En esta página, se muestra cómo encontrar amenazas activas en los clústeres de Google Kubernetes Engine (GKE) edición Enterprise que se ejecutan en Google Cloud y obtener recomendaciones de mitigación prácticas. La detección de amenazas de GKE es una función avanzada del panel de postura de seguridad de GKE. Para obtener más información, consulta Acerca de la detección de amenazas de GKE.
La detección de amenazas de GKE solo está disponible en proyectos que usan GKE Enterprise y tienen clústeres de GKE aptos.
Precios
La detección de amenazas de GKE se ofrece sin costo adicional a través de GKE Enterprise.
Antes de comenzar
- Asegúrate de ser usuario de GKE Enterprise. Para configurar GKE Enterprise, consulta Habilita GKE Enterprise.
Habilita la API de seguridad de contenedores.
Asegúrate de tener un clúster de GKE existente que esté registrado en una flota. Para crear y registrar un clúster nuevo, consulta Registra un clúster nuevo.
Consideraciones antes de habilitar la detección de amenazas de GKE
Habilitar la detección de amenazas de GKE también habilita las siguientes capacidades de la función de análisis de posturas de seguridad de Kubernetes. Estas características también se ofrecen sin costo adicional.
- Auditoría de la configuración de las cargas de trabajo
- Presentación del boletín de seguridad (vista previa)
Además, cuando habilitas la detección de amenazas de GKE en un clúster de tu proyecto, también habilitas los siguientes componentes de Security Command Center en el proyecto. Si deseas quitar la detección de amenazas de GKE de tu proyecto más adelante, debes inhabilitar estos componentes de forma individual.
- API de Security Command Center
- Complemento de Security Command Center para GKE Enterprise
- Cuenta de servicio de Security Command Center
- Cuenta de servicio de detección de amenazas a contenedores
Durante el proceso de habilitación, debes otorgar los siguientes roles de IAM a la cuenta de servicio de Security Command Center y a la cuenta de servicio de Container Threat Detection:
- Cuenta de servicio de Security Command Center: Agente de servicio del centro de seguridad (
roles/securitycenter.serviceAgent) - Cuenta de servicio de Container Threat Detection: agente de servicio de Container Threat Detection (
roles/containerthreatdetection.serviceAgent)
Habilita la detección de amenazas de GKE en tu proyecto
Debes habilitar la detección de amenazas de GKE en tu proyecto antes de habilitarla en tus clústeres. Si ya habilitaste la detección de amenazas de GKE, omite este paso.
Ve a la página Postura de seguridad en la consola de Google Cloud.
En el campo Amenaza, haz clic en Habilitar detección de amenazas.
Revisa los permisos y los roles de IAM que otorgarás y, luego, haz clic en Otorgar roles y habilitar la detección de amenazas. Esto habilita la detección de amenazas de GKE en tu proyecto.
Para inscribir clústeres en la detección de amenazas de GKE, haz clic en Seleccionar clústeres en la página de configuración y, luego, haz lo siguiente:
- Selecciona las casillas de verificación de los clústeres que deseas inscribir en la detección de amenazas de GKE.
- En el menú desplegable Seleccionar acción, selecciona Establecer en Avanzada.
- Haz clic en Aplicar.
Habilita la detección de amenazas de GKE en clústeres individuales
Si ya habilitaste la detección de amenazas de GKE en tu proyecto, puedes habilitar la detección de amenazas en clústeres existentes que están registrados en una flota mediante la consola de Google Cloud o Google Cloud CLI.
Console
Ve a la página Postura de seguridad en la consola de Google Cloud.
Haz clic en la pestaña Configuración.
En la sección Clústeres habilitados para la postura de seguridad, haz clic en Seleccionar clústeres.
Selecciona las casillas de verificación de los clústeres en los que deseas habilitar la detección de amenazas de GKE.
En el menú desplegable Seleccionar acción, selecciona Establecer en Avanzada.
Haz clic en Aplicar.
gcloud
Ejecuta el siguiente comando:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=enterprise
Reemplaza lo siguiente:
CLUSTER_NAME: Es el nombre del clúster de GKE.LOCATION: La ubicación de Compute Engine del clúster.
Visualiza y muestra los resultados de la detección de amenazas de GKE
Después de habilitar esta función, puede tardar hasta 15 minutos en comenzar a ver los resultados. GKE muestra los resultados en el panel de postura de seguridad y agrega entradas de forma automática a los registros del clúster.
Vea los resultados
Para ver una descripción general de los problemas descubiertos en los clústeres y cargas de trabajo de tu proyecto, haz lo siguiente:
Ve a la página Postura de seguridad en la consola de Google Cloud.
Haz clic en la pestaña Problemas.
En el panel Filtrar problemas, en la sección Tipo de problema, selecciona la casilla de verificación Amenaza. También puedes expandir la sección Amenaza para filtrar por subcategorías, como el tipo MITRE ATT&CK®.
Para ver los detalles de un resultado de amenaza individual, haz clic en la descripción de ese resultado. Se abrirá el panel de detalles de resultados y contiene la siguiente información:
- Detalles sobre la amenaza, como gravedad y estado
- Recomendaciones para mitigar las amenazas
- Una lista de los recursos afectados en los clústeres inscritos
Visualiza los resultados en Security Command Center
Si usas el nivel Premium de Security Command Center, puedes ver los resultados de la detección de amenazas de GKE como resultados THREAT.
Ve a la página Amenazas en la consola de Google Cloud.
Inhabilita la detección de amenazas de GKE
Puedes inhabilitar la detección de amenazas de GKE en tus clústeres. Para inhabilitar la detección de amenazas de GKE en tu proyecto, debes quitar de forma manual los componentes individuales de Security Command Center que se crearon cuando habilitaste la función.
Inhabilita la detección de amenazas de GKE en clústeres
Puedes inhabilitar la detección de amenazas de GKE en clústeres con la CLI de gcloud o la consola de Google Cloud.
Console
Ve a la página Postura de seguridad en la consola de Google Cloud.
Haz clic en la pestaña Configuración.
En la sección Clústeres habilitados para la postura de seguridad, haz clic en Seleccionar clústeres.
Selecciona las casillas de verificación de los clústeres en los que deseas inhabilitar la detección de amenazas de GKE.
En el menú desplegable Seleccionar acción, realiza una de las siguientes acciones:
- Recomendado: Para inhabilitar la detección de amenazas de GKE, pero mantener otras funciones como la auditoría de configuración, selecciona Establecer como básico.
- Para inhabilitar todas las funciones de análisis de posturas de seguridad de Kubernetes, selecciona Establecer como inhabilitado.
Haz clic en Aplicar.
gcloud
Ejecuta el siguiente comando:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=TIER
Reemplaza lo siguiente:
CLUSTER_NAME: el nombre del clústerLOCATION: Es la ubicación del clúster.TIER: El nivel de postura de seguridad de Kubernetes. Debe ser una de las siguientes opciones:standard(recomendado): Inhabilita la detección de amenazas de GKE, pero mantén otras funciones de análisis de posturas de seguridad de Kubernetes.disabled: Inhabilita todas las funciones de análisis de posturas de seguridad de Kubernetes en el clúster, incluida la auditoría de configuración.