Menemukan ancaman di cluster menggunakan GKE Threat Detection

Halaman ini menunjukkan cara menemukan ancaman aktif di cluster edisi Google Kubernetes Engine (GKE) Enterprise yang berjalan di Google Cloud dan mendapatkan rekomendasi mitigasi yang bisa ditindaklanjuti. GKE Threat Detection adalah kemampuan lanjutan dari dasbor postur keamanan GKE. Untuk informasi selengkapnya, lihat Tentang deteksi ancaman GKE.

Deteksi ancaman GKE hanya tersedia di project yang menggunakan GKE Enterprise dan memiliki cluster GKE yang memenuhi syarat.

Harga

GKE Threat Detection ditawarkan tanpa biaya tambahan melalui GKE Enterprise.

Sebelum memulai

1. Pastikan Anda adalah pengguna GKE Enterprise. Untuk menyiapkan GKE Enterprise, lihat Mengaktifkan GKE Enterprise.

2. Mengaktifkan Container Security API.

   Mengaktifkan Container Security API

3. Pastikan Anda sudah memiliki cluster GKE yang terdaftar ke fleet. Untuk membuat dan mendaftarkan cluster baru, lihat Mendaftarkan cluster baru.

Pertimbangan sebelum mengaktifkan deteksi ancaman GKE

Mengaktifkan pendeteksian ancaman GKE juga akan mengaktifkan kemampuan berikut dari fitur pemindaian postur keamanan Kubernetes. Fitur ini juga ditawarkan tanpa biaya tambahan.

• Audit konfigurasi workload
• Munculnya buletin keamanan (Pratinjau)

Selain itu, saat mengaktifkan deteksi ancaman GKE di cluster dalam project, Anda juga mengaktifkan komponen Security Command Center berikut dalam project. Jika ingin menghapus deteksi ancaman GKE dari project nanti, Anda harus menonaktifkan komponen ini satu per satu.

• Security Command Center API
• Add-on Security Command Center untuk GKE Enterprise
• Akun layanan Security Command Center
• Akun layanan Container Threat Detection

Selama proses pengaktifan, Anda memberikan peran IAM berikut ke akun layanan Security Command Center dan akun layanan Deteksi Ancaman Container:

• Akun layanan Security Command Center: Agen Layanan Security Center (roles/securitycenter.serviceAgent)
• Akun layanan Container Threat Detection: Container Threat Detection Service Agent (roles/containerthreatdetection.serviceAgent)

Mengaktifkan deteksi ancaman GKE di project Anda

Anda harus mengaktifkan deteksi ancaman GKE di project sebelum mengaktifkannya di cluster. Jika Anda sudah mengaktifkan deteksi ancaman GKE, lewati langkah ini.

1. Buka halaman Security Posture di konsol Google Cloud:

   Buka Postur Keamanan

2. Di kartu Threat, klik Enable threat detection.

3. Tinjau izin dan peran IAM yang akan Anda berikan, lalu klik Berikan peran dan aktifkan deteksi ancaman. Tindakan ini akan mengaktifkan deteksi ancaman GKE di project Anda.

4. Untuk mendaftarkan cluster ke deteksi ancaman GKE, klik Select clusters on settings page, lalu lakukan hal berikut:

   1. Pilih kotak centang untuk cluster yang ingin Anda daftarkan ke deteksi ancaman GKE.
   2. Di menu drop-down Select action, pilih Set to Advanced.
   3. Klik Terapkan.

Mengaktifkan deteksi ancaman GKE di setiap cluster

Jika sudah mengaktifkan deteksi ancaman GKE di project, Anda dapat mengaktifkan deteksi ancaman di cluster yang ada dan terdaftar ke fleet menggunakan Konsol Google Cloud atau Google Cloud CLI.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=enterprise

Melihat dan menindaklanjuti hasil deteksi ancaman GKE

Setelah Anda mengaktifkan fitur ini, mungkin perlu waktu hingga 15 menit untuk mulai melihat hasilnya. GKE menampilkan hasilnya di dasbor postur keamanan dan otomatis menambahkan entri ke log cluster.

Lihat hasil

Untuk melihat ringkasan masalah yang ditemukan di seluruh cluster dan workload project Anda, lakukan langkah berikut:

1. Buka halaman Security Posture di Konsol Google Cloud.

   Buka Postur Keamanan

2. Klik tab Concerns.

3. Di panel Filter problems, di bagian Concern type, pilih kotak centang Threat. Anda juga dapat meluaskan bagian Ancaman untuk memfilter menurut subkategori seperti jenis MITRE ATT&CK®.

4. Untuk melihat detail setiap temuan ancaman, klik deskripsi temuan tersebut. Panel detail temuan akan terbuka dan memiliki informasi berikut:

   • Detail tentang ancaman, seperti tingkat keparahan dan status
   • Rekomendasi untuk memitigasi ancaman
   • Daftar resource yang terpengaruh di seluruh cluster yang terdaftar

Melihat hasil di Security Command Center

Jika menggunakan paket Premium Security Command Center, Anda dapat melihat hasil deteksi ancaman GKE sebagai temuan THREAT.

Buka halaman Threats di konsol Google Cloud:

Buka Ancaman

Lihat log untuk masalah yang ditemukan

GKE menambahkan entri ke bucket log _Default di Logging untuk setiap masalah yang ditemukan. Log ini hanya disimpan selama jangka waktu tertentu. Untuk mengetahui detailnya, lihat Periode retensi log.

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Di kolom Kueri, tentukan kueri berikut:

   resource.type="k8s_cluster"
   jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
   jsonPayload.type="FINDING_TYPE_THREAT"

3. Klik Run query.

Untuk menerima notifikasi saat GKE menambahkan temuan baru ke Logging, siapkan pemberitahuan berbasis log untuk kueri ini. Untuk informasi selengkapnya, lihat Mengonfigurasi pemberitahuan berbasis log.

Menonaktifkan deteksi ancaman GKE

Anda dapat menonaktifkan deteksi ancaman GKE di cluster. Untuk menonaktifkan deteksi ancaman GKE di project, Anda harus menghapus setiap komponen Security Command Center secara manual yang dibuat saat Anda mengaktifkan fitur tersebut.

Menonaktifkan deteksi ancaman GKE di cluster

Anda dapat menonaktifkan deteksi ancaman GKE di cluster menggunakan gcloud CLI atau Konsol Google Cloud.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=TIER

Langkah selanjutnya

• Pelajari deteksi ancaman GKE