GKE Threat Detection을 사용하여 클러스터에서 위협 찾기


이 페이지에서는 Google Cloud에서 실행 중인 Google Kubernetes Engine(GKE) Enterprise 버전 클러스터에서 활성 위협을 찾고 실행 가능한 해결 권장사항을 가져오는 방법을 보여줍니다. GKE Threat Detection은 GKE 보안 상태 대시보드의 고급 기능입니다. 자세한 내용은 GKE Threat Detection 정보를 참조하세요.

GKE Threat Detection은 GKE Enterprise를 사용하고 적격한 GKE 클러스터가 있는 프로젝트에서만 사용할 수 있습니다.

가격 책정

GKE Threat Detection은 GKE Enterprise를 통해 추가 비용 없이 제공됩니다.

시작하기 전에

  1. GKE Enterprise 사용자인지 확인합니다. GKE Enterprise를 설정하려면 GKE Enterprise 사용 설정을 참고하세요.
  2. Container Security API를 사용 설정합니다.

    Container Security API 사용 설정

  3. Fleet에 등록된 기존 GKE 클러스터가 있는지 확인합니다. 새 클러스터를 만들고 등록하려면 새 클러스터 등록을 참고하세요.

GKE Threat Detection을 사용 설정하기 전 고려사항

GKE Threat Detection을 사용 설정하면 Kubernetes 보안 상태 스캔 기능의 다음 기능도 사용 설정됩니다. 이러한 기능도 추가 비용 없이 제공됩니다.

또한 프로젝트의 클러스터에서 GKE Threat Detection을 사용 설정하면 프로젝트에서 다음 Security Command Center 구성요소도 사용 설정됩니다. 나중에 프로젝트에서 GKE Threat Detection을 삭제하려면 이러한 구성요소를 개별적으로 사용 중지해야 합니다.

  • Security Command Center API
  • GKE Enterprise용 Security Command Center 부가기능
  • Security Command Center 서비스 계정
  • Container Threat Detection 서비스 계정

사용 설정 프로세스 중에 Security Command Center 서비스 계정 및 Container Threat Detection 서비스 계정에 다음 IAM 역할을 부여합니다.

프로젝트에서 GKE Threat Detection 사용 설정

클러스터에서 GKE Threat Detection을 사용 설정하기 전에 프로젝트에서 GKE Threat Detection을 사용 설정해야 합니다. GKE Threat Detection을 이미 사용 설정한 경우 이 단계를 건너뜁니다.

  1. Google Cloud 콘솔에서 보안 상태 페이지로 이동합니다.

    보안 상태로 이동

  2. 위협 타일에서 Threat Detection 사용 설정을 클릭합니다.

  3. 부여할 권한과 IAM 역할을 검토한 다음 역할 부여 및 Threat Detection 사용 설정을 클릭합니다. 이렇게 하면 프로젝트에서 GKE Threat Detection이 사용 설정됩니다.

  4. GKE Threat Detection에 클러스터를 등록하려면 설정 페이지에서 클러스터 선택을 클릭한 후 다음을 수행합니다.

    1. GKE Threat Detection에 등록하려는 클러스터의 체크박스를 선택합니다.
    2. 작업 선택 드롭다운에서 고급으로 설정을 선택합니다.
    3. 적용을 클릭합니다.

개별 클러스터에서 GKE Threat Detection 사용 설정

프로젝트에서 이미 GKE Threat Detection을 사용 설정한 경우 Google Cloud 콘솔 또는 Google Cloud CLI를 사용하여 Fleet에 등록된 기존 클러스터에서 위협 감지를 사용 설정할 수 있습니다.

Console

  1. Google Cloud 콘솔에서 보안 상태 페이지로 이동합니다.

    보안 상태로 이동

  2. 설정 탭을 클릭합니다.

  3. 보안 상태 사용 설정 클러스터 섹션에서 클러스터 선택을 클릭합니다.

  4. GKE Threat Detection을 사용 설정하려는 클러스터의 체크박스를 선택합니다.

  5. 작업 선택 드롭다운에서 고급으로 설정을 선택합니다.

  6. 적용을 클릭합니다.

gcloud

다음 명령어를 실행합니다.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=enterprise

다음을 바꿉니다.

  • CLUSTER_NAME: GKE 클러스터의 이름입니다.
  • LOCATION: 클러스터의 Compute Engine 위치입니다.

GKE Threat Detection 결과 보기 및 작업

이 기능을 사용 설정한 후 결과가 표시되기까지 최대 15분이 걸릴 수 있습니다. GKE는 보안 상태 대시보드에 결과를 표시하고 클러스터 로그에 자동으로 항목을 추가합니다.

결과 보기

프로젝트 클러스터와 워크로드에서 발견된 문제에 대한 개요를 확인하려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 보안 상태 페이지로 이동합니다.

    보안 상태로 이동

  2. 문제 탭을 클릭합니다.

  3. 필터 문제 창의 문제 유형 섹션에서 위협 체크박스를 선택합니다. 또한 위협 섹션을 펼쳐 MITRE ATT&CK® 유형과 같은 하위 카테고리별로 필터링할 수 있습니다.

  4. 개별 위협 발견 항목에 대한 세부정보를 보려면 해당 발견 항목의 설명을 클릭합니다. 발견 항목 세부정보 창이 열리고 다음 정보가 포함됩니다.

    • 위협에 대한 세부정보(예: 심각도 및 상태)
    • 위협 완화를 위한 권장사항
    • 등록된 클러스터 전체에서 영향을 받는 리소스 목록

Security Command Center에서 결과 보기

Security Command Center의 프리미엄 등급을 사용하는 경우 GKE Threat Detection 결과를 THREAT 발견 항목으로 볼 수 있습니다.

Google Cloud 콘솔에서 위협 페이지로 이동합니다.

위협으로 이동

GKE Threat Detection 사용 중지

클러스터에서 GKE Threat Detection을 사용 중지할 수 있습니다. 프로젝트에서 GKE Threat Detection을 사용 중지하려면 이 기능을 사용 설정할 때 생성된 개별 Security Command Center 구성요소를 수동으로 삭제해야 합니다.

클러스터에서 GKE Threat Detection 사용 중지

gcloud CLI 또는 Google Cloud 콘솔을 사용하여 클러스터에서 GKE Threat Detection을 사용 중지할 수 있습니다.

Console

  1. Google Cloud 콘솔에서 보안 상태 페이지로 이동합니다.

    보안 상태로 이동

  2. 설정 탭을 클릭합니다.

  3. 보안 상태 사용 설정 클러스터 섹션에서 클러스터 선택을 클릭합니다.

  4. GKE Threat Detection을 사용 중지하려는 클러스터의 체크박스를 선택합니다.

  5. 작업 선택 드롭다운에서 다음 중 하나를 수행합니다.

    • 권장: GKE Threat Detection을 사용 중지하지만 구성 감사와 같은 다른 기능은 유지하려면 기본으로 설정을 선택합니다.
    • 모든 Kubernetes 보안 상태 스캔 기능을 사용 중지하려면 사용 중지됨으로 설정을 선택합니다.
  6. 적용을 클릭합니다.

gcloud

다음 명령어를 실행합니다.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=TIER

다음을 바꿉니다.

  • CLUSTER_NAME: 클러스터의 이름입니다.
  • LOCATION: 클러스터의 위치입니다.
  • TIER: Kubernetes 보안 상태 등급입니다. 다음 중 하나여야 합니다.

    • standard (권장): GKE Threat Detection을 사용 중지하지만 다른 Kubernetes 보안 상태 스캔 기능을 유지합니다.
    • disabled: 구성 감사를 포함하여 클러스터에서 모든 Kubernetes 보안 상태 스캔 기능을 사용 중지합니다.

다음 단계