Cette page vous explique comment détecter les menaces actives dans les clusters Google Kubernetes Engine (GKE) Enterprise exécutés sur Google Cloud et obtenir des recommandations de mitigation exploitables. GKE Threat Detection est une fonctionnalité avancée du tableau de bord de stratégie de sécurité GKE. Pour en savoir plus, consultez la page À propos de GKE Threat Detection.
GKE Threat Detection n'est disponible que dans les projets qui utilisent GKE Enterprise et disposent de clusters GKE éligibles.
Tarification
GKE Threat Detection est offerte gratuitement via GKE Enterprise.
Avant de commencer
- Assurez-vous d'être un utilisateur GKE Enterprise. Pour configurer GKE Enterprise, consultez la page Activer GKE Enterprise.
Activez l'API Container Security.
Assurez-vous de disposer d'un cluster GKE existant enregistré dans un parc. Pour créer et enregistrer un cluster, consultez la page Enregistrer un nouveau cluster.
Éléments à prendre en compte avant d'activer GKE Threat Detection
L'activation de GKE Threat Detection active également les fonctionnalités suivantes de la fonctionnalité d'analyse de stratégie de sécurité Kubernetes. Ces fonctionnalités sont également offertes gratuitement.
En outre, lorsque vous activez GKE Threat Detection sur un cluster de votre projet, vous activez également les composants suivants de Security Command Center dans le projet. Si vous souhaitez plus tard supprimer GKE Threat Detection de votre projet, vous devez désactiver ces composants individuellement.
- API Security Command Center
- Module complémentaire Security Command Center pour GKE Enterprise
- Compte de service Security Command Center
- Compte de service Container Threat Detection
Au cours du processus d'activation, vous attribuez les rôles IAM suivants au compte de service Security Command Center et au compte de service Container Threat Detection :
- Compte de service Security Command Center : Agent de service Security Center (
roles/securitycenter.serviceAgent) - Compte de service Container Threat Detection : Agent de service Container Threat Detection (
roles/containerthreatdetection.serviceAgent)
Activer GKE Threat Detection dans votre projet
Vous devez activer GKE Threat Detection dans votre projet avant de l'activer dans vos clusters. Si vous avez déjà activé GKE Threat Detection, ignorez cette étape.
Accédez à la page Stratégie de sécurité dans la console Google Cloud :
Dans la tuile Menace, cliquez sur Activer la détection des menaces.
Examinez les autorisations et les rôles IAM que vous allez accorder, puis cliquez sur Attribuer les rôles et activer la détection des menaces. Cela active GKE Threat Detection dans votre projet.
Pour enregistrer des clusters dans GKE Threat Detection, cliquez sur Sélectionner des clusters sur la page des paramètres, puis procédez comme suit :
- Cochez les cases correspondant aux clusters que vous souhaitez enregistrer dans GKE Threat Detection.
- Dans le menu déroulant Sélectionner une action, sélectionnez Définir sur Avancé.
- Cliquez sur Appliquer.
Activer GKE Threat Detection sur des clusters individuels
Si vous avez déjà activé GKE Threat Detection dans votre projet, vous pouvez l'activer dans les clusters existants enregistrés dans un parc à l'aide de la console Google Cloud ou de Google Cloud CLI.
Console
Accédez à la page Stratégie de sécurité dans la console Google Cloud.
Cliquez sur l'onglet Paramètres.
Dans la section Clusters activés pour la stratégie de sécurité, cliquez sur Sélectionner des clusters.
Cochez les cases des clusters dans lesquels vous souhaitez activer GKE Threat Detection.
Dans le menu déroulant Sélectionner une action, sélectionnez Définir sur Avancé.
Cliquez sur Appliquer.
gcloud
Exécutez la commande suivante :
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=enterprise
Remplacez les éléments suivants :
CLUSTER_NAME: nom de votre cluster GKE.LOCATION: emplacement Compute Engine de votre cluster.
Afficher les résultats de GKE Threat Detection et agir en conséquence
Après avoir activé cette fonctionnalité, l'affichage des résultats peut prendre jusqu'à 15 minutes. GKE affiche les résultats dans le tableau de bord de la stratégie de sécurité et ajoute automatiquement des entrées aux journaux de cluster.
Afficher les résultats
Pour afficher une vue d'ensemble des problèmes détectés sur les clusters et les charges de travail de votre projet, procédez comme suit :
Accédez à la page Stratégie de sécurité dans la console Google Cloud.
Cliquez sur l'onglet Problèmes.
Dans le volet Filtrer les problèmes de la section Type de problème, cochez la case Menace. Vous pouvez également développer la section Menace pour filtrer par sous-catégories, telles que le type MITRE ATT&CK®.
Pour afficher les détails d'un résultat de menace individuel, cliquez sur la description de ce résultat. Le volet des détails du résultat s'ouvre et contient les informations suivantes :
- Détails sur la menace, tels que sa gravité et son état
- Recommandations pour limiter la menace
- Liste des ressources affectées sur les clusters enregistrés
Afficher les résultats dans Security Command Center
Si vous utilisez le niveau Premium de Security Command Center, vous pouvez afficher les résultats de GKE Threat Detection en tant que résultats THREAT.
Accédez à la page Menaces de la console Google Cloud :
Désactiver GKE Threat Detection
Vous pouvez désactiver GKE Threat Detection dans vos clusters. Pour désactiver GKE Threat Detection sur votre projet, vous devez supprimer manuellement les composants individuels de Security Command Center créés lors de l'activation de la fonctionnalité.
Désactiver GKE Threat Detection dans les clusters
Vous pouvez désactiver GKE Threat Detection dans les clusters à l'aide de gcloud CLI ou de la console Google Cloud.
Console
Accédez à la page Stratégie de sécurité dans la console Google Cloud.
Cliquez sur l'onglet Paramètres.
Dans la section Clusters activés pour la stratégie de sécurité, cliquez sur Sélectionner des clusters.
Cochez les cases des clusters dans lesquels vous souhaitez désactiver GKE Threat Detection.
Dans la liste déroulante Sélectionner une action, effectuez l'une des opérations suivantes :
- Recommandé : pour désactiver GKE Threat Detection tout en conservant d'autres fonctionnalités telles que l'audit de configuration, sélectionnez Définir sur "Basique".
- Pour désactiver toutes les fonctionnalités d'analyse de stratégie de sécurité Kubernetes, sélectionnez Désactivé.
Cliquez sur Appliquer.
gcloud
Exécutez la commande suivante :
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=TIER
Remplacez les éléments suivants :
CLUSTER_NAME: nom du cluster.LOCATION: emplacement du cluster.TIER: niveau de stratégie de sécurité Kubernetes. Il doit s'agir de l'une des options suivantes :standard(recommandé) : désactive GKE Threat Detection tout en conservant d'autres fonctionnalités d'analyse de la stratégie de sécurité Kubernetes.disabled: désactive toutes les fonctionnalités d'analyse de la stratégie de sécurité Kubernetes sur le cluster, y compris l'audit de configuration.