Audita automáticamente las cargas de trabajo en busca de problemas de configuración.

En esta página, se muestra cómo analizar de forma automática la configuración de las cargas de trabajo en busca de problemas de seguridad y obtener recomendaciones prácticas para mejorar la seguridad de los clústeres Autopilot y Standard de Google Kubernetes Engine (GKE). La auditoría de configuración de las cargas de trabajo es una característica del panel de postura de seguridad. Para obtener más información, consulta Acerca de la auditoría de configuración de las cargas de trabajo.

Precios

El panel de postura de seguridad se ofrece sin cargo adicional en GKE a través de la API de seguridad de contenedores.

En las entradas que se agregan a Cloud Logging, se usan los precios de Cloud Logging.

Antes de comenzar

Antes de comenzar, asegúrate de haber realizado las siguientes tareas:

• Habilita la API de Google Kubernetes Engine.
Habilitar la API de Google Kubernetes Engine
• Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta gcloud components update para obtener la versión más reciente.

• Habilita la API de seguridad de contenedores.

  Habilita la API de seguridad de contenedores

Requisitos

• A fin de obtener los permisos que necesitas para usar el análisis de configuración de las cargas de trabajo, pídele a tu administrador que te otorgue el rol de IAM de Visualizador de posturas de seguridad (roles/containersecurity.viewer) en tu proyecto de Google Cloud. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

  Este rol predefinido contiene los permisos necesarios para usar el de configuración de las cargas de trabajo. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

  Permisos necesarios

  Se requieren los siguientes permisos para usar el análisis de configuración de las cargas de trabajo:

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • containersecurity.locations.list
  • containersecurity.locations.get
  • containersecurity.clusterSummaries.list
  • containersecurity.findings.list

  También puedes obtener estos permisos con funciones personalizadas o con otras funciones predefinidas

• El análisis de la configuración de las cargas de trabajo requiere la versión 1.21 de GKE y las posteriores.

Habilita la auditoría de configuración de las cargas de trabajo

La auditoría de configuración de las cargas de trabajo está habilitada de forma predeterminada en los clústeres nuevos y estándar de Autopilot que ejecutan la versión 1.27 y posteriores. También puedes habilitar esta función de forma manual con la gcloud CLI o la consola de Google Cloud.

Habilita la auditoría de configuración en un clúster nuevo

gcloud container clusters create-auto CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=standard

Habilita la auditoría de configuración en un clúster existente

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=standard

Si usas la edición Enterprise de Google Kubernetes Engine (GKE) para administrar flotas de clústeres, también puedes establecer una configuración de auditoría a nivel de la flota que se aplique a todos los clústeres miembros. Para obtener instrucciones, consulta Configura las funciones del panel de postura de seguridad de GKE a nivel de la flota.

Implementa una carga de trabajo de prueba

Implementa una aplicación de ejemplo que infrinja de manera intencional los Estándares de seguridad de pods

1. Guarda el siguiente manifiesto como misconfig-sample.yaml:

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: helloweb
     labels:
       app: hello
   spec:
     selector:
       matchLabels:
         app: hello
         tier: web
     template:
       metadata:
         labels:
           app: hello
           tier: web
       spec:
         containers:
         - name: hello-app
           image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
           ports:
           - containerPort: 8080
           securityContext:
             runAsNonRoot: false
           resources:
             requests:
               cpu: 200m
   

2. Implementa la aplicación en el clúster:

   kubectl apply -f misconfig-sample.yaml
   

Si deseas probar otros incumplimientos, modifica misconfig-sample.yaml con la configuración “incorrecta” correspondiente.

Visualiza y muestra los resultados de la auditoría de la configuración

El análisis inicial puede tardar hasta 15 minutos en mostrar los resultados. GKE muestra los resultados en la página Postura de seguridad y agrega entradas de forma automática a los registros del clúster.

Vea los resultados

Para ver una descripción general de los problemas descubiertos en los clústeres y cargas de trabajo de tu proyecto, haz lo siguiente:

1. Ve a la página Postura de seguridad en la consola de Google Cloud.

   Ir a Postura de seguridad

2. Haz clic en la pestaña Problemas.

3. En el panel Filtrar problemas, en la sección Tipo de problema, selecciona la casilla de verificación Configuración.

Visualiza los detalles y las recomendaciones de los problemas

Para ver información detallada sobre un problema de configuración específico, haz clic en la fila que contiene ese problema.

En el panel Problemas de configuración, se muestra la siguiente información:

• Descripción: Una descripción del problema
• Acción recomendada: Una descripción general de las acciones que puedes realizar para solucionar el problema de configuración. En esta sección, se incluyen los siguientes detalles:
  • Qué recursos necesitan la solución
  • Comandos de muestra que puedes ejecutar para aplicar la corrección a los recursos afectados
  • Instrucciones de la consola de Google Cloud, si corresponde, para solucionar el problema

Consulta los registros de los problemas que se descubrieron

GKE agrega entradas a Logging para cada problema descubierto.

1. Ve al Explorador de registros en la consola de Google Cloud.

   Ir al Explorador de registros

2. En el campo Consulta, ingresa la siguiente consulta:

   resource.type="k8s_cluster"
   jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
   jsonPayload.type="FINDING_TYPE_MISCONFIG"
   

3. Haga clic en Run query.

Limpia

1. Borra la carga de trabajo de muestra que implementaste.

   kubectl delete deployment helloweb
   

2. De manera opcional, borra el clúster que usaste.

   gcloud container clusters delete CLUSTER_NAME \
       --region=COMPUTE_REGION
   

Inhabilita la auditoría de configuración de las cargas de trabajo

Puedes inhabilitar la auditoría de configuración de las cargas de trabajo con la gcloud CLI o la consola de Google Cloud.

gcloud container clusters update CLUSTER_NAME \
    --region=LOCATION \
    --security-posture=disabled

Limitaciones de la auditoría de configuración de las cargas de trabajo

• Los grupos de nodos de Windows Server no son compatibles.
• El análisis de configuración de las cargas de trabajo no analiza las cargas de trabajo administradas por GKE, como las cargas de trabajo en el espacio de nombres kube-system.
• La auditoría de configuración de las cargas de trabajo solo está disponible para clústeres con menos de 1,000 nodos.

¿Qué sigue?

• Obtén más información sobre el panel de postura de seguridad.
• Obtén más información sobre cómo funciona el análisis de configuración.
• Obtén más información sobre cómo proteger tus clústeres según las recomendaciones de Google.