Halaman ini menunjukkan cara menemukan ancaman aktif di cluster edisi Google Kubernetes Engine (GKE) Enterprise yang berjalan di Google Cloud dan mendapatkan rekomendasi mitigasi yang bisa ditindaklanjuti. GKE Threat Detection adalah kemampuan lanjutan dari dasbor postur keamanan GKE. Untuk informasi selengkapnya, lihat Tentang deteksi ancaman GKE.
Deteksi ancaman GKE hanya tersedia di project yang menggunakan GKE Enterprise dan memiliki cluster GKE yang memenuhi syarat.
Harga
GKE Threat Detection ditawarkan tanpa biaya tambahan melalui GKE Enterprise.
Sebelum memulai
- Pastikan Anda adalah pengguna GKE Enterprise. Untuk menyiapkan GKE Enterprise, lihat Mengaktifkan GKE Enterprise.
Mengaktifkan Container Security API.
Pastikan Anda sudah memiliki cluster GKE yang terdaftar ke fleet. Untuk membuat dan mendaftarkan cluster baru, lihat Mendaftarkan cluster baru.
Pertimbangan sebelum mengaktifkan deteksi ancaman GKE
Mengaktifkan pendeteksian ancaman GKE juga akan mengaktifkan kemampuan berikut dari fitur pemindaian postur keamanan Kubernetes. Fitur ini juga ditawarkan tanpa biaya tambahan.
- Audit konfigurasi workload
- Munculnya buletin keamanan (Pratinjau)
Selain itu, saat mengaktifkan deteksi ancaman GKE di cluster dalam project, Anda juga mengaktifkan komponen Security Command Center berikut dalam project. Jika ingin menghapus deteksi ancaman GKE dari project nanti, Anda harus menonaktifkan komponen ini satu per satu.
- Security Command Center API
- Add-on Security Command Center untuk GKE Enterprise
- Akun layanan Security Command Center
- Akun layanan Container Threat Detection
Selama proses pengaktifan, Anda memberikan peran IAM berikut ke akun layanan Security Command Center dan akun layanan Deteksi Ancaman Container:
- Akun layanan Security Command Center:
Agen Layanan Security Center (
roles/securitycenter.serviceAgent
) - Akun layanan Container Threat Detection:
Container Threat Detection Service Agent (
roles/containerthreatdetection.serviceAgent
)
Mengaktifkan deteksi ancaman GKE di project Anda
Anda harus mengaktifkan deteksi ancaman GKE di project sebelum mengaktifkannya di cluster. Jika Anda sudah mengaktifkan deteksi ancaman GKE, lewati langkah ini.
Buka halaman Security Posture di konsol Google Cloud:
Di kartu Threat, klik Enable threat detection.
Tinjau izin dan peran IAM yang akan Anda berikan, lalu klik Berikan peran dan aktifkan deteksi ancaman. Tindakan ini akan mengaktifkan deteksi ancaman GKE di project Anda.
Untuk mendaftarkan cluster ke deteksi ancaman GKE, klik Select clusters on settings page, lalu lakukan hal berikut:
- Pilih kotak centang untuk cluster yang ingin Anda daftarkan ke deteksi ancaman GKE.
- Di menu drop-down Select action, pilih Set to Advanced.
- Klik Terapkan.
Mengaktifkan deteksi ancaman GKE di setiap cluster
Jika sudah mengaktifkan deteksi ancaman GKE di project, Anda dapat mengaktifkan deteksi ancaman di cluster yang ada yang terdaftar ke fleet menggunakan Konsol Google Cloud atau Google Cloud CLI.
Konsol
Buka halaman Security Posture di Konsol Google Cloud.
Klik tab Setelan.
Di bagian Security posture enabled clusters, klik Select clusters.
Pilih kotak centang untuk cluster tempat Anda ingin mengaktifkan deteksi ancaman GKE.
Di menu drop-down Select action, pilih Set to Advanced.
Klik Terapkan.
gcloud
Jalankan perintah berikut:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=enterprise
Ganti kode berikut:
CLUSTER_NAME
: nama cluster GKE Anda.LOCATION
: lokasi Compute Engine cluster Anda.
Melihat dan menindaklanjuti hasil deteksi ancaman GKE
Setelah Anda mengaktifkan fitur ini, mungkin perlu waktu hingga 15 menit untuk mulai melihat hasilnya. GKE menampilkan hasilnya di dasbor postur keamanan dan otomatis menambahkan entri ke log cluster.
Lihat hasil
Untuk melihat ringkasan masalah yang ditemukan di seluruh cluster dan workload project Anda, lakukan langkah berikut:
Buka halaman Security Posture di Konsol Google Cloud.
Klik tab Concerns.
Di panel Filter problems, di bagian Concern type, pilih kotak centang Threat. Anda juga dapat meluaskan bagian Ancaman untuk memfilter menurut subkategori seperti jenis MITRE ATT&CK®.
Untuk melihat detail setiap temuan ancaman, klik deskripsi temuan tersebut. Panel detail temuan akan terbuka dan memiliki informasi berikut:
- Detail tentang ancaman, seperti tingkat keparahan dan status
- Rekomendasi untuk memitigasi ancaman
- Daftar resource yang terpengaruh di seluruh cluster yang terdaftar
Melihat hasil di Security Command Center
Jika menggunakan paket Premium Security Command Center, Anda dapat melihat
hasil deteksi ancaman GKE sebagai temuan THREAT
.
Buka halaman Threats di konsol Google Cloud:
Lihat log untuk masalah yang ditemukan
GKE menambahkan entri ke bucket log _Default
di Logging untuk setiap masalah yang ditemukan. Log ini hanya disimpan selama jangka waktu tertentu. Untuk mengetahui detailnya, lihat Periode retensi log.
Di konsol Google Cloud, buka Logs Explorer.
Buka Logs ExplorerDi kolom Kueri, tentukan kueri berikut:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_THREAT"
Klik Run query.
Untuk menerima notifikasi saat GKE menambahkan temuan baru ke Logging, siapkan pemberitahuan berbasis log untuk kueri ini. Untuk informasi selengkapnya, lihat Mengonfigurasi pemberitahuan berbasis log.
Menonaktifkan deteksi ancaman GKE
Anda dapat menonaktifkan deteksi ancaman GKE di cluster. Untuk menonaktifkan deteksi ancaman GKE di project, Anda harus menghapus setiap komponen Security Command Center secara manual yang dibuat saat Anda mengaktifkan fitur tersebut.
Menonaktifkan deteksi ancaman GKE di cluster
Anda dapat menonaktifkan deteksi ancaman GKE di cluster menggunakan gcloud CLI atau Konsol Google Cloud.
Konsol
Buka halaman Security Posture di Konsol Google Cloud.
Klik tab Setelan.
Di bagian Security posture enabled clusters, klik Select clusters.
Pilih kotak centang untuk cluster tempat Anda ingin menonaktifkan deteksi ancaman GKE.
Di drop-down Select action, lakukan salah satu tindakan berikut:
- Direkomendasikan: Untuk menonaktifkan deteksi ancaman GKE, tetapi mempertahankan fitur lain seperti audit konfigurasi, pilih Set to Basic.
- Untuk menonaktifkan semua fitur pemindaian postur keamanan Kubernetes, pilih Set to Disabled.
Klik Terapkan.
gcloud
Jalankan perintah berikut:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=TIER
Ganti kode berikut:
CLUSTER_NAME
: nama cluster.LOCATION
: lokasi cluster.TIER
: tingkat postur keamanan Kubernetes. Harus salah satu dari berikut ini:standard
(Direkomendasikan): Nonaktifkan deteksi ancaman GKE, tetapi pertahankan fitur pemindaian postur keamanan Kubernetes lainnya.disabled
: Menonaktifkan semua fitur pemindaian postur keamanan Kubernetes di cluster, termasuk audit konfigurasi.