisis, el panel de control de la postura de seguridad ya no mostrará el problema que has solucionado.

Siguientes pasos

• Más información sobre la auditoría de la configuración de cargas de trabajo
• Consulta cómo habilitar la comprobación automática de tus cargas de trabajo para detectar problemas de configuración.