Cette page présente le tableau de bord de stratégie de sécurité dans la console Google Cloud, qui vous fournit des recommandations avisées et exploitables pour améliorer votre stratégie de sécurité. Pour explorer vous-même le tableau de bord, accédez à la page sur la stratégie de sécurité dans la console Google Cloud.
Quand utiliser le tableau de bord de stratégie de sécurité
Vous devez utiliser le tableau de bord de stratégie de sécurité si vous êtes un administrateur de cluster ou un administrateur de sécurité qui souhaite automatiser la détection et le signalement de problèmes de sécurité courants dans plusieurs clusters et charges de travail, avec un minimum d'intrusion et de perturbation de vos applications en cours d'exécution. Le tableau de bord de stratégie de sécurité s'intègre à des produits tels que Cloud Logging, Policy Controller et l'autorisation binaire pour améliorer votre visibilité sur votre stratégie de sécurité.
Si vous utilisez VPC Service Controls, vous pouvez également mettre à jour vos périmètres pour protéger le tableau de bord de stratégie de sécurité en ajoutant containersecurity.googleapis.com
à la liste des services.
Le tableau de bord de la stratégie de sécurité ne modifie aucunement nos responsabilités ni vos responsabilités en vertu du modèle de responsabilité partagée. Vous restez responsable de la protection de vos charges de travail.
Utilisation dans le cadre d'une stratégie de sécurité globale
Le tableau de bord de stratégie de sécurité fournit des insights sur votre stratégie de sécurité de charge de travail lors de la phase d'exécution du cycle de livraison du logiciel. Pour obtenir une couverture complète de vos applications tout au long du cycle de vie, du contrôle de la source à la maintenance, nous vous recommandons d'utiliser le tableau de bord avec d'autres outils de sécurité.
GKE propose les outils suivants pour surveiller la sécurité et la conformité dans la console Google Cloud :
- Tableau de bord de la stratégie de sécurité, disponible dans les niveaux GKE Standard et GKE Enterprise.
- Tableau de bord GKE Compliance, disponible dans le niveau GKE Enterprise Pour en savoir plus, consultez la section À propos du tableau de bord GKE Compliance.
Pour plus d'informations sur les autres outils disponibles et sur les bonnes pratiques à suivre pour protéger vos applications de bout en bout, consultez la page Protéger votre chaîne d'approvisionnement logicielle.
Nous vous recommandons également de mettre en œuvre autant de recommandations que possible dans la section Renforcer la sécurité d'un cluster.
Fonctionnement du tableau de bord de stratégie de sécurité
Pour utiliser le tableau de bord de stratégie de sécurité, activez l'API Container Security dans votre projet. Le tableau de bord affiche des insights issus des fonctionnalités intégrées à GKE et de certains produits de sécurité Google Cloud exécutés dans votre projet.
Activation des fonctionnalités spécifiques aux clusters
Les fonctionnalités propres à GKE dans le tableau de bord de stratégie de sécurité sont classées comme suit :
- Stratégie de sécurité Kubernetes : stratégie de sécurité des objets et des ressources Kubernetes dans le cluster, tels que les spécifications du pod. Pour en savoir plus, consultez la section À propos de l'analyse de la stratégie de sécurité Kubernetes.
- Analyse des failles des charges de travail : stratégie de sécurité du système d'exploitation du conteneur et des packages de langage d'application. Pour en savoir plus, consultez la page À propos de l'analyse des failles des charges de travail.
Si vous utilisez GKE Enterprise, certaines de ces fonctionnalités sont activées par défaut dans les nouveaux clusters. Le tableau suivant décrit les fonctionnalités spécifiques au cluster :
Nom de la fonctionnalité | Disponibilité | Fonctionnalités incluses |
---|---|---|
Stratégie de sécurité Kubernetes – Niveau standard |
Nécessite la version 1.27 de GKE ou une version ultérieure.
|
|
Stratégie de sécurité Kubernetes : niveau avancé (bêta) | Non activé automatiquement dans aucune version ou aucun mode de fonctionnement. Nécessite l'édition GKE Enterprise. | |
Analyse des failles des charges de travail – Niveau standard |
|
|
Analyse des failles des charges de travail : Advanced Vulnerability Insights |
|
Vous pouvez activer ces fonctionnalités pour les clusters GKE autonomes ou les clusters membres de parc. Le tableau de bord de stratégie de sécurité vous permet d'observer simultanément tous vos clusters, y compris tous les membres du parc de votre projet hôte.
Fonctionnalités multiproduits
Le tableau de bord de stratégie de sécurité peut présenter des insights provenant d'autres offres de sécurité Google Cloud en cours d'exécution dans votre projet. Cela fournit un aperçu de l'état de la sécurité d'un seul parc ou des clusters d'un projet spécifique.
Nom | Description | Comment l'activer |
---|---|---|
Problèmes de chaîne d'approvisionnement – Autorisation binaire (preview) | Vérifie les points suivants lors de l'exécution d'images de conteneur :
Si vous utilisez des images dans des dépôts Artifact Registry appartenant à un autre projet, autorisez l'autorisation binaire à lire ces images dans le projet d'artefact en attribuant le rôle IAM approprié à l'agent de service. Pour savoir comment procéder, consultez la page Attribuer des rôles à l'aide de gcloud CLI. |
Activez l'API Binary Authorization dans votre projet. Pour savoir comment procéder, consultez la page Activer le service d'autorisation binaire. |
Intégration à Security Command Center
Si vous utilisez le niveau Standard ou Premium de Security Command Center dans votre organisation ou votre projet, les résultats du tableau de bord de stratégie de sécurité s'affichent dans Security Command Center. Pour en savoir plus sur les types de résultats de Security Command Center que vous verrez, consultez la page Sources de sécurité.
Avantages du tableau de bord de stratégie de sécurité
Le tableau de bord de stratégie de sécurité est une mesure de sécurité de base que vous pouvez activer pour n'importe quel cluster GKE éligible. Google Cloud recommande d'utiliser le tableau de bord de stratégie de sécurité dans tous vos clusters pour les raisons suivantes :
- Perturbations minimales : les fonctionnalités n'interfèrent pas avec les charges de travail en cours d'exécution et ne les perturbent pas.
- Recommandations exploitables : lorsqu'il est disponible, le tableau de bord de stratégie de sécurité fournit des actions permettant de résoudre les problèmes détectés. Ces actions incluent des commandes que vous pouvez exécuter, des exemples de modifications de configuration à effectuer et des conseils sur la manière de limiter les failles.
- Visualisation : le tableau de bord de stratégie de sécurité fournit une vue d'ensemble des problèmes qui affectent les clusters de votre projet. Il inclut des graphiques indiquant la progression que vous avez effectuée et l'impact potentiel de chaque problème.
- Résultats avisés : GKE attribue un niveau de gravité aux problèmes détectés en fonction de l'expertise de nos équipes de sécurité et des normes du secteur.
- Journaux d'événements auditables : GKE ajoute toutes les préoccupations découvertes à Logging pour améliorer la création de rapports et l'observabilité.
- Observabilité du parc : si vous avez enregistré des clusters GKE dans un parc, le tableau de bord vous permet d'observer tous les clusters du projet, y compris les clusters membres du parc et n'importe quel cluster GKE autonome du projet.
Tarifs du tableau de bord de stratégie de sécurité GKE
Les tarifs des fonctionnalités du tableau de bord de stratégie de sécurité sont les suivants, applicables aux clusters GKE autonomes et aux clusters GKE de parc :
Tarifs du tableau de bord de stratégie de sécurité GKE | |
---|---|
Audit de configuration de la charge de travail | Aucuns frais supplémentaires |
Bulletin de sécurité qui s'affiche | Aucuns frais supplémentaires |
GKE Threat Detection (bêta) | Inclus dans le coût de GKE Enterprise. Pour en savoir plus, consultez la page Édition Enterprise de la page des tarifs de GKE. |
Analyse des failles de Container OS | Aucuns frais supplémentaires |
Advanced Vulnerability Insights | Utilise la tarification d'Artifact Analysis. Pour en savoir plus sur la page des tarifs d'Artifact Analysis, consultez la page Advanced Vulnerability Insights. |
Chaîne d'approvisionnement – Autorisation binaire (preview) | Aucuns frais supplémentaires ne sont facturés pour les problèmes liés au tableau de bord de la stratégie de sécurité. En revanche, l'utilisation d'autres fonctionnalités d'autorisation binaire, telles que l'application forcée, est distincte de la fonctionnalité de tableau de bord, et est à ce titre soumise à la tarification de l'autorisation binaire pour GKE. |
Les entrées ajoutées à Cloud Logging sont soumises aux tarifs de Cloud Logging. Toutefois, en fonction de l'échelle de votre environnement et du nombre de problèmes détectés, vous ne dépasserez peut-être pas les attributions d'ingestion et de stockage gratuites pour Logging. Pour plus de détails, consultez les tarifs de Logging.
Gérer la stratégie de sécurité du parc
Si vous utilisez des parcs avec l'édition Enterprise de Google Kubernetes Engine (GKE), vous pouvez configurer des fonctionnalités de stratégie de sécurité GKE au niveau du parc à l'aide de gcloud CLI. Les clusters GKE que vous enregistrez en tant que membres d'un parc lors de la création d'un cluster héritent automatiquement de la configuration de la stratégie de sécurité. Les clusters qui étaient déjà membres du parc avant de modifier la configuration de la stratégie de sécurité n'héritent pas de la nouvelle configuration. Cette configuration héritée remplace les paramètres par défaut que GKE applique aux nouveaux clusters.
L'activation de GKE Enterprise affiche les résultats d'audit de conformité dans le tableau de bord de stratégie de sécurité. L'audit de conformité compare vos clusters et vos charges de travail avec les bonnes pratiques du secteur, telles que les normes de sécurité des pods. Pour en savoir plus, consultez la section Groupes Policy Controller.
Pour savoir comment modifier la configuration de la stratégie de sécurité au niveau du parc, consultez la page Configurer les fonctionnalités du tableau de bord de stratégie de sécurité au niveau du parc.
À propos de la page "Stratégie de sécurité"
La page "Stratégie de sécurité" de la console Google Cloud comporte les onglets suivants :
- Tableau de bord : représentation de haut niveau des résultats de vos analyses. Inclut des graphiques et des informations spécifiques aux fonctionnalités.
- Problèmes : vue détaillée et filtrable des problèmes détectés par GKE sur vos clusters et charges de travail. Vous pouvez sélectionner des problèmes individuels pour obtenir plus de détails et des options d'atténuation.
- Paramètres : gérez la configuration de la stratégie de sécurité pour des clusters individuels ou pour des parcs.
Tableau de bord
L'onglet Tableau de bord fournit une représentation visuelle des résultats des différentes analyses de stratégie de sécurité GKE et des informations provenant d'autres produits de sécurité Google Cloud activés dans votre projet. Pour en savoir plus sur les fonctionnalités d'analyse disponibles et sur d'autres produits de sécurité compatibles, consultez la section Fonctionnement du tableau de bord de stratégie de sécurité de ce document.
Si vous utilisez des parcs avec GKE Enterprise, le tableau de bord affiche également les problèmes détectés pour les clusters, y compris les clusters du parc du projet et les clusters autonomes. Pour changer le tableau de bord afin d'afficher la stratégie d'un parc spécifique, sélectionnez le projet hôte de ce parc dans le menu déroulant du sélecteur de projet de la console Google Cloud. Si l'API Container Security est activée pour le projet sélectionné, le tableau de bord affiche les résultats pour tous les clusters membres du parc de ce projet.
Problèmes
L'onglet Problèmes répertorie les problèmes de sécurité actifs que GKE détecte lors de l'analyse de vos clusters et de vos charges de travail. Cette page n'affiche que les préoccupations concernant les fonctionnalités de stratégie de sécurité décrites dans la section Activation de fonctionnalités spécifiques aux clusters dans ce document. Si vous utilisez des parcs avec GKE Enterprise, vous pouvez voir les préoccupations des clusters membres du parc et des clusters GKE autonomes appartenant au projet sélectionné.
Niveaux de gravité
Le cas échéant, GKE attribue un niveau de gravité aux problèmes détectés. Vous pouvez utiliser ces notes pour déterminer l'urgence avec laquelle vous devez résoudre le résultat. GKE utilise les niveaux de gravité suivants, basés sur l'échelle de gravité qualitative CVSS :
- Critique : agissez immédiatement. Une attaque entraînera un incident.
- Élevée : agissez rapidement. Une attaque entraînera très probablement un incident.
- Moyenne : agir dans un futur proche. Une attaque entraînera probablement un incident.
- Low (Faible) : agissez si besoin. Une attaque peut entraîner un incident.
La rapidité de votre réponse aux problèmes dépend du modèle de gestion des menaces de votre organisation et de la tolérance aux risques. Les niveaux de gravité sont une consigne qualitative qui vous aide à développer un plan complet de gestion des incidents.
Tableau des problèmes
Le tableau Problèmes affiche tous les problèmes détectés par GKE. Vous pouvez modifier la vue par défaut pour regrouper les résultats par type de problème, espace de noms Kubernetes ou par charges de travail concernées. Vous pouvez utiliser le volet de filtrage pour filtrer les résultats par niveau de gravité, type de problème, emplacement Google Cloud et nom de cluster. Pour afficher des détails sur un problème spécifique, cliquez sur le nom de ce problème.
Volet des détails des problèmes
Lorsque vous cliquez sur un problème dans le tableau Problèmes, le volet Détails du problème s'ouvre. Ce volet fournit une description détaillée du problème et des informations pertinentes telles que les versions d'OS concernées par des failles, les liens CVE ou les risques associés à un problème de configuration spécifique. Le volet Détails fournit une action recommandée, le cas échéant. Par exemple, une charge de travail qui définit runAsNonRoot: false
renvoie la modification recommandée que vous devez apporter à la spécification de pod afin de limiter le problème.
L'onglet Ressources concernées du volet des détails des problèmes affiche la liste des charges de travail de vos clusters enregistrés qui sont affectées par ce problème.
Paramètres
L'onglet Paramètres vous permet de configurer des fonctionnalités de stratégie de sécurité spécifiques à un cluster, telles que l'analyse des failles des charges de travail ou l'audit de la configuration des charges de travail, sur les clusters GKE éligibles de votre projet ou votre parc. Vous pouvez afficher l'état d'activation de fonctionnalités spécifiques pour chaque cluster et modifier cette configuration pour les clusters éligibles. Si vous utilisez des parcs avec GKE Enterprise, vous pouvez également vérifier si vos clusters membres du parc ont les mêmes paramètres que la configuration au niveau du parc.
Exemple de workflow
Cette section est un exemple de workflow pour un administrateur de cluster qui souhaite analyser les charges de travail d'un cluster à la recherche de problèmes de configuration de sécurité, tels que les privilèges racine.
- Enregistrez le cluster dans l'analyse de stratégie de sécurité Kubernetes à l'aide de la console Google Cloud.
- Consultez le tableau de bord de stratégie de sécurité pour connaître les résultats de l'analyse. Cette opération peut prendre jusqu'à 30 minutes.
- Cliquez sur l'onglet Problèmes pour ouvrir les résultats détaillés.
- Sélectionnez le filtre du type de problème Configuration.
- Cliquez sur un problème dans le tableau.
- Dans le volet des détails des problèmes, notez la modification de configuration recommandée et mettez à jour la spécification de pod avec la recommandation.
- Appliquez la spécification de pod mise à jour au cluster.
La prochaine fois que l'analyse est exécutée, le tableau de bord de stratégie de sécurité n'affiche plus le problème que vous avez résolu.
Étapes suivantes
- Obtenez plus d'informations sur l'audit de configuration de la charge de travail.
- Apprenez à activer l'analyse automatique de vos charges de travail pour les problèmes de configuration.
- Découvrez comment activer l'analyse automatique de vos images de conteneurs à la recherche de failles connues.
- Découvrir comment activer la détection des menaces GKE (preview)