À propos du tableau de bord de stratégie de sécurité


Cette page présente le tableau de bord de stratégie de sécurité dans la console Google Cloud, qui vous fournit des recommandations avisées et exploitables pour améliorer votre stratégie de sécurité. Pour explorer vous-même le tableau de bord, accédez à la page sur la stratégie de sécurité dans la console Google Cloud.

Quand utiliser le tableau de bord de stratégie de sécurité

Vous devez utiliser le tableau de bord de stratégie de sécurité si vous êtes un administrateur de cluster ou un administrateur de sécurité qui souhaite automatiser la détection et le signalement de problèmes de sécurité courants dans plusieurs clusters et charges de travail, avec un minimum d'intrusion et de perturbation de vos applications en cours d'exécution. Le tableau de bord de stratégie de sécurité s'intègre à des produits tels que Cloud Logging, Policy Controller et l'autorisation binaire pour améliorer votre visibilité sur votre stratégie de sécurité.

Si vous utilisez VPC Service Controls, vous pouvez également mettre à jour vos périmètres pour protéger le tableau de bord de stratégie de sécurité en ajoutant containersecurity.googleapis.com à la liste des services.

Le tableau de bord de la stratégie de sécurité ne modifie aucunement nos responsabilités ni vos responsabilités en vertu du modèle de responsabilité partagée. Vous restez responsable de la protection de vos charges de travail.

Utilisation dans le cadre d'une stratégie de sécurité globale

Le tableau de bord de stratégie de sécurité fournit des insights sur votre stratégie de sécurité de charge de travail lors de la phase d'exécution du cycle de livraison du logiciel. Pour obtenir une couverture complète de vos applications tout au long du cycle de vie, du contrôle de la source à la maintenance, nous vous recommandons d'utiliser le tableau de bord avec d'autres outils de sécurité. Pour plus d'informations sur les outils disponibles et sur les bonnes pratiques à suivre pour protéger vos applications de bout en bout, consultez la page Protéger votre chaîne d'approvisionnement logicielle.

Nous vous recommandons également de mettre en œuvre autant de recommandations que possible dans la section Renforcer la sécurité d'un cluster.

Fonctionnement du tableau de bord de stratégie de sécurité

Pour utiliser le tableau de bord de stratégie de sécurité, activez l'API Container Security dans votre projet. Le tableau de bord affiche des insights issus des fonctionnalités intégrées à GKE et de certains produits de sécurité Google Cloud exécutés dans votre projet.

Activation des fonctionnalités spécifiques aux clusters

Les fonctionnalités propres à GKE dans le tableau de bord de stratégie de sécurité sont classées comme suit :

Type Comment l'activer Fonctionnalités incluses
Stratégie de sécurité Kubernetes

Autopilot : disponible pour les versions 1.21 et ultérieures. Activé automatiquement lorsque vous créez des clusters exécutant la version 1.27 ou une version ultérieure.

Standard : disponible dans les versions 1.21 et ultérieures. Activé automatiquement lorsque vous créez des clusters exécutant la version 1.27 ou une version ultérieure.

Analyse des failles des charges de travail – Niveau standard

Autopilot : disponible pour activation dans les versions 1.23.5-gke.700 et ultérieures. Activé automatiquement lorsque vous créez des clusters exécutant la version 1.27 ou une version ultérieure.

Standard : disponible dans les versions 1.23.5-gke.700 et ultérieures. Non activée automatiquement dans les versions.

Analyse automatique des failles exploitables des images de conteneurs
Analyse des failles des charges de travail : Advanced Vulnerability Insights Disponible dans les versions 1.27 et ultérieures. Non activé automatiquement dans aucune version ou aucun mode de fonctionnement.

Vous pouvez activer ces fonctionnalités pour les clusters GKE autonomes ou les clusters membres de parc. Le tableau de bord de stratégie de sécurité vous permet d'observer simultanément tous vos clusters, y compris tous les membres du parc de votre projet hôte.

Fonctionnalités multiproduits

Le tableau de bord de stratégie de sécurité peut présenter des insights provenant d'autres offres de sécurité Google Cloud en cours d'exécution dans votre projet. Cela fournit un aperçu de l'état de la sécurité d'un seul parc ou des clusters d'un projet spécifique.

Nom Description Comment l'activer
Policy Controller Évaluez vos charges de travail par rapport à des groupes de règles personnalisées ou prédéfinies. Par exemple, vérifiez si vos charges de travail sont conformes aux normes de sécurité des pods Kubernetes. Activer GKE Enterprise

Avantages du tableau de bord de stratégie de sécurité

Le tableau de bord de stratégie de sécurité est une mesure de sécurité de base que vous pouvez activer pour n'importe quel cluster GKE éligible. Google Cloud recommande d'utiliser le tableau de bord de stratégie de sécurité dans tous vos clusters pour les raisons suivantes :

  • Perturbations minimales: les fonctionnalités n'interfèrent pas avec les charges de travail en cours d'exécution et ne les perturbent pas.
  • Recommandations exploitables : lorsqu'il est disponible, le tableau de bord de stratégie de sécurité fournit des actions permettant de résoudre les problèmes détectés. Ces actions incluent des commandes que vous pouvez exécuter, des exemples de modifications de configuration à effectuer et des conseils sur la manière de limiter les failles.
  • Visualisation : le tableau de bord de stratégie de sécurité fournit une vue d'ensemble des problèmes qui affectent les clusters de votre projet. Il inclut des graphiques indiquant la progression que vous avez effectuée et l'impact potentiel de chaque problème.
  • Résultats avisés : GKE attribue un niveau de gravité aux problèmes détectés en fonction de l'expertise de nos équipes de sécurité et des normes du secteur.
  • Journaux d'événements auditables : GKE ajoute toutes les préoccupations découvertes à Logging pour améliorer la création de rapports et l'observabilité.
  • Observabilité du parc : si vous avez enregistré des clusters GKE dans un parc, le tableau de bord vous permet d'observer tous les clusters du projet, y compris les clusters membres du parc et n'importe quel cluster GKE autonome du projet.

Tarifs du tableau de bord de stratégie de sécurité GKE

Les tarifs des fonctionnalités du tableau de bord de stratégie de sécurité sont les suivants, applicables aux clusters GKE autonomes et aux clusters GKE de parc :

Tarifs du tableau de bord de stratégie de sécurité GKE
Audit de configuration de la charge de travail Aucuns frais supplémentaires
Bulletin de sécurité qui s'affiche Aucuns frais supplémentaires
Analyse des failles de Container OS Aucuns frais supplémentaires
Advanced Vulnerability Insights

Utilise la tarification d'Artifact Analysis.

Pour en savoir plus sur la page des tarifs d'Artifact Analysis, consultez la page Advanced Vulnerability Insights.

Policy Controller Consultez la page Tarifs de GKE Enterprise.

Les entrées ajoutées à Cloud Logging sont soumises aux tarifs de Cloud Logging. Toutefois, en fonction de l'échelle de votre environnement et du nombre de problèmes détectés, vous ne dépasserez peut-être pas les attributions d'ingestion et de stockage gratuites pour Logging. Pour plus de détails, consultez les tarifs de Logging.

Gérer la stratégie de sécurité du parc

Si vous utilisez des parcs avec l'édition Enterprise de Google Kubernetes Engine (GKE), vous pouvez configurer des fonctionnalités de stratégie de sécurité GKE au niveau du parc à l'aide de gcloud CLI. Les clusters GKE que vous enregistrez en tant que membres d'un parc lors de la création d'un cluster héritent automatiquement de la configuration de la stratégie de sécurité. Les clusters qui étaient déjà membres du parc avant de modifier la configuration de la stratégie de sécurité n'héritent pas de la nouvelle configuration.

L'activation de GKE Enterprise affiche les résultats d'audit de conformité dans le tableau de bord de stratégie de sécurité. L'audit de conformité compare vos clusters et vos charges de travail avec les bonnes pratiques du secteur, telles que les normes de sécurité des pods. Pour en savoir plus, consultez la section Groupes Policy Controller.

Pour savoir comment modifier la configuration de la stratégie de sécurité au niveau du parc, consultez la page Configurer les fonctionnalités du tableau de bord de stratégie de sécurité au niveau du parc.

À propos de la page "Stratégie de sécurité"

La page "Stratégie de sécurité" de la console Google Cloud comporte les onglets suivants :

  • Tableau de bord : représentation de haut niveau des résultats de vos analyses. Inclut des graphiques et des informations spécifiques aux fonctionnalités.
  • Problèmes : vue détaillée et filtrable des problèmes détectés par GKE sur vos clusters et charges de travail. Vous pouvez sélectionner des problèmes individuels pour obtenir plus de détails et des options d'atténuation.
  • Paramètres: gérez la configuration de la stratégie de sécurité pour des clusters individuels ou pour des parcs.

Tableau de bord

L'onglet Tableau de bord fournit une représentation visuelle des résultats des différentes analyses de stratégie de sécurité GKE et des informations provenant d'autres produits de sécurité Google Cloud activés dans votre projet. Pour en savoir plus sur les fonctionnalités d'analyse disponibles et sur d'autres produits de sécurité compatibles, consultez la section Fonctionnement du tableau de bord de stratégie de sécurité de ce document.

Si vous utilisez des parcs avec GKE Enterprise, le tableau de bord affiche également les problèmes détectés pour les clusters, y compris les clusters du parc du projet et les clusters autonomes. Pour changer le tableau de bord afin d'afficher la stratégie d'un parc spécifique, sélectionnez le projet hôte de ce parc dans le menu déroulant du sélecteur de projet de la console Google Cloud. Si l'API Container Security est activée pour le projet sélectionné, le tableau de bord affiche les résultats pour tous les clusters membres du parc de ce projet.

Problèmes

L'onglet Problèmes répertorie les problèmes de sécurité actifs que GKE détecte lors de l'analyse de vos clusters et de vos charges de travail. Cette page n'affiche que les préoccupations concernant les fonctionnalités de stratégie de sécurité décrites dans la section Activation de fonctionnalités spécifiques aux clusters dans ce document. Si vous utilisez des parcs avec GKE Enterprise, vous pouvez voir les préoccupations des clusters membres du parc et des clusters GKE autonomes appartenant au projet sélectionné.

Niveaux de gravité

Le cas échéant, GKE attribue un niveau de gravité aux problèmes détectés. Vous pouvez utiliser ces notes pour déterminer l'urgence avec laquelle vous devez résoudre le résultat. GKE utilise les niveaux de gravité suivants, basés sur l'échelle de gravité qualitative CVSS :

  • Critique : agissez immédiatement. Une attaque entraînera un incident.
  • Élevée : agissez rapidement. Une attaque entraînera très probablement un incident.
  • Moyenne : agir dans un futur proche. Une attaque entraînera probablement un incident.
  • Low (Faible) : agissez si besoin. Une attaque peut entraîner un incident.

La rapidité de votre réponse aux problèmes dépend du modèle de gestion des menaces de votre organisation et de la tolérance aux risques. Les niveaux de gravité sont une consigne qualitative qui vous aide à développer un plan complet de gestion des incidents.

Tableau des problèmes

Le tableau Problèmes affiche tous les problèmes détectés par GKE. Vous pouvez modifier la vue par défaut pour regrouper les résultats par type de problème, espace de noms Kubernetes ou par charges de travail concernées. Vous pouvez utiliser le volet de filtrage pour filtrer les résultats par niveau de gravité, type de problème, emplacement Google Cloud et nom de cluster. Pour afficher des détails sur un problème spécifique, cliquez sur le nom de ce problème.

Volet des détails des problèmes

Lorsque vous cliquez sur un problème dans le tableau Problèmes, le volet Détails du problème s'ouvre. Ce volet fournit une description détaillée du problème et des informations pertinentes telles que les versions d'OS concernées par des failles, les liens CVE ou les risques associés à un problème de configuration spécifique. Le volet Détails fournit une action recommandée, le cas échéant. Par exemple, une charge de travail qui définit runAsNonRoot: false renvoie la modification recommandée que vous devez apporter à la spécification de pod afin de limiter le problème.

L'onglet Ressources concernées du volet des détails des problèmes affiche la liste des charges de travail de vos clusters enregistrés qui sont affectées par ce problème.

Paramètres

L'onglet Paramètres vous permet de configurer des fonctionnalités de stratégie de sécurité spécifiques à un cluster, telles que l'analyse des failles des charges de travail ou l'audit de la configuration des charges de travail, sur les clusters GKE éligibles de votre projet ou votre parc. Vous pouvez afficher l'état d'activation de fonctionnalités spécifiques pour chaque cluster et modifier cette configuration pour les clusters éligibles. Si vous utilisez des parcs avec GKE Enterprise, vous pouvez également vérifier si vos clusters membres du parc ont les mêmes paramètres que la configuration au niveau du parc.

Exemple de workflow

Cette section est un exemple de workflow pour un administrateur de cluster qui souhaite analyser les charges de travail d'un cluster à la recherche de problèmes de configuration de sécurité, tels que les privilèges racine.

  1. Enregistrez le cluster dans l'analyse de stratégie de sécurité Kubernetes à l'aide de la console Google Cloud.
  2. Consultez le tableau de bord de stratégie de sécurité pour connaître les résultats de l'analyse. Cette opération peut prendre jusqu'à 15 minutes.
  3. Cliquez sur l'onglet Problèmes pour ouvrir les résultats détaillés.
  4. Sélectionnez le filtre du type de problème Configuration.
  5. Cliquez sur un problème dans le tableau.
  6. Dans le volet des détails des problèmes, notez la modification de configuration recommandée et mettez à jour la spécification de pod avec la recommandation.
  7. Appliquez la spécification de pod mise à jour au cluster.

La prochaine fois que l'analyse est exécutée, le tableau de bord de stratégie de sécurité n'affiche plus le problème que vous avez résolu.

Étapes suivantes