Questa pagina mostra come controllare automaticamente le configurazioni dei carichi di lavoro per rilevare eventuali problemi di sicurezza e ricevere suggerimenti attuabili per migliorare la postura di sicurezza dei cluster Autopilot e Standard di Google Kubernetes Engine (GKE). Il controllo della configurazione del carico di lavoro è una funzionalità della dashboard della postura di sicurezza. Per ulteriori informazioni, consulta Informazioni sul controllo della configurazione dei carichi di lavoro.
Prezzi
La dashboard della postura di sicurezza viene offerta senza costi aggiuntivi in GKE tramite l'API Container Security.
Le voci aggiunte a Cloud Logging utilizzano i prezzi di Cloud Logging.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
- Abilita l'API Google Kubernetes Engine. Abilita l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo
gcloud components update
.
Abilitare l'API Container Security.
Requisiti
-
Per ottenere le autorizzazioni necessarie per utilizzare il controllo della configurazione dei carichi di lavoro, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore Security Posture (
roles/containersecurity.viewer
) per il tuo progetto Google Cloud. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.Questo ruolo predefinito contiene le autorizzazioni necessarie per utilizzare il controllo della configurazione dei carichi di lavoro. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per utilizzare il controllo della configurazione dei carichi di lavoro sono necessarie le seguenti autorizzazioni:
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
containersecurity.locations.list
-
containersecurity.locations.get
-
containersecurity.clusterSummaries.list
-
containersecurity.findings.list
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
-
- Il controllo della configurazione dei carichi di lavoro richiede GKE versione 1.21 e successive.
Abilita il controllo della configurazione dei carichi di lavoro
Il controllo della configurazione dei carichi di lavoro è abilitato per impostazione predefinita nei nuovi cluster Autopilot e Standard che eseguono la versione 1.27 e successive. Puoi anche abilitare questa funzionalità manualmente utilizzando gcloud CLI o la console Google Cloud.
Abilita il controllo della configurazione su un nuovo cluster
gcloud
Crea un nuovo cluster GKE utilizzando gcloud CLI:
gcloud container clusters create-auto CLUSTER_NAME \ --location=LOCATION \ --security-posture=standard
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del nuovo cluster.LOCATION
: la località di Compute Engine per il cluster.
Console
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Vai a Google Kubernetes Engine- Fai clic su Crea.
- Nella sezione GKE Autopilot, fai clic su Configura.
- Nel riquadro di navigazione, fai clic su Impostazioni avanzate. Se vuoi creare un cluster Standard, fai clic su Sicurezza.
- Nella sezione Sicurezza, seleziona la casella di controllo Controllo della configurazione.
- Configura altre opzioni per il cluster e fai clic su Crea quando è tutto pronto.
Abilita il controllo della configurazione su un cluster esistente
gcloud
Aggiorna il cluster:
gcloud container clusters update CLUSTER_NAME \ --location=LOCATION \ --security-posture=standard
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.LOCATION
: la località di Compute Engine del cluster.
Console
Vai alla pagina Postura di sicurezza nella console Google Cloud.
Vai a Security Posture- Fai clic sulla scheda Impostazioni.
- Nella sezione Cluster abilitati per il controllo della configurazione, fai clic su Seleziona cluster.
- Seleziona le caselle di controllo relative ai cluster che vuoi aggiungere.
- Nel menu a discesa Seleziona azione, scegli Imposta su base.
- Fai clic su Applica.
Se utilizzi Google Kubernetes Engine (GKE) Enterprise per gestire gruppi di cluster, puoi anche configurare impostazioni di controllo della configurazione a livello di parco risorse che si applicano a tutti i cluster membri. Per le istruzioni, consulta Configurare le funzionalità della dashboard della strategia di sicurezza di GKE a livello di parco risorse.
Esegui il deployment di un carico di lavoro di test
Esegui il deployment di un'applicazione di esempio che viola intenzionalmente gli standard di sicurezza dei pod.
Salva il seguente manifest come
misconfig-sample.yaml
:apiVersion: apps/v1 kind: Deployment metadata: name: helloweb labels: app: hello spec: selector: matchLabels: app: hello tier: web template: metadata: labels: app: hello tier: web spec: containers: - name: hello-app image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 ports: - containerPort: 8080 securityContext: runAsNonRoot: false resources: requests: cpu: 200m
Esegui il deployment dell'applicazione nel tuo cluster:
kubectl apply -f misconfig-sample.yaml
Se vuoi provare altre violazioni, modifica misconfig-sample.yaml
con la configurazione "non valida" corrispondente.
Visualizza e gestisci i risultati del controllo della configurazione
Il controllo iniziale richiede fino a 15 minuti per restituire i risultati. GKE visualizza i risultati sulla dashboard della strategia di sicurezza e aggiunge automaticamente le voci ai log del cluster.
Visualizza risultati
Per visualizzare una panoramica dei problemi rilevati nei cluster e nei carichi di lavoro del progetto, procedi come segue:
Vai alla pagina Postura di sicurezza nella console Google Cloud.
Fai clic sulla scheda Problemi.
Nel riquadro Problemi di filtro, nella sezione Tipo di problema, seleziona la casella di controllo Configurazione.
Visualizzare i dettagli e i consigli relativi ai problemi
Per visualizzare informazioni dettagliate su un problema di configurazione specifico, fai clic sulla riga contenente il problema.
Il riquadro Problema di configurazione mostra le seguenti informazioni:
- Descrizione: una descrizione del problema.
- Azione consigliata: una panoramica delle azioni che puoi intraprendere per risolvere il problema di configurazione. Questa sezione include i seguenti dettagli:
- Quali risorse richiedono la correzione
- Comandi di esempio che puoi eseguire per applicare la correzione alle risorse interessate
- Le istruzioni della console Google Cloud, se applicabili, per risolvere il problema
Visualizza i log per i problemi rilevati
GKE aggiunge voci a Logging per ogni problema rilevato.
Vai a Esplora log nella console Google Cloud.
Nel campo Query, specifica la seguente query:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_MISCONFIG"
Fai clic su Esegui query.
Per ricevere notifiche quando GKE aggiunge nuovi risultati a Logging, configura avvisi basati su log per questa query. Per ulteriori informazioni, consulta Configurare gli avvisi basati su log.
Esegui la pulizia
Elimina il carico di lavoro di esempio di cui hai eseguito il deployment.
kubectl delete deployment helloweb
Se vuoi, elimina il cluster che hai utilizzato.
gcloud container clusters delete CLUSTER_NAME \ --region=COMPUTE_REGION
Disabilita il controllo della configurazione dei carichi di lavoro
Puoi disabilitare il controllo della configurazione dei carichi di lavoro utilizzando gcloud CLI o la console Google Cloud.
gcloud
Esegui questo comando:
gcloud container clusters update CLUSTER_NAME \ --region=LOCATION \ --security-posture=disabled
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.LOCATION
: la regione o zona di Compute Engine per il cluster.
Console
Vai alla pagina Postura di sicurezza nella console Google Cloud.
Vai a Security Posture- Fai clic sulla scheda Impostazioni.
- Nella sezione Cluster abilitati per il controllo della configurazione, fai clic su Seleziona cluster.
- Nella scheda Controllo abilitato, seleziona le caselle di controllo relative ai cluster che vuoi rimuovere.
- Fai clic su Disabilita controllo, quindi su Conferma per disabilitare il controllo su questi cluster.
Limitazioni del controllo della configurazione dei carichi di lavoro
- I pool di nodi Windows Server non sono supportati.
- Il controllo della configurazione dei carichi di lavoro non analizza i carichi di lavoro gestiti da GKE, come quelli nello spazio dei nomi
kube-system
. - Il controllo della configurazione dei carichi di lavoro è disponibile solo per i cluster con meno di 1000 nodi.
La dashboard della postura di sicurezza supporta fino a 150.000 risultati di controllo della configurazione del carico di lavoro attivi per ogni cluster. Quando il numero di risultati per un cluster supera questo valore massimo, la dashboard della postura di sicurezza smette di mostrare i risultati della configurazione per il cluster.
Per risolvere questo problema, utilizza i log in Logging per identificare i problemi di configurazione ed eseguire il deployment dei manifest aggiornati. Quando il numero di risultati di configurazione è inferiore a 150.000, la dashboard della postura di sicurezza inizia a visualizzare i risultati per il cluster.
Passaggi successivi
- Scopri di più sulla dashboard della postura di sicurezza.
- Scopri di più su come funziona il controllo della configurazione.
- Scopri come proteggere i cluster in base ai suggerimenti di Google.