En esta página, se proporciona una descripción general del panel de postura de seguridad en la consola de Google Cloud, que te brinda recomendaciones accionadas y revisadas para mejorar tu postura de seguridad. Para explorar el panel por tu cuenta, ve a la página de postura de seguridad en la consola de Google Cloud.
Cuándo usar el panel de postura de seguridad
Debes usar el panel de postura de seguridad si eres un administrador de clústeres o un administrador de seguridad que desea automatizar la detección y la generación de informes de problemas de seguridad comunes en varios clústeres y cargas de trabajo, con intrusiones y alteraciones mínimas en tus aplicaciones en ejecución. El panel de postura de seguridad se integra en productos como Cloud Logging, el controlador de políticas y la autorización binaria para mejorar tu visibilidad en la postura de seguridad.
Si usas los Controles del servicio de VPC, también puedes actualizar los perímetros para proteger el panel de postura de seguridad si agregas containersecurity.googleapis.com
a la lista de servicios.
El panel de postura de seguridad no cambia ninguna de nuestras responsabilidades ni tus responsabilidades en el modelo de responsabilidad compartida. Aún es responsable de proteger tus cargas de trabajo.
Uso como parte de una estrategia de seguridad amplia
El panel de postura de seguridad proporciona estadísticas sobre la posición de seguridad de la carga de trabajo en la fase de entorno de ejecución del ciclo de vida de la entrega de software. Para obtener una cobertura completa de tus aplicaciones durante todo el ciclo de vida, desde el control de la fuente hasta el mantenimiento, te recomendamos que uses el panel con otras herramientas de seguridad.
GKE ofrece las siguientes herramientas para supervisar cumplimiento en la consola de Google Cloud:
- El panel de postura de seguridad, disponible en los niveles de GKE Standard y de GKE Enterprise.
- El panel de GKE Compliance, disponible en el nivel GKE Enterprise. Para obtener más detalles, consulta Acerca del panel de cumplimiento de GKE.
Para obtener más detalles sobre las herramientas disponibles y las prácticas recomendadas para proteger tus aplicaciones de extremo a extremo, consulta Protege la cadena de suministro de software.
También te recomendamos que implementes tantas recomendaciones como sea posible desde Endurece la seguridad de tu clúster.
Cómo funciona el panel de postura de seguridad
Para usar el panel de postura de seguridad, habilita la API de seguridad de contenedores en tu proyecto. En el panel, se muestran estadísticas de las funciones integradas en GKE y de ciertos productos de seguridad de Google Cloud que se ejecutan en tu proyecto.
Habilitación de atributos específicos del clúster
Las capacidades específicas de GKE en el panel de postura de seguridad se clasifican de la siguiente manera:
- Postura de seguridad de Kubernetes: La postura de seguridad de los objetos y recursos de Kubernetes en el clúster, como las especificaciones de Pod. Para obtener detalles, consulta Acerca del análisis de posiciones de seguridad de Kubernetes.
- Análisis de vulnerabilidades de las cargas de trabajo: La postura de seguridad del sistema operativo del contenedor y los paquetes de lenguaje de la aplicación. Para obtener más información, consulta Acerca del análisis de vulnerabilidades de las cargas de trabajo.
Si usas GKE Enterprise, algunas de estas funciones están habilitadas de forma predeterminada en los clústeres nuevos. En la siguiente tabla, se describen las funciones específicas del clúster:
Nombre de la función | Disponibilidad | Capacidades incluidas |
---|---|---|
Postura de seguridad de Kubernetes: nivel estándar |
Se requiere la versión 1.27 o posterior de GKE.
|
|
Postura de seguridad de Kubernetes: nivel avanzado (vista previa) | No se habilita automáticamente en ninguna versión o modo de operación. Requiere la edición GKE Enterprise. | |
Análisis de vulnerabilidades de las cargas de trabajo: nivel estándar |
|
|
Análisis de vulnerabilidades de las cargas de trabajo: Estadísticas avanzadas de vulnerabilidades |
|
Puedes habilitar estas características para clústeres independientes de GKE o clústeres de miembros de la flota. El panel de postura de seguridad te permite observar todos tus clústeres de forma simultánea, incluidos todos los miembros de la flota en el proyecto host de tu flota.
Características de los productos cruzados
El panel de postura de seguridad puede mostrarte estadísticas de otras ofertas de seguridad de Google Cloud que se ejecutan en tu proyecto. Esto proporciona una descripción general del estado de seguridad de una sola flota o los clústeres en un proyecto específico.
Nombre | Descripción | Cómo habilitar |
---|---|---|
Problemas de la cadena de suministro: Autorización Binaria (vista previa) | Verifica los siguientes problemas con la ejecución de imágenes de contenedor:
Si usas imágenes en repositorios de Artifact Registry que pertenecen a un proyecto diferente, permite que la Autorización Binaria lea esas imágenes en el proyecto de artefacto otorgándole el rol de IAM pertinente al agente de servicio. Para obtener instrucciones, consulta Otorga roles con gcloud CLI. |
Habilita la API de Binary Authorization en tu proyecto. Para obtener instrucciones, consulta Habilita el servicio de Autorización Binaria. |
Integración en Security Command Center
Si usas el nivel Estándar o Premium de Security Command Center en tu organización o proyecto, verás los resultados del panel de postura de seguridad en Security Command Center. Para obtener más detalles sobre los tipos de resultados de Security Command Center que verás, consulta Fuentes de seguridad.
Beneficios del panel de postura de seguridad
El panel de postura de seguridad es una medida de seguridad básica que puedes habilitar para cualquier clúster de GKE apto. Google Cloud recomienda usar el panel de postura de seguridad para todos tus clústeres por los siguientes motivos:
- Interrupciones mínimas: Las funciones no interfieren ni interrumpen las cargas de trabajo en ejecución.
- Recomendaciones prácticas: Cuando está disponible, el panel de postura de seguridad proporciona elementos de acción para corregir problemas detectados. Estas acciones incluyen comandos que puedes ejecutar, ejemplos de cambios de configuración que se deben realizar y consejos sobre qué hacer para mitigar las vulnerabilidades.
- Visualización: El panel de postura de seguridad proporciona una visualización de alto nivel de los problemas que afectan a los clústeres en todo tu proyecto y, además, incluye gráficos que muestran el progreso que realizaste y el posible impacto de cada problema.
- Resultados bien definidos: GKE asigna una calificación de gravedad a los problemas detectados según la experiencia de nuestros equipos de seguridad y los estándares de la industria.
- Registros de eventos auditables: GKE agrega todos los problemas detectados a Logging para mejorar la generación de informes y observabilidad.
- Observabilidad de la flota: Si registraste clústeres de GKE en una flota, el panel te permite observar todos los clústeres del proyecto, incluidos los clústeres miembros de la flota y todos los clústeres independientes de GKE en el proyecto.
Precios del panel de postura de seguridad de GKE
Los precios de las funciones del panel de postura de seguridad son los siguientes, aplicables a los clústeres de GKE independientes y a los clústeres de GKE de flota:
Precios del panel de postura de seguridad de GKE | |
---|---|
Auditoría de la configuración de las cargas de trabajo | Sin cargos adicionales |
Presentación de boletines de seguridad | Sin cargos adicionales |
GKE Threat Detection (vista previa) | Está incluido en el costo de GKE Enterprise. Para obtener más información, consulta la página de precios de GKE Enterprise Edition. |
Análisis de vulnerabilidades del SO del contenedor | Sin cargos adicionales |
Advanced Vulnerability Insights | Usa los precios de Artifact Analysis. Si deseas obtener más información, consulta la página de precios de Artifact Analysis en Advanced Vulnerability Insights. |
Cadena de suministro: Autorización Binaria (vista previa) | No se aplican cargos adicionales por problemas del panel de postura de seguridad. Sin embargo, el uso de otras funciones de la Autorización Binaria, como la aplicación, es independiente de la funcionalidad del panel y está sujeto a los precios de la Autorización Binaria para GKE. |
En las entradas que se agregan a Cloud Logging, se usan los precios de Cloud Logging. Sin embargo, según la escala de tu entorno y la cantidad de problemas detectados, es posible que no excedas las asignaciones de transferencia y almacenamiento gratuitas para Logging. Para obtener más información, consulta los precios de Logging.
Administra la postura de seguridad de la flota
Si usas flotas con la edición Enterprise de Google Kubernetes Engine (GKE), puedes configurar funciones de postura de seguridad de GKE a nivel de la flota mediante gcloud CLI. Los clústeres de GKE que registras como miembros de la flota durante la creación del clúster heredan de forma automática la configuración de postura de seguridad. Los clústeres que ya eran miembros de la flota antes de cambiar la configuración de postura de seguridad no heredan la configuración nueva. Esta configuración heredada anula la configuración predeterminada que GKE aplica a los clústeres nuevos.
La habilitación de GKE Enterprise muestra los resultados de la auditoría de cumplimiento en el panel de postura de seguridad. La auditoría de cumplimiento compara los clústeres y las cargas de trabajo con las prácticas recomendadas de la industria, como los estándares de seguridad de Pods. Para obtener más información, consulta Paquetes de controladores de políticas.
Para obtener información sobre cómo cambiar la configuración de postura de seguridad a nivel de la flota, consulta Configura las funciones del panel de postura de seguridad de GKE a nivel de la flota.
Acerca de la página de postura de seguridad
La página de postura de seguridad en la consola de Google Cloud tiene las siguientes pestañas:
- Panel: Es una representación de alto nivel de los resultados de tus análisis. Incluye gráficos y, también, información específica de las funciones.
- Problemas: una vista detallada y filtrable de cualquier problema que descubra GKE en tus clústeres y cargas de trabajo Puedes seleccionar problemas individuales para obtener detalles y opciones de mitigación.
- Configuración: Administra la configuración de las funciones de postura de seguridad para clústeres individuales o flotas.
Panel
En la pestaña Panel, se proporciona una representación visual de los resultados de varios análisis de posturas de seguridad de GKE y, también, información de otros productos de seguridad de Google Cloud que están habilitados en tu proyecto. Para obtener detalles sobre las capacidades de análisis disponibles y otros productos de seguridad compatibles, consulta Cómo funciona el panel de postura de seguridad en este documento.
Si usas flotas con GKE Enterprise, en el panel también se muestran los problemas detectados para los clústeres, incluidos los de la flota del proyecto y los clústeres independientes. Para cambiar el panel a fin de ver la postura de una flota específica, selecciona el proyecto host de esa flota en el menú desplegable del selector de proyectos en la consola de Google Cloud. Si el proyecto seleccionado tiene habilitada la API de seguridad de contenedores, el panel mostrará los resultados de todos los clústeres miembros de la flota de ese proyecto.
Problemas
En la pestaña Problemas, se enumeran los problemas de seguridad activos que GKE descubre cuando analiza tus clústeres y cargas de trabajo. En esta página, solo se muestran las inquietudes de las funciones de postura de seguridad descritas en Habilitación de funciones específicas del clúster en este documento. Si usas flotas con GKE Enterprise, puedes ver problemas de los clústeres miembros de la flota y los clústeres de GKE independientes que posee el proyecto seleccionado.
Calificaciones de gravedad
Cuando corresponda, GKE asigna una calificación de gravedad a los problemas que se detectaron. Puedes usar estas calificaciones para determinar la urgencia con la que necesitas resolver el resultado. GKE usa las siguientes calificaciones de gravedad, que se basan en la Escala de calificación de gravedad calidad de CVSS:
- Crítico: Actúa de inmediato. Un ataque provocará un incidente.
- Alto: Actúa rápidamente. Un ataque muy probablemente generará un incidente.
- Media: Actúa pronto. Un ataque muy probablemente generará un incidente.
- Baja: Actúa en algún momento. Un ataque podría provocar un incidente.
La velocidad precisa de tus respuestas a los problemas depende del modelo de amenaza y la tolerancia al riesgo de tu organización. Las calificaciones de gravedad son un lineamiento cualitativo para ayudarte a desarrollar un plan de respuesta ante incidentes detallado.
Tabla de consideraciones
En la tabla Problemas, se muestran todos los problemas que detecta GKE. Puedes cambiar la vista predeterminada para agrupar los resultados por el tipo de problema, el espacio de nombres de Kubernetes o las cargas de trabajo afectadas. Puedes usar el panel de filtro para filtrar los resultados por calificación de gravedad, tipo de problema, ubicación de Google Cloud y nombre del clúster. Para ver los detalles de un problema específico, haz clic en el nombre de ese problema.
Panel de detalles del problema
Cuando haces clic en un problema en la tabla Problemas, se abre el panel de detalles del problema. En este panel, se proporciona una descripción detallada del problema, además de información relevante, como las versiones del SO afectadas de vulnerabilidades, vínculos de CVE o riesgos asociados con un problema de configuración específico. En el panel de detalles, se proporciona una acción recomendada si corresponde. Por ejemplo, una carga de trabajo que establece runAsNonRoot: false
mostraría el cambio recomendado que debes realizar en la especificación del Pod para mitigar el problema.
En la pestaña Recursos afectados en el panel de detalles del problema, se muestra una lista de las cargas de trabajo en tus clústeres inscritos que se ven afectadas por ese problema.
Configuración
En la pestaña Configuración, puedes configurar funciones de postura de seguridad específicas del clúster, como el análisis de vulnerabilidades de las cargas de trabajo o la auditoría de configuración de las cargas de trabajo, en clústeres de GKE aptos de tu proyecto o flota. Puedes ver el estado de habilitación de las funciones específicas de cada clúster y cambiar esa configuración para los clústeres aptos. Si usas flotas con GKE Enterprise, también puedes ver si los clústeres miembros de tu flota tienen la misma configuración que la configuración a nivel de la flota.
Ejemplo de flujo de trabajo
Esta sección es un ejemplo del flujo de trabajo de un administrador de clústeres que desea analizar cargas de trabajo en un clúster para detectar problemas de configuración de seguridad, como los privilegios raíz.
- Inscribe el clúster en el análisis de posturas de seguridad de Kubernetes mediante la consola de Google Cloud.
- Revisa el panel de postura de seguridad para ver los resultados del análisis, lo que puede tardar hasta 30 minutos en aparecer.
- Haz clic en la pestaña Problemas para abrir los resultados detallados.
- Selecciona el filtro de tipo de problema Configuración.
- Haz clic en un problema de la tabla.
- En el panel de detalles del problema, observa el cambio de configuración recomendado y actualiza la especificación del pod con la recomendación.
- Aplica la especificación del Pod actualizada al clúster.
La próxima vez que el análisis se ejecute, el panel de postura de seguridad ya no mostrará el problema que solucionaste.
¿Qué sigue?
- Obtén más información sobre la auditoría de configuración de las cargas de trabajo.
- Obtén más información sobre cómo habilitar el análisis automático de tus cargas de trabajo para problemas de configuración.
- Aprende a habilitar el análisis automático de las imágenes de contenedor en busca de vulnerabilidades conocidas.
- Aprende a habilitar la detección de amenazas de GKE (vista previa)