Sobre o painel de postura de segurança

---

Nesta página, você terá uma visão geral do painel de postura de segurança no console do Google Cloud, com recomendações opinativas e úteis para melhorar sua postura de segurança. Para explorar o painel por conta própria, acesse a página de Postura de segurança no console do Google Cloud.

Quando usar o painel de postura de segurança

Use o painel de postura de segurança se for o administrador de clusters ou de segurança e quiser automatizar a detecção e a geração de relatórios de preocupações comuns de segurança em vários clusters e cargas de trabalho, com intrusões e interrupções mínimas a aplicativos em execução. O painel de postura de segurança se integra a produtos como o Cloud Logging, Controlador de Políticas e Autorização Binária para melhorar sua visibilidade da sua postura de segurança.

Se você usar o VPC Service Controls, também será possível atualizar os perímetros para proteger o painel de postura de segurança adicionando containersecurity.googleapis.com à lista de serviços.

O painel de postura de segurança não altera nossas responsabilidades nem as suas no modelo de responsabilidade compartilhada. Você ainda é responsável por proteger suas cargas de trabalho.

Uso como parte de uma estratégia de segurança ampla

O painel de postura de segurança fornece insights sobre a postura de segurança de cargas de trabalho na fase de ambiente de execução do ciclo de vida da entrega de software. Para ter uma cobertura abrangente dos aplicativos durante todo o ciclo de vida, desde o controle de origem até a manutenção, recomendamos que você use o painel com outras ferramentas de segurança. Para mais detalhes sobre as ferramentas disponíveis e as práticas recomendadas para proteger seus aplicativos de ponta a ponta, consulte Proteger sua cadeia de suprimentos de software.

Também é altamente recomendável implementar o maior número possível de recomendações em Proteger a segurança do cluster.

Como funciona o painel de postura de segurança

Para usar o painel de postura de segurança, ative a API Container Security no seu projeto. O painel mostra insights de recursos integrados ao GKE e de determinados produtos de segurança do Google Cloud em execução no projeto.

Ativação de recursos específicos de clusters

Os recursos específicos do GKE no painel de postura de segurança são categorizados da seguinte maneira:

• Posição de segurança do Kubernetes: a postura de segurança dos objetos e recursos do Kubernetes no cluster, como especificações do pod. Para mais detalhes, consulte Sobre a verificação da postura de segurança do Kubernetes.
• Verificação de vulnerabilidades da carga de trabalho: a postura de segurança dos pacotes de linguagens do aplicativo e do sistema operacional do contêiner. Para detalhes, consulte Sobre a verificação de vulnerabilidades da carga de trabalho.

Tipo	Como ativar	Recursos incluídos
Postura de segurança do Kubernetes - nível Standard	Ativado automaticamente em novos clusters do Autopilot e Standard que executam o GKE versão 1.27 e mais recente.	Verificação automática de cargas de trabalho para questões de configuração Exibição do boletim de segurança acionável (pré-lançamento)
Postura de segurança do Kubernetes - Nível avançado (pré-lançamento)	Não é ativado automaticamente em nenhuma versão ou modo de operação. Disponível apenas para usuários do GKE Enterprise.	GKE Threat Detection para o GKE Enterprise (pré-lançamento)
Verificação de vulnerabilidades da carga de trabalho: nível padrão	Autopilot: disponível para ativação na versão 1.23.5-gke.700 e posterior. Ativado automaticamente quando você cria novos clusters executando a versão 1.27 e posterior. Padrão: disponível para ativação na versão 1.23.5-gke.700 e posterior. Não ativado automaticamente em nenhuma versão.	Verificação automática de imagens de contêiner em busca de vulnerabilidades acionáveis
Verificação de vulnerabilidades da carga de trabalho - Advanced Vulnerability Insights	Disponível para ativação na versão 1.27 e em versões posteriores. Não é ativado automaticamente em nenhuma versão ou modo de operação.	Verificação automática de imagens de contêiner em busca de vulnerabilidades acionáveis Verificação automática de pacotes de linguagens de aplicativo em busca de vulnerabilidades

É possível ativar esses recursos para clusters autônomos do GKE ou para clusters membros da frota. O painel de postura de segurança permite observar todos os clusters simultaneamente, incluindo todos os membros da frota em que seu projeto é o projeto host.

Recursos de vários produtos

O painel de postura de segurança pode mostrar insights de outras ofertas de segurança do Google Cloud em execução no projeto. Com isso, você terá uma visão geral do status de segurança de uma única frota ou dos clusters em um projeto específico.

Nome	Descrição	Como ativar
Questões de conformidade: Controlador de Políticas	Avalie suas cargas de trabalho em relação a pacotes de políticas predefinidos ou personalizados. Por exemplo, confira se as cargas de trabalho estão em conformidade com os padrões de segurança de pods do Kubernetes.	Ativar GKE Enterprise.
Questões da cadeia de suprimentos: autorização binária (pré-lançamento)	Verifica os seguintes problemas com a execução de imagens de contêiner: Imagens que usam a tag latest de forma implícita ou explícita Imagens (implantadas por resumo) que foram enviadas por upload ao Artifact Registry ou ao Container Registry (descontinuadas) há mais de 30 dias Se você usar imagens em repositórios do Artifact Registry pertencentes a um projeto diferente, permita que a autorização binária leia essas imagens no projeto de artefato, concedendo o papel do IAM relevante ao agente de serviço. Para instruções, consulte Conceder papéis usando a CLI gcloud.	Ative a API autorização binária no projeto. Para instruções, consulte Ativar o serviço de autorização binária.

Integração com o Security Command Center

Se você usa o nível Standard ou Premium do Security Command Center na sua organização ou projeto, verá as descobertas do painel de postura de segurança no Security Command Center. Para mais detalhes sobre os tipos de descobertas do Security Command Center que você verá, consulte Fontes de segurança.

Benefícios do painel de postura de segurança

O painel de postura de segurança é uma medida de segurança básica que pode ser ativada para qualquer cluster qualificado do GKE. O Google Cloud recomenda o uso do painel de postura de segurança em todos os clusters pelos seguintes motivos:

• Interrupções mínimas: os recursos não interferem nem interrompem a execução das cargas de trabalho.
• Recomendações úteis: quando disponíveis, o painel de postura de segurança fornece ações necessárias para corrigir as preocupações identificadas. Essas ações incluem comandos que você pode executar, exemplos de alterações de configuração a serem feitas e orientações sobre o que fazer para reduzir as vulnerabilidades.
• Visualização: o painel de postura de segurança fornece uma visualização de alto nível de preocupações que afetam clusters de todo o projeto e inclui gráficos para mostrar o progresso feito e o possível impacto de cada preocupação.
• Resultados opinativos: o GKE atribui uma classificação de gravidade aos problemas descobertos com base na experiência das nossas equipes de segurança e nos padrões do setor.
• Registros de eventos auditáveis: o GKE adiciona todas as preocupações identificadas ao Logging para melhorar a reportabilidade e a observabilidade.
• Observabilidade da frota: se você registrou clusters do GKE em uma frota, o painel permite observar todos os clusters do projeto, incluindo os clusters membros de frota e quaisquer clusters do GKE autônomos no projeto.

Preços do painel de postura de segurança do GKE

Os preços dos recursos do painel de postura de segurança são os seguintes, aplicáveis a clusters autônomos do GKE e a clusters do GKE de frota:

Preços do painel de postura de segurança do GKE
Auditoria de configuração da carga de trabalho	Sem custo extra
Exibição do boletim de segurança	Sem custo extra
GKE Threat Detection (pré-lançamento)	Incluso no custo do GKE Enterprise. Para mais detalhes, na página de preços do GKE, consulte Edição Enterprise.
Verificação de vulnerabilidades do SO do contêiner	Sem custo extra
Advanced Vulnerability Insights	Usa os preços do Artifact Analysis. Para detalhes, na página de preços do Artifact Analysis, consulte Advanced Vulnerability Insights.
Compliance — Controlador de Políticas	Consulte os preços do GKE Enterprise
Cadeia de suprimentos - Autorização binária (pré-lançamento)	Não há custo extra para problemas no painel de postura de segurança. No entanto, o uso de outros recursos de autorização binária, como a aplicação, é separado da funcionalidade do painel e está sujeito aos preços da autorização binária para GKE.

As entradas adicionadas ao Cloud Logging usam os preços do Cloud Logging. No entanto, dependendo da escala do ambiente e do número de problemas descobertos, talvez você não exceda as cotas gratuitas de ingestão e armazenamento relativas ao Logging. Para detalhes, consulte Preços do Logging.

Gerenciar a postura de segurança da frota

Se você usa frotas com o Google Kubernetes Engine (GKE) Enterprise, é possível configurar recursos de postura de segurança do GKE no nível da frota usando a gcloud CLI. Os clusters do GKE registrados como membros de frota durante a criação deles herdam automaticamente a configuração de postura de segurança. Os clusters que já eram membros da frota antes da alteração da configuração de postura de segurança não herdam a nova configuração.

A ativação do GKE Enterprise exibe os resultados da auditoria de conformidade no painel de postura de segurança. A auditoria de conformidade compara seus clusters e cargas de trabalho com as práticas recomendadas do setor, como os padrões de segurança de pods. Para mais informações, consulte Métricas do Controlador de Políticas.

Para saber como alterar a configuração de postura de segurança no nível da frota, consulte Configurar os recursos do painel de postura de segurança do GKE no nível da frota.

Sobre a página Postura de segurança

A página "Postura de segurança" no console do Google Cloud tem as seguintes guias:

• Painel: uma representação de alto nível dos resultados das verificações. Inclui gráficos e informações específicas dos recursos.
• Preocupações: uma visualização detalhada e filtrável de quaisquer preocupações descobertas pelo GKE em todos os clusters e cargas de trabalho. Você pode selecionar preocupações individuais para detalhes e opções de mitigação.
• Configurações: gerencie a configuração do recurso de postura de segurança para clusters individuais ou para frotas.

Painel

A guia Painel fornece uma representação visual dos resultados de várias verificações de postura de segurança do GKE e informações de outros produtos de segurança do Google Cloud que estão ativados no seu projeto. Para saber mais sobre os recursos de verificação disponíveis e outros produtos de segurança compatíveis, consulte Como o painel de postura de segurança funciona, neste documento

Se você usar frotas com o GKE Enterprise, o painel também exibirá preocupações identificadas em clusters, incluindo clusters na frota do projeto e clusters autônomos. Para alternar o painel a fim de visualizar a postura de uma frota específica, selecione o projeto host dessa frota no menu suspenso do seletor de projetos no console do Google Cloud. Se o projeto selecionado tiver a API Container Security ativada, o painel mostrará os resultados de todos os clusters de membros da frota desse projeto.

Preocupações

A guia Preocupações lista as preocupações de segurança ativas que o GKE identifica ao verificar os clusters e as cargas de trabalho. Esta página mostra apenas as preocupações relacionadas aos recursos de postura de segurança descritos em Ativação de recursos específicos de cluster, neste documento. Se você usa frotas com o GKE Enterprise, poderá ver preocupações nos clusters membros de frota e clusters autônomos do GKE que pertencem ao projeto selecionado.

Classificações de gravidade

Quando aplicável, o GKE atribui uma classificação de gravidade às preocupações identificadas. Você pode usar essas classificações para determinar a urgência com que você precisa agir para resolver a descoberta. O GKE usa as seguintes classificações de gravidade, que são baseadas na escala de avaliação de gravidade qualitativa do CVSS:

• Crítico: aja imediatamente. Um ataque vai levar a um incidente.
• Alta: aja rapidamente. Um ataque provavelmente vai levar a um incidente.
• Médio: aja em breve. É provável que um ataque leve a um incidente.
• Baixa: aja esporadicamente. Um ataque pode levar a um incidente.

A velocidade precisa da sua resposta às preocupações depende do modelo de ameaças da sua organização e da tolerância a riscos. As classificações de gravidade são uma diretriz qualitativa para ajudar você a desenvolver um plano completo de resposta a incidentes.

Tabela de preocupações

A tabela Preocupações mostra todas as preocupações detectadas pelo GKE. É possível alterar a visualização padrão para agrupar os resultados por tipo de problema, namespace do Kubernetes ou pelas cargas de trabalho afetadas. Use o painel de filtro para filtrar os resultados por classificação de gravidade, tipo de problema, local do Google Cloud e nome do cluster. Para ver detalhes sobre uma preocupação específica, clique no nome dela.

Painel de detalhes do problema

Quando você clica em um problema na tabela Preocupações, o painel de detalhes do problema é aberto. Esse painel oferece uma descrição detalhada do problema e informações relevantes, como versões do SO afetadas por vulnerabilidades, links de CVE ou riscos associados a uma configuração específica. O painel de detalhes fornece uma ação recomendada, se aplicável. Por exemplo, uma carga de trabalho que define runAsNonRoot: false retornaria a alteração recomendada que você precisa fazer à especificação do pod para atenuar o problema.

A guia Cargas de trabalho afetadas no painel de detalhes do problema mostra uma lista de cargas de trabalho nos clusters registrados que são afetados por esse problema.

Configurações

A guia Configurações permite configurar recursos de postura de segurança específicos do cluster, como verificação de vulnerabilidades da carga de trabalho ou auditoria de configuração da carga de trabalho, em clusters qualificados do GKE no seu projeto ou frota. É possível ver o status de ativação de recursos específicos de cada cluster e alterar essa configuração para clusters qualificados. Se você usa frotas com o GKE Enterprise, também poderá ver se os clusters membros de frota têm as mesmas configurações que a configuração no nível da frota.

Exemplo de fluxo de trabalho

Nesta seção, você vê um exemplo do fluxo de trabalho para um administrador de cluster que quer verificar as cargas de trabalho em um cluster para identificar preocupações de configuração de segurança, como privilégios raiz.

1. Registre o cluster na verificação de postura de segurança do Kubernetes usando o Console do Google Cloud.
2. Verifique o painel de postura de segurança para ver os resultados da verificação, que podem levar até 15 minutos para aparecer.
3. Clique na guia Preocupações para abrir os resultados detalhados.
4. Selecione o filtro de tipos de preocupação de Configuração.
5. Clique em uma preocupação na tabela.
6. No painel de detalhes da preocupação, observe a mudança de configuração recomendada e atualize a especificação do pod com a recomendação.
7. Aplicar a especificação atualizada do pod ao cluster.

Na próxima vez que a verificação for executada, o painel de postura de segurança não exibirá mais o problema que você corrigiu.

A seguir

• Saiba mais sobre a auditoria de configuração da carga de trabalho
• Saiba como ativar a verificação automática das suas cargas de trabalho em busca de problemas de configuração
• Saiba como ativar a verificação automática das imagens de contêiner em busca de vulnerabilidades conhecidas
• Saiba como ativar GKE Threat Detection (pré-lançamento)