Menemukan ancaman dalam cluster menggunakan deteksi ancaman GKE

Halaman ini menunjukkan cara menemukan ancaman aktif di edisi Google Kubernetes Engine (GKE) Enterprise cluster yang berjalan di Google Cloud dan mendapatkan mitigasi yang dapat ditindaklanjuti rekomendasi. Deteksi ancaman GKE adalah kemampuan canggih dari dasbor postur keamanan GKE. Untuk informasi selengkapnya, lihat Tentang deteksi ancaman GKE.

Deteksi ancaman GKE hanya tersedia dalam project yang menggunakan GKE Enterprise dan memiliki cluster GKE yang memenuhi syarat.

Harga

Deteksi ancaman GKE ditawarkan tanpa biaya tambahan melalui GKE Enterprise.

Sebelum memulai

1. Pastikan Anda adalah pengguna GKE Enterprise. Untuk menyiapkan GKE Enterprise, lihat Mengaktifkan GKE Enterprise.

2. Mengaktifkan Container Security API.

   Mengaktifkan Container Security API

3. Pastikan Anda sudah memiliki cluster GKE yang yang terdaftar untuk sebuah fleet. Untuk membuat dan mendaftarkan cluster baru, lihat Daftarkan cluster baru.

Pertimbangan sebelum Anda mengaktifkan deteksi ancaman GKE

Mengaktifkan deteksi ancaman GKE juga memungkinkan hal-hal berikut kapabilitas fitur pemindaian postur keamanan Kubernetes. Fitur-fitur ini juga ditawarkan tanpa biaya tambahan.

• Pengauditan konfigurasi beban kerja
• Buletin keamanan ditampilkan (Pratinjau)

Selain itu, saat Anda mengaktifkan deteksi ancaman GKE di cluster di project, Anda juga mengaktifkan komponen Security Command Center berikut di menyelesaikan proyek tersebut. Jika Anda ingin menghapus deteksi ancaman GKE dari proyek nanti, Anda harus menonaktifkan komponen ini satu per satu.

• Security Command Center API
• Add-on Security Command Center untuk GKE Enterprise
• Akun layanan Security Command Center
• Akun layanan Container Threat Detection

Selama proses pengaktifan, Anda memberikan peran IAM berikut ke akun layanan Security Command Center dan layanan Container Threat Detection akun:

• Akun layanan Security Command Center: Security Center Service Agent (roles/securitycenter.serviceAgent)
• Akun layanan Container Threat Detection: Container Threat Detection Service Agent (roles/containerthreatdetection.serviceAgent)

Mengaktifkan deteksi ancaman GKE di project Anda

Anda harus mengaktifkan deteksi ancaman GKE di project Anda sebelum Anda mengaktifkannya dalam cluster. Jika Anda sudah mengaktifkan Deteksi ancaman GKE, lewati langkah ini.

1. Buka halaman Postur Keamanan di Konsol Google Cloud:

   Buka Postur Keamanan

2. Di kartu Ancaman, klik Aktifkan deteksi ancaman.

3. Meninjau izin dan peran IAM yang akan Anda berikan, dan lalu klik Berikan peran dan aktifkan deteksi ancaman. Hal ini memungkinkan Deteksi ancaman GKE di project Anda.

4. Untuk mendaftarkan cluster dalam deteksi ancaman GKE, klik Pilih cluster di halaman setelan, lalu lakukan hal berikut:

   1. Pilih kotak centang untuk cluster yang ingin Anda daftarkan Deteksi ancaman GKE.
   2. Di drop-down Pilih tindakan, pilih Tetapkan ke Lanjutan.
   3. Klik Terapkan.

Mengaktifkan deteksi ancaman GKE di setiap cluster

Jika sudah mengaktifkan deteksi ancaman GKE di project, Anda dapat mengaktifkan deteksi ancaman di cluster yang ada yang terdaftar di fleet Google Cloud dengan menggunakan Konsol Google Cloud atau Google Cloud CLI.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=enterprise

Melihat dan menindaklanjuti hasil deteksi ancaman GKE

Setelah Anda mengaktifkan fitur ini, mungkin perlu waktu hingga 15 menit untuk mulai melihat hasil pengujian tersebut. GKE menampilkan hasilnya di dasbor postur keamanan Anda dan otomatis menambahkan entri ke cluster log.

Lihat hasil

Untuk melihat ringkasan masalah yang ditemukan di seluruh cluster dan workload project Anda, lakukan langkah berikut:

1. Buka halaman Security Posture di Konsol Google Cloud.

   Buka Postur Keamanan

2. Klik tab Concerns.

3. Di panel Filter issues, di bagian Concern type, pilih Kotak centang Ancaman. Anda juga dapat meluaskan bagian Ancaman untuk memfilter sub-kategori seperti jenis MITRE ATT&CK®.

4. Untuk melihat detail setiap temuan ancaman, klik deskripsi temuan itu. Panel detail temuan akan terbuka dan menampilkan hal berikut informasi:

   • Detail tentang ancaman, seperti tingkat keparahan dan status
   • Rekomendasi untuk memitigasi ancaman
   • Daftar resource yang terpengaruh di seluruh cluster terdaftar

Lihat hasil di Security Command Center

Jika Anda menggunakan paket Premium Security Command Center, Anda dapat melihat Hasil deteksi ancaman GKE sebagai temuan THREAT.

Buka halaman Threats di Konsol Google Cloud:

Buka Ancaman

Nonaktifkan deteksi ancaman GKE

Anda dapat menonaktifkan deteksi ancaman GKE di cluster. Untuk menonaktifkan Deteksi ancaman GKE pada project, Anda harus menghapus secara manual setiap komponen Security Command Center yang dibuat saat Anda mengaktifkan fitur tersebut.

Menonaktifkan deteksi ancaman GKE dalam cluster

Anda dapat menonaktifkan deteksi ancaman GKE dalam cluster menggunakan gcloud CLI atau Konsol Google Cloud.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=TIER

Langkah selanjutnya

• Pelajari deteksi ancaman GKE