Questa pagina mostra come trovare minacce attive nei cluster Google Kubernetes Engine (GKE) versione Enterprise in esecuzione su Google Cloud e ricevere consigli utili per la mitigazione. GKE Threat Detection è una funzionalità avanzata della dashboard della postura di sicurezza di GKE. Per ulteriori informazioni, consulta Informazioni sul rilevamento delle minacce di GKE.
Il rilevamento delle minacce di GKE è disponibile solo nei progetti che utilizzano GKE Enterprise e dispongono di cluster GKE idonei.
Prezzi
Il rilevamento delle minacce di GKE è offerto senza costi aggiuntivi tramite GKE Enterprise.
Prima di iniziare
- Assicurati di essere un utente GKE Enterprise. Per configurare GKE Enterprise, consulta Abilitare GKE Enterprise.
Abilita l'API Container Security.
Assicurati di avere un cluster GKE esistente registrato in un parco risorse. Per creare e registrare un nuovo cluster, consulta Registrare un nuovo cluster.
Considerazioni preliminari all'attivazione di GKE Threat Detection
L'attivazione del rilevamento delle minacce per GKE abilita anche le seguenti funzionalità della funzionalità di analisi della postura di sicurezza di Kubernetes. Queste funzionalità sono offerte anche senza costi aggiuntivi.
- Controllo della configurazione dei workload
- Visualizzazione dei bollettini sulla sicurezza (anteprima)
Inoltre, quando attivi il rilevamento delle minacce GKE su un cluster nel tuo progetto, attivi anche i seguenti componenti di Security Command Center nel progetto. Se in un secondo momento vuoi rimuovere il rilevamento delle minacce di GKE dal tuo progetto, devi disattivare questi componenti singolarmente.
- API Security Command Center
- Componente aggiuntivo Security Command Center per GKE Enterprise
- Account di servizio Security Command Center
- Account di servizio Container Threat Detection
Durante la procedura di attivazione, concedi i seguenti ruoli IAM all'account di servizio Security Command Center e all'account di servizio Container Threat Detection:
- Account di servizio Security Command Center:
Agente di servizio Centro sicurezza (
roles/securitycenter.serviceAgent) - Account di servizio Container Threat Detection:
Container Threat Detection Service Agent (
roles/containerthreatdetection.serviceAgent)
Attivare il rilevamento delle minacce di GKE nel progetto
Devi abilitare il rilevamento delle minacce di GKE nel tuo progetto prima di attivarlo nei tuoi cluster. Se hai già attivato il rilevamento delle minacce GKE, salta questo passaggio.
Vai alla pagina Posizione di sicurezza nella console Google Cloud :
Nel riquadro Minaccia, fai clic su Attiva rilevamento delle minacce.
Esamina le autorizzazioni e i ruoli IAM che concederai, quindi fai clic su Concedi ruoli e abilita il rilevamento delle minacce. In questo modo viene attivato il rilevamento delle minacce GKE nel tuo progetto.
Per registrare i cluster in Rilevamento delle minacce di GKE, fai clic su Seleziona i cluster nella pagina delle impostazioni, quindi svolgi i seguenti passaggi:
- Seleziona le caselle di controllo per i cluster che vuoi registrare al Rilevamento delle minacce di GKE.
- Nel menu a discesa Seleziona azione, seleziona Imposta su Avanzate.
- Fai clic su Applica.
Attivare il rilevamento delle minacce di GKE su singoli cluster
Se hai già attivato GKE Threat Detection nel tuo progetto, puoi attivare il rilevamento delle minacce nei cluster esistenti registrati a un parco utilizzando la console Google Cloud o Google Cloud CLI.
Console
Vai alla pagina Posizione di sicurezza nella console Google Cloud .
Fai clic sulla scheda Impostazioni.
Nella sezione Cluster abilitati per la security posture, fai clic su Seleziona cluster.
Seleziona le caselle di controllo per i cluster su cui vuoi abilitare il rilevamento delle minacce GKE.
Nel menu a discesa Seleziona azione, seleziona Imposta su Avanzate.
Fai clic su Applica.
gcloud
Esegui questo comando:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=enterprise
Sostituisci quanto segue:
CLUSTER_NAME: il nome del tuo cluster GKE.LOCATION: la posizione Compute Engine del tuo cluster.
Visualizzare e intervenire sui risultati del rilevamento delle minacce di GKE
Dopo aver attivato questa funzionalità, potrebbero essere necessari fino a 15 minuti prima di iniziare a vedere i risultati. GKE mostra i risultati nella dashboard della security posture e aggiunge automaticamente voci ai log del cluster.
Visualizza risultati
Per visualizzare una panoramica dei problemi rilevati nei cluster e nei carichi di lavoro del progetto:
Vai alla pagina Posizione di sicurezza nella console Google Cloud .
Fai clic sulla scheda Problemi.
Nel riquadro Filtra problemi, nella sezione Tipo di problema, seleziona la casella di controllo Minaccia. Puoi anche espandere la sezione Minaccia per filtrare in base a sottocategorie come il tipo MITRE ATT&CK®.
Per visualizzare i dettagli relativi a una singola segnalazione di minacce, fai clic sulla descrizione della segnalazione. Si apre il riquadro dei dettagli del rilevamento con le seguenti informazioni:
- Dettagli sulla minaccia, ad esempio gravità e stato
- Consigli per mitigare la minaccia
- Un elenco delle risorse interessate nei cluster registrati
Visualizzare i risultati in Security Command Center
Se utilizzi il livello Premium di Security Command Center, puoi visualizzare
i risultati del rilevamento delle minacce di GKE come risultati THREAT.
Vai alla pagina Minacce nella console Google Cloud :
Visualizza i log relativi ai problemi rilevati
GKE aggiunge voci al bucket dei log _Default in Logging per ogni problema rilevato. Questi log vengono conservati solo per un periodo specifico. Per maggiori dettagli, consulta Periodi di conservazione dei log.
Nella console Google Cloud , vai a Esplora log:
Vai a Esplora logNel campo Query, specifica la seguente query:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_THREAT"
Fai clic su Esegui query.
Per ricevere notifiche quando GKE aggiunge nuovi risultati a Logging, configura gli avvisi basati su log per questa query. Per ulteriori informazioni, consulta Configurare gli avvisi basati su log.
Disattivare il rilevamento delle minacce di GKE
Puoi disattivare il rilevamento delle minacce per GKE nei tuoi cluster. Per disattivare il rilevamento delle minacce per GKE nel tuo progetto, devi rimuovere manualmente i singoli componenti di Security Command Center creati quando hai attivato la funzionalità.
Disattivare il rilevamento delle minacce GKE nei cluster
Puoi disattivare il rilevamento delle minacce di GKE nei cluster utilizzando la gcloud CLI o la console Google Cloud .
Console
Vai alla pagina Posizione di sicurezza nella console Google Cloud .
Fai clic sulla scheda Impostazioni.
Nella sezione Cluster abilitati per la security posture, fai clic su Seleziona cluster.
Seleziona le caselle di controllo per i cluster su cui vuoi disattivare il rilevamento delle minacce GKE.
Nel menu a discesa Seleziona azione, esegui una delle seguenti operazioni:
- Consigliato: per disattivare GKE Threat Detection, ma mantenere altre funzionalità come il controllo della configurazione, seleziona Imposta su Base.
- Per disattivare tutte le funzionalità di analisi della posizione di sicurezza di Kubernetes, seleziona Imposta su Disattivata.
Fai clic su Applica.
gcloud
Esegui questo comando:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=TIER
Sostituisci quanto segue:
CLUSTER_NAME: il nome del cluster.LOCATION: la posizione del cluster.TIER: il livello della strategia di sicurezza per Kubernetes. Deve essere uno dei seguenti:standard(opzione consigliata): disattiva GKE Threat Detection, ma mantieni le altre funzionalità di scansione della strategia di sicurezza di Kubernetes.disabled: disattiva tutte le funzionalità di analisi della strategia di sicurezza di Kubernetes sul cluster, incluso il controllo della configurazione.