Menemukan ancaman dalam cluster menggunakan deteksi ancaman GKE

Halaman ini menunjukkan cara menemukan ancaman aktif di cluster edisi Google Kubernetes Engine (GKE) Enterprise yang berjalan di Google Cloud dan mendapatkan rekomendasi mitigasi yang dapat ditindaklanjuti. Deteksi ancaman GKE adalah kemampuan lanjutan dari dasbor postur keamanan GKE. Untuk mengetahui informasi selengkapnya, lihat Tentang deteksi ancaman GKE.

Deteksi ancaman GKE hanya tersedia dalam project yang menggunakan GKE Enterprise dan memiliki cluster GKE yang memenuhi syarat.

Harga

Deteksi ancaman GKE ditawarkan tanpa biaya tambahan melalui GKE Enterprise.

Sebelum memulai

  1. Pastikan Anda adalah pengguna GKE Enterprise. Untuk menyiapkan GKE Enterprise, lihat Mengaktifkan GKE Enterprise.

  2. Mengaktifkan Container Security API.

    Mengaktifkan Container Security API

  3. Pastikan Anda sudah memiliki cluster GKE yang terdaftar ke fleet. Untuk membuat dan mendaftarkan cluster baru, lihat Mendaftarkan cluster baru.

Pertimbangan sebelum mengaktifkan deteksi ancaman GKE

Mengaktifkan deteksi ancaman GKE juga akan mengaktifkan kemampuan fitur pemindaian postur keamanan Kubernetes berikut ini. Fitur-fitur ini juga ditawarkan tanpa biaya tambahan.

Selain itu, saat mengaktifkan deteksi ancaman GKE pada cluster di project, Anda juga mengaktifkan komponen Security Command Center berikut dalam project. Jika ingin menghapus deteksi ancaman GKE dari project nanti, Anda harus menonaktifkan komponen ini satu per satu.

  • Security Command Center API
  • Add-on Security Command Center untuk GKE Enterprise
  • Akun layanan Security Command Center
  • Akun layanan Container Threat Detection

Selama proses pengaktifan, Anda dapat memberikan peran IAM berikut ke akun layanan Security Command Center dan akun layanan Container Threat Detection:

Mengaktifkan deteksi ancaman GKE di project Anda

Anda harus mengaktifkan deteksi ancaman GKE di project sebelum mengaktifkannya di cluster Anda. Jika Anda sudah mengaktifkan deteksi ancaman GKE, lewati langkah ini.

  1. Buka halaman Security Posture di Konsol Google Cloud:

    Buka Postur Keamanan

  2. Di kartu Ancaman, klik Aktifkan deteksi ancaman.

  3. Tinjau izin dan peran IAM yang akan Anda berikan, lalu klik Berikan peran dan aktifkan deteksi ancaman. Hal ini memungkinkan deteksi ancaman GKE dalam project Anda.

  4. Untuk mendaftarkan cluster dalam deteksi ancaman GKE, klik Select clusters on settings, lalu lakukan hal berikut:

    1. Pilih kotak centang untuk cluster yang ingin didaftarkan dalam deteksi ancaman GKE.
    2. Di drop-down Pilih tindakan, pilih Tetapkan ke Lanjutan.
    3. Klik Terapkan.

Mengaktifkan deteksi ancaman GKE di masing-masing cluster

Jika sudah mengaktifkan deteksi ancaman GKE di project, Anda dapat mengaktifkan deteksi ancaman di cluster yang ada yang terdaftar ke perangkat menggunakan Konsol Google Cloud atau Google Cloud CLI.

Konsol

  1. Buka halaman Security Posture di Konsol Google Cloud.

    Buka Postur Keamanan

  2. Klik tab Setelan.

  3. Di bagian SecurityPoster enabled clusters, klik Select clusters.

  4. Pilih kotak centang untuk cluster tempat Anda ingin mengaktifkan deteksi ancaman GKE.

  5. Di drop-down Pilih tindakan, pilih Tetapkan ke Lanjutan.

  6. Klik Terapkan.

gcloud

Jalankan perintah berikut:

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=enterprise

Ganti kode berikut:

  • CLUSTER_NAME: nama cluster GKE Anda.
  • LOCATION: lokasi Compute Engine cluster Anda.

Melihat dan menindaklanjuti hasil deteksi ancaman GKE

Setelah fitur ini diaktifkan, mungkin perlu waktu hingga 15 menit untuk mulai melihat hasil. GKE menampilkan hasilnya di dasbor postur keamanan dan otomatis menambahkan entri ke log cluster.

Lihat hasil

Untuk melihat ringkasan masalah yang ditemukan di seluruh cluster dan workload project Anda, lakukan langkah berikut:

  1. Buka halaman Security Posture di Konsol Google Cloud.

    Buka Postur Keamanan

  2. Klik tab Concerns.

  3. Di panel Filter problems, di bagian Concern type, centang kotak Threat. Anda juga dapat meluaskan bagian Threat untuk memfilter menurut sub-kategori seperti jenis MITRE ATT&CK®.

  4. Untuk melihat detail setiap temuan ancaman, klik deskripsi temuan tersebut. Panel detail temuan terbuka dan memiliki informasi berikut:

    • Detail tentang ancaman, seperti tingkat keparahan dan status
    • Rekomendasi untuk memitigasi ancaman
    • Daftar resource yang terpengaruh di seluruh cluster terdaftar

Lihat hasil di Security Command Center

Jika menggunakan Security Command Center paket Premium, Anda dapat melihat hasil deteksi ancaman GKE sebagai temuan THREAT.

Buka halaman Threats di Konsol Google Cloud:

Buka Ancaman

Nonaktifkan deteksi ancaman GKE

Anda dapat menonaktifkan deteksi ancaman GKE di cluster Anda. Untuk menonaktifkan deteksi ancaman GKE pada project, Anda harus menghapus secara manual setiap komponen Security Command Center yang dibuat saat mengaktifkan fitur tersebut.

Menonaktifkan deteksi ancaman GKE di cluster

Anda dapat menonaktifkan deteksi ancaman GKE dalam cluster menggunakan gcloud CLI atau Konsol Google Cloud.

Konsol

  1. Buka halaman Security Posture di Konsol Google Cloud.

    Buka Postur Keamanan

  2. Klik tab Setelan.

  3. Di bagian SecurityPoster enabled clusters, klik Select clusters.

  4. Pilih kotak centang untuk cluster tempat Anda ingin menonaktifkan deteksi ancaman GKE.

  5. Di drop-down Pilih tindakan, lakukan salah satu hal berikut:

    • Direkomendasikan: Untuk menonaktifkan deteksi ancaman GKE tetapi mempertahankan fitur lain seperti pengauditan konfigurasi, pilih Set to Basic.
    • Untuk menonaktifkan semua fitur pemindaian postur keamanan Kubernetes, pilih Set to Disabled.

  6. Klik Terapkan.

gcloud

Jalankan perintah berikut:

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=TIER

Ganti kode berikut:

  • CLUSTER_NAME: nama cluster.
  • LOCATION: lokasi cluster.

  • TIER: tingkat postur keamanan Kubernetes. Harus berupa salah satu dari hal berikut:

    • standard (Direkomendasikan): Menonaktifkan deteksi ancaman GKE, tetapi mempertahankan fitur pemindaian postur keamanan Kubernetes lainnya.
    • disabled: Menonaktifkan semua fitur pemindaian postur keamanan Kubernetes di cluster, termasuk pengauditan konfigurasi.

Langkah selanjutnya