Mit der GKE-Bedrohungserkennung Bedrohungen in Clustern finden

Auf dieser Seite wird gezeigt, wie Sie aktive Bedrohungen in Clustern der Google Kubernetes Engine (GKE) Enterprise-Version finden, die in Google Cloud ausgeführt werden, und umsetzbare Empfehlungen zur Risikominderung erhalten. Die GKE-Bedrohungserkennung ist eine erweiterte Funktion des GKE-Sicherheitsstatus-Dashboards. Weitere Informationen finden Sie unter Informationen zur Bedrohungserkennung in GKE.

Die GKE-Bedrohungserkennung ist nur in Projekten verfügbar, die GKE Enterprise verwenden und geeignete GKE-Cluster haben.

Preise

Die GKE-Bedrohungserkennung wird ohne Zusatzkosten über GKE Enterprise angeboten.

Hinweise

1. Achten Sie darauf, dass Sie ein GKE Enterprise-Nutzer sind. Informationen zum Einrichten von GKE Enterprise finden Sie unter GKE Enterprise aktivieren.

2. Aktivieren Sie die Container Security API.

   Container Security API aktivieren

3. Prüfen Sie, ob Sie einen vorhandenen GKE-Cluster haben, der bei einer Flotte registriert ist. Informationen zum Erstellen und Registrieren eines neuen Clusters finden Sie unter Neuen Cluster registrieren.

Überlegungen vor der Aktivierung der GKE-Bedrohungserkennung

Durch Aktivieren der GKE-Bedrohungserkennung werden auch die folgenden Funktionen des Features zum Scannen des Kubernetes-Sicherheitsstatus aktiviert. Diese Features werden ohne Aufpreis angeboten.

• Prüfung der Arbeitslastkonfiguration
• Einblenden von Sicherheitsbulletins (Vorschau)

Wenn Sie die GKE-Bedrohungserkennung für einen Cluster in Ihrem Projekt aktivieren, aktivieren Sie auch die folgenden Security Command Center-Komponenten im Projekt. Wenn Sie die GKE-Bedrohungserkennung später aus Ihrem Projekt entfernen möchten, müssen Sie diese Komponenten einzeln deaktivieren.

• Security Command Center API
• Security Command Center-Add-on für GKE Enterprise
• Security Command Center-Dienstkonto
• Container Threat Detection-Dienstkonto

Während der Aktivierung weisen Sie dem Security Command Center-Dienstkonto und dem Container Threat Detection-Dienstkonto die folgenden IAM-Rollen zu:

• Security Command Center-Dienstkonto: Security Center-Dienst-Agent (roles/securitycenter.serviceAgent)
• Container Threat Detection-Dienstkonto: Container Threat Detection-Dienst-Agent (roles/containerthreatdetection.serviceAgent)

GKE-Bedrohungserkennung in Ihrem Projekt aktivieren

Sie müssen die GKE-Bedrohungserkennung in Ihrem Projekt aktivieren, bevor Sie sie in Ihren Clustern aktivieren. Wenn Sie die GKE-Bedrohungserkennung bereits aktiviert haben, überspringen Sie diesen Schritt.

1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsstatus auf.

   Zum Sicherheitsstatus

2. Klicken Sie in der Kachel Bedrohungs auf Bedrohungserkennung aktivieren.

3. Prüfen Sie die Berechtigungen und IAM-Rollen, die Sie gewähren, und klicken Sie dann auf Rollen gewähren und Bedrohungserkennung aktivieren. Dadurch wird die GKE-Bedrohungserkennung in Ihrem Projekt aktiviert.

4. Klicken Sie zum Registrieren von Clustern für die GKE-Bedrohungserkennung auf Cluster auf der Einstellungsseite auswählen und gehen Sie dann so vor:

   1. Klicken Sie auf die Kästchen für Cluster, die Sie für die GKE-Bedrohungserkennung registrieren möchten.
   2. Wählen Sie im Drop-down-Menü Aktion auswählen die Option Auf „Erweitert“ festlegen aus.
   3. Klicken Sie auf Anwenden.

GKE-Bedrohungserkennung für einzelne Cluster aktivieren

Wenn Sie die GKE-Bedrohungserkennung in Ihrem Projekt bereits aktiviert haben, können Sie die Bedrohungserkennung in vorhandenen Clustern aktivieren, die bei einer Flotte registriert sind. Verwenden Sie dazu die Google Cloud Console oder die Google Cloud CLI.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=enterprise

Ergebnisse der GKE-Bedrohungserkennung ansehen und umsetzen

Nachdem Sie dieses Feature aktiviert haben, kann es bis zu 15 Minuten dauern, bis Ergebnisse angezeigt werden. GKE zeigt die Ergebnisse im Dashboard Sicherheitsstatus an und fügt den Clusterlogs automatisch Einträge hinzu.

Ergebnisse ansehen

So erhalten Sie einen Überblick über die erkannten Bedenken in den Clustern und Arbeitslasten Ihres Projekts:

1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsstatus auf.

   Zum Sicherheitsstatus

2. Klicken Sie auf den Tab Bedenken.

3. Klicken Sie im Bereich Bedenken filtern im Abschnitt Art der Bedenken das Kästchen Bedrohnung an. Sie können auch den Abschnitt Bedrohung erweitern, um nach Unterkategorien wie dem MITRE ATT&CK®-Typ zu filtern.

4. Klicken Sie auf die Beschreibung dieses Ergebnisses, um Details zu einem einzelnen Bedrohungsergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird geöffnet und enthält die folgenden Informationen:

   • Details zur Bedrohung wie Schweregrad und Status
   • Empfehlungen zur Minderung der Bedrohung
   • Eine Liste der betroffenen Ressourcen in registrierten Clustern

Ergebnisse in Security Command Center ansehen

Wenn Sie die Premium-Stufe von Security Command Center verwenden, können Sie die Ergebnisse der GKE-Bedrohungserkennung als THREAT-Ergebnisse aufrufen.

Rufen Sie in der Google Cloud Console die Seite Bedrohungen auf.

Zu Bedrohungen

GKE-Bedrohungserkennung deaktivieren

Sie können die GKE-Bedrohungserkennung in Ihren Clustern deaktivieren. Um die GKE-Bedrohungserkennung für Ihr Projekt zu deaktivieren, müssen Sie die einzelnen Security Command Center-Komponenten, die bei der Aktivierung des Features erstellt wurden, manuell entfernen.

GKE-Bedrohungserkennung in Clustern deaktivieren

Sie können die GKE-Bedrohungserkennung in Clustern mit der gcloud CLI oder der Google Cloud Console deaktivieren.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=TIER

Nächste Schritte

• Informationen zur GKE-Bedrohungserkennung