Bedrohungen in Clustern mit der GKE-Bedrohungserkennung finden

Auf dieser Seite wird gezeigt, wie Sie aktive Bedrohungen in GKE Enterprise-Clustern (Google Kubernetes Engine) finden, die in Google Cloud ausgeführt werden, sowie umsetzbare Empfehlungen zur Abhjilfe erhalten. Die GKE-Bedrohungserkennung ist eine erweiterte Funktion des GKE-Dashboards für den Sicherheitsstatus. Weitere Informationen finden Sie unter Informationen zur GKE-Bedrohungserkennung.

Die GKE-Bedrohungserkennung ist nur in Projekten verfügbar, die GKE Enterprise verwenden und für die entsprechende GKE-Cluster vorhanden sind.

Preise

Die GKE-Bedrohungserkennung wird ohne Aufpreis über GKE Enterprise angeboten.

Hinweise

1. Prüfen Sie, ob Sie ein GKE Enterprise-Nutzer sind. Informationen zum Einrichten von GKE Enterprise finden Sie unter GKE Enterprise aktivieren.

2. Aktivieren Sie die Container Security API.

   Container Security API aktivieren

3. Prüfen Sie, ob Sie einen vorhandenen GKE-Cluster haben, der in einer Flotte registriert ist. Informationen zum Erstellen und Registrieren eines neuen Clusters finden Sie unter Neuen Cluster registrieren.

Überlegungen vor der Aktivierung der GKE-Bedrohungserkennung

Wenn Sie die GKE-Bedrohungserkennung aktivieren, werden auch die folgenden Funktionen der Kubernetes-Funktion zum Scannen des Sicherheitsstatus aktiviert. Diese Features werden auch ohne Aufpreis angeboten.

• Prüfung der Arbeitslastkonfiguration
• Einblenden von Sicherheitsbulletins (Vorschau)

Wenn Sie die GKE-Bedrohungserkennung für einen Cluster in Ihrem Projekt aktivieren, aktivieren Sie außerdem die folgenden Security Command Center-Komponenten im Projekt. Wenn Sie die GKE-Bedrohungserkennung später aus Ihrem Projekt entfernen möchten, müssen Sie diese Komponenten einzeln deaktivieren.

• Security Command Center API
• Add-on „Security Command Center“ für GKE Enterprise
• Security Command Center-Dienstkonto
• Container Threat Detection-Dienstkonto

Während des Aktivierungsvorgangs weisen Sie dem Security Command Center-Dienstkonto und dem Container Threat Detection-Dienstkonto die folgenden IAM-Rollen zu:

• Security Command Center-Dienstkonto: Security Center-Dienst-Agent (roles/securitycenter.serviceAgent)
• Container Threat Detection-Dienstkonto: Container Threat Detection-Dienst-Agent (roles/containerthreatdetection.serviceAgent)

GKE-Bedrohungserkennung in Ihrem Projekt aktivieren

Sie müssen die GKE-Bedrohungserkennung in Ihrem Projekt aktivieren, bevor Sie sie in Ihren Clustern aktivieren. Wenn Sie die GKE-Bedrohungserkennung bereits aktiviert haben, überspringen Sie diesen Schritt.

1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsstatus auf.

   Zum Sicherheitsstatus

2. Klicken Sie auf der Kachel Bedrohung auf Bedrohungserkennung aktivieren.

3. Prüfen Sie die Berechtigungen und IAM-Rollen, die Sie gewähren möchten, und klicken Sie dann auf Rollen gewähren und Bedrohungserkennung aktivieren. Dadurch wird die GKE-Bedrohungserkennung in Ihrem Projekt aktiviert.

4. Klicken Sie zum Registrieren von Clustern für die GKE-Bedrohungserkennung auf Cluster auf der Seite „Einstellungen“ auswählen und gehen Sie dann so vor:

   1. Setzen Sie ein Häkchen bei den Clustern, die Sie für die GKE-Bedrohungserkennung registrieren möchten.
   2. Wählen Sie im Drop-down-Menü Aktion auswählen die Option Auf „Erweitert“ festlegen aus.
   3. Klicken Sie auf Anwenden.

GKE-Bedrohungserkennung für einzelne Cluster aktivieren

Wenn Sie die GKE-Bedrohungserkennung in Ihrem Projekt bereits aktiviert haben, können Sie die Bedrohungserkennung in vorhandenen Clustern, die bei einer Flotte registriert sind, mithilfe der Google Cloud Console oder der Google Cloud CLI aktivieren.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=enterprise

Ergebnisse der GKE-Bedrohungserkennung aufrufen und Maßnahmen ergreifen

Nachdem Sie dieses Feature aktiviert haben, kann es bis zu 15 Minuten dauern, bis Ergebnisse angezeigt werden. GKE zeigt die Ergebnisse im Dashboard Sicherheitsstatus an und fügt den Clusterlogs automatisch Einträge hinzu.

Ergebnisse ansehen

So erhalten Sie einen Überblick über die erkannten Bedenken in den Clustern und Arbeitslasten Ihres Projekts:

1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsstatus auf.

   Zum Sicherheitsstatus

2. Klicken Sie auf den Tab Bedenken.

3. Klicken Sie im Bereich Bedenken filtern im Abschnitt Art der Bedenken das Kästchen Bedrohnung an. Sie können auch den Abschnitt Bedrohungen erweitern, um nach Unterkategorien wie MITRE ATT&CK®-Typ zu filtern.

4. Klicken Sie auf die Beschreibung eines Ergebnisses, um Details zu einem einzelnen Bedrohungsergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird geöffnet und enthält die folgenden Informationen:

   • Details zur Bedrohung, z. B. Schweregrad und Status
   • Empfehlungen zur Minderung der Bedrohung
   • Eine Liste der betroffenen Ressourcen in allen registrierten Clustern

Ergebnisse in Security Command Center ansehen

Wenn Sie die Premium-Stufe von Security Command Center verwenden, können Sie die Ergebnisse der GKE-Gefahrenerkennung als THREAT-Ergebnisse aufrufen.

Rufen Sie die Seite Bedrohungen in der Google Cloud Console auf.

Zu Bedrohungen

GKE-Bedrohungserkennung deaktivieren

Sie können die GKE-Bedrohungserkennung in Ihren Clustern deaktivieren. Wenn Sie die GKE-Bedrohungserkennung für Ihr Projekt deaktivieren möchten, müssen Sie die einzelnen Security Command Center-Komponenten, die beim Aktivieren des Features erstellt wurden, manuell entfernen.

GKE-Bedrohungserkennung in Clustern deaktivieren

Sie können die GKE-Bedrohungserkennung in Clustern mit der gcloud CLI oder der Google Cloud Console deaktivieren.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=TIER

Nächste Schritte

• Weitere Informationen zur GKE-Bedrohungserkennung