Informazioni sulla dashboard della postura di sicurezza


Questa pagina fornisce una panoramica della dashboard della postura di sicurezza nella console Google Cloud, che fornisce suggerimenti utili e strategici per migliorare la tua strategia di sicurezza. Per esplorare autonomamente la dashboard, vai alla pagina Security posture nella console Google Cloud.

Quando utilizzare la dashboard della postura di sicurezza

Ti consigliamo di utilizzare la dashboard della postura di sicurezza se sei un amministratore di cluster o di sicurezza che vuole automatizzare il rilevamento e la segnalazione di problemi di sicurezza comuni in più cluster e carichi di lavoro, con intrusioni e interruzioni minime nelle applicazioni in esecuzione. La dashboard della postura di sicurezza si integra con prodotti come Cloud Logging, Policy Controller e Autorizzazione binaria per migliorare la visibilità della postura di sicurezza.

Se utilizzi Controlli di servizio VPC, puoi anche aggiornare i perimetri per proteggere la dashboard della postura di sicurezza aggiungendo containersecurity.googleapis.com all'elenco dei servizi.

La dashboard della postura di sicurezza non modifica alcuna delle nostre responsabilità o delle tue responsabilità in base al modello di responsabilità condivisa. Sei comunque responsabile della protezione dei tuoi carichi di lavoro.

Utilizzo nell’ambito di una strategia di sicurezza ampia

La dashboard della postura di sicurezza fornisce insight sulla postura di sicurezza dei carichi di lavoro nella fase di runtime del ciclo di vita della distribuzione del software. Per ottenere una copertura completa delle tue applicazioni per tutto il ciclo di vita, dal controllo del codice sorgente alla manutenzione, ti consigliamo di utilizzare la dashboard con altri strumenti per la sicurezza. Per maggiori dettagli sugli strumenti disponibili e per conoscere le best practice per salvaguardare le tue applicazioni end-to-end, consulta Proteggere la catena di fornitura del software.

Ti consigliamo inoltre di implementare il maggior numero possibile di suggerimenti del sito Proteggi la sicurezza del cluster.

Come funziona la dashboard della postura di sicurezza

Per utilizzare la dashboard della postura di sicurezza, abilita l'API Container Security nel tuo progetto. La dashboard mostra insight sulle funzionalità integrate in GKE e su determinati prodotti per la sicurezza di Google Cloud in esecuzione nel tuo progetto.

Abilitazione di funzionalità specifiche del cluster

Le funzionalità specifiche per GKE nella dashboard della postura di sicurezza sono classificate come segue:

Tipo Come attivare Funzionalità incluse
Strategia di sicurezza per Kubernetes

Autopilot: disponibile per l'abilitazione nella versione 1.21 e successive. Abilitata automaticamente quando crei nuovi cluster che eseguono la versione 1.27 e successive.

Standard: disponibile per l'abilitazione nella versione 1.21 e successive. Abilitata automaticamente quando crei nuovi cluster che eseguono la versione 1.27 e successive.

Analisi delle vulnerabilità dei carichi di lavoro - livello Standard

Autopilot: disponibile per l'attivazione nella versione 1.23.5-gke.700 e successive. Abilitata automaticamente quando crei nuovi cluster che eseguono la versione 1.27 e successive.

Standard: disponibile per l'attivazione nella versione 1.23.5-gke.700 e successive. Non abilitato automaticamente in nessuna versione.

Scansione automatica delle immagini container per vulnerabilità attuabili
Analisi delle vulnerabilità dei carichi di lavoro - Insight avanzati sulle vulnerabilità Disponibile per l'abilitazione a partire dalla versione 1.27 e successive. Non abilitata automaticamente in nessuna versione o modalità di funzionamento.

Puoi abilitare queste funzionalità per i cluster GKE autonomi o per i cluster membri del parco risorse. La dashboard della postura di sicurezza consente di osservare tutti i cluster contemporaneamente, inclusi tutti i membri del parco risorse nel progetto host del parco risorse.

Funzionalità di più prodotti

La dashboard della postura di sicurezza può mostrare insight di altre offerte per la sicurezza di Google Cloud in esecuzione nel tuo progetto. Fornisce una panoramica dello stato di sicurezza di un singolo parco risorse o dei cluster in un progetto specifico.

Nome Descrizione Come attivare
Problemi di conformità - Policy Controller Valuta i tuoi carichi di lavoro in base a set di criteri predefiniti o personalizzati. Ad esempio, verifica se i tuoi carichi di lavoro sono conformi agli standard di sicurezza dei pod di Kubernetes. Abilita GKE Enterprise.
Problemi della catena di fornitura - Autorizzazione binaria (anteprima)

Verifica i seguenti problemi con l'esecuzione delle immagini container:

  • Immagini che utilizzano il tag latest in modo implicito o esplicito
  • Immagini (di cui è stato eseguito il deployment da digest) caricate su Artifact Registry o Container Registry (deprecate) più di 30 giorni fa

Se utilizzi immagini nei repository Artifact Registry che appartengono a un altro progetto, consenti ad Autorizzazione binaria di leggere le immagini nel progetto di artefatto concedendo il ruolo IAM pertinente all'agente di servizio. Per le istruzioni, consulta Concedi ruoli utilizzando gcloud CLI.

Abilitare l'API Binary Authorization nel progetto. Per le istruzioni, vedi Abilitare il servizio Autorizzazione binaria.

Integrazione con Security Command Center

Se utilizzi il livello Standard o Premium di Security Command Center nella tua organizzazione o nel tuo progetto, potrai visualizzare i risultati della dashboard della postura di sicurezza in Security Command Center. Per maggiori dettagli sui tipi di risultati di Security Command Center che vedrai, consulta l'articolo sulle origini di sicurezza.

Vantaggi della dashboard sulla postura di sicurezza

La dashboard della postura di sicurezza è una misura di sicurezza di base che puoi abilitare per qualsiasi cluster GKE idoneo. Google Cloud consiglia di utilizzare la dashboard della postura di sicurezza per tutti i cluster per i seguenti motivi:

  • Interruzioni minime: le funzionalità non interferiscono né interrompono i carichi di lavoro in esecuzione.
  • Suggerimenti utili: se disponibile, la dashboard della postura di sicurezza fornisce attività per risolvere i problemi rilevati. Queste azioni includono i comandi che puoi eseguire, esempi di modifiche alla configurazione da apportare e consigli su cosa fare per mitigare le vulnerabilità.
  • Visualizzazione: la dashboard della postura di sicurezza fornisce una visualizzazione di alto livello dei problemi che interessano i cluster del tuo progetto e include grafici e diagrammi per mostrare i tuoi progressi e il potenziale impatto di ogni problema.
  • Risultati "guidati": GKE assegna una classificazione di gravità ai problemi rilevati in base all'esperienza dei nostri team di sicurezza e agli standard di settore.
  • Log di eventi verificabili: GKE aggiunge tutti i problemi rilevati a Logging per una migliore rilevabilità e osservabilità.
  • Osservabilità del parco risorse: se hai registrato cluster GKE in un parco risorse, la dashboard ti consente di osservare tutti i cluster del progetto, inclusi i cluster membri del parco risorse e gli eventuali cluster GKE autonomi presenti nel progetto.

Prezzi della dashboard della strategia di sicurezza di GKE

I prezzi per le funzionalità della dashboard della strategia di sicurezza sono i seguenti applicabili ai cluster GKE autonomi e al parco risorse GKE:

Prezzi della dashboard della strategia di sicurezza di GKE
Controllo della configurazione dei carichi di lavoro Nessun costo aggiuntivo
Bollettino sulla sicurezza Nessun costo aggiuntivo
Analisi delle vulnerabilità del sistema operativo dei container Nessun costo aggiuntivo
Advanced Vulnerability Insights

Utilizza i prezzi di Artifact Analysis.

Per maggiori dettagli, nella pagina dei prezzi di Artifact Analysis, consulta Approfondimenti avanzati sulle vulnerabilità.

Conformità - Policy Controller Vedi i prezzi di GKE Enterprise
Catena di fornitura - Autorizzazione binaria (anteprima) Nessun costo aggiuntivo per i problemi della dashboard sulla postura di sicurezza. Tuttavia, l'utilizzo di altre funzionalità di Autorizzazione binaria come l'applicazione forzata è separato dalla funzionalità della dashboard ed è soggetto ai prezzi di Autorizzazione binaria per GKE.

Le voci aggiunte a Cloud Logging utilizzano i prezzi di Cloud Logging. Tuttavia, a seconda della scala del tuo ambiente e del numero di problemi rilevati, potresti non superare le allocazioni gratuite per l'importazione e lo spazio di archiviazione per Logging. Per maggiori dettagli, consulta i prezzi di Logging.

Gestisci la strategia di sicurezza del parco risorse

Se utilizzi i parchi risorse con la versione Google Kubernetes Engine (GKE) Enterprise, puoi configurare le funzionalità della strategia di sicurezza di GKE a livello di parco risorse utilizzando gcloud CLI. I cluster GKE che registri come membri del parco risorse durante la creazione del cluster ereditano automaticamente la configurazione della postura di sicurezza. I cluster che erano già membri del parco risorse prima della modifica della configurazione della postura di sicurezza non ereditano la nuova configurazione.

L'abilitazione di GKE Enterprise mostra i risultati del controllo della conformità nella dashboard della postura di sicurezza. I controlli di conformità confrontano cluster e carichi di lavoro con best practice di settore come gli standard di sicurezza dei pod. Per ulteriori informazioni, consulta la pagina relativa ai pacchetti di Policy Controller.

Per informazioni su come modificare la configurazione della strategia di sicurezza a livello di parco risorse, consulta Configurare le funzionalità della dashboard della strategia di sicurezza di GKE a livello di parco risorse.

Informazioni sulla pagina Security posture

La pagina Security posture nella console Google Cloud contiene le seguenti schede:

  • Dashboard: una rappresentazione generale dei risultati delle scansioni. Include grafici e informazioni specifiche delle funzionalità.
  • Precauzioni: una visualizzazione dettagliata e filtrabile di qualsiasi problema rilevato da GKE nei tuoi cluster e carichi di lavoro. Puoi selezionare i singoli problemi per i dettagli e le opzioni di mitigazione.
  • Impostazioni: gestisci la configurazione delle funzionalità della postura di sicurezza per singoli cluster o per parchi risorse.

Dashboard

La scheda Dashboard fornisce una rappresentazione visiva dei risultati di varie analisi della strategia di sicurezza di GKE e informazioni di altri prodotti per la sicurezza di Google Cloud abilitati nel tuo progetto. Per maggiori dettagli sulle funzionalità di analisi disponibili e su altri prodotti di sicurezza supportati, consulta Come funziona la dashboard della postura di sicurezza in questo documento.

Se utilizzi parchi risorse con GKE Enterprise, la dashboard mostra anche eventuali problemi rilevati per i cluster, inclusi i cluster nel parco risorse del progetto e nei cluster autonomi. Per cambiare la dashboard in modo da visualizzare la postura di un parco risorse specifico, seleziona il progetto host per quel parco risorse dal menu a discesa del selettore progetti nella console Google Cloud. Se l'API Container Security è abilitata per il progetto selezionato, la dashboard mostra i risultati per tutti i cluster membri del parco risorse di quel progetto.

Problemi

Nella scheda Dubbi sono elencati i problemi di sicurezza attivi che GKE rileva durante l'analisi dei cluster e dei carichi di lavoro. Questa pagina mostra solo i dubbi relativi alle funzionalità della strategia di sicurezza descritte nella sezione Abilitazione delle funzionalità specifiche del cluster in questo documento. Se utilizzi i parchi risorse con GKE Enterprise, puoi visualizzare i problemi per i cluster membri del parco risorse e per i cluster GKE autonomi di proprietà del progetto selezionato.

Classificazioni della gravità

Ove applicabile, GKE assegna una valutazione di gravità alle preoccupazioni rilevate. Puoi utilizzare queste valutazioni per determinare l'urgenza con cui devi risolvere il risultato. GKE utilizza le seguenti classificazioni di gravità, basate sulla scala di valutazione della gravità qualitativa CVSS:

  • Critica: intervieni immediatamente. Un attacco porterà a un incidente.
  • Alta: intervieni tempestivamente. È molto probabile che un attacco porti a un incidente.
  • Mezzo: intervieni presto. È probabile che un attacco porti a un incidente.
  • Basso: intervieni alla fine. Un attacco potrebbe causare un incidente.

La velocità esatta della risposta alle preoccupazioni dipende dal modello di minaccia e dalla tolleranza al rischio della tua organizzazione. Le valutazioni della gravità sono linee guida qualitative per aiutarti a sviluppare un piano di risposta agli incidenti accurato.

Tabella dei problemi

La tabella Precauzioni mostra tutti i problemi rilevati da GKE. Puoi cambiare la visualizzazione predefinita in modo da raggruppare i risultati in base al tipo di problema, allo spazio dei nomi Kubernetes o ai carichi di lavoro interessati. Puoi utilizzare il riquadro dei filtri per filtrare i risultati in base alla valutazione della gravità, al tipo di problema, alla località Google Cloud e al nome del cluster. Per visualizzare i dettagli di un problema specifico, fai clic sul nome del problema.

Riquadro dei dettagli del problema

Quando fai clic su un problema nella tabella Precauzioni, si apre il riquadro dei dettagli del problema. Questo riquadro fornisce una descrizione dettagliata del problema e informazioni pertinenti come le versioni del sistema operativo interessate per vulnerabilità, link CVE o rischi associati a un problema di configurazione specifico. Il riquadro dei dettagli fornisce un'azione consigliata, se applicabile. Ad esempio, un carico di lavoro che imposta runAsNonRoot: false restituirà la modifica consigliata da apportare alla specifica del pod per ridurre il problema.

La scheda Risorse interessate nel riquadro dei dettagli del problema mostra un elenco dei carichi di lavoro nei cluster registrati che sono interessati dal problema.

Impostazioni

La scheda Impostazioni consente di configurare funzionalità della strategia di sicurezza specifiche per i cluster, come l'analisi delle vulnerabilità o il controllo della configurazione dei carichi di lavoro, sui cluster GKE idonei nel tuo progetto o nel tuo parco risorse. Puoi visualizzare lo stato di abilitazione di funzionalità specifiche per ogni cluster e modificare la configurazione per i cluster idonei. Se utilizzi parchi risorse con GKE Enterprise, puoi anche vedere se i cluster membri del tuo parco risorse hanno le stesse impostazioni della configurazione a livello di parco risorse.

Flusso di lavoro di esempio

Questa sezione è un esempio del flusso di lavoro per un amministratore del cluster che vuole analizzare i carichi di lavoro in un cluster per rilevare problemi di configurazione della sicurezza, ad esempio i privilegi principali.

  1. Registra il cluster per la scansione della strategia di sicurezza di Kubernetes utilizzando la console Google Cloud.
  2. Controlla la dashboard della postura di sicurezza per i risultati dell'analisi. La visualizzazione potrebbe richiedere fino a 15 minuti.
  3. Fai clic sulla scheda Dubbi per aprire i risultati dettagliati.
  4. Seleziona il filtro per il tipo di problema Configurazione.
  5. Fai clic su un problema nella tabella.
  6. Nel riquadro dei dettagli del problema, prendi nota della modifica consigliata per la configurazione e aggiorna la specifica del pod in base al suggerimento.
  7. Applica la specifica aggiornata del pod al cluster.

Alla successiva esecuzione della scansione, la dashboard della postura di sicurezza non mostrerà più il problema che hai risolto.

Passaggi successivi