Questa pagina mostra come trovare minacce attive nei cluster Google Kubernetes Engine (GKE) versione Enterprise in esecuzione su Google Cloud e ricevere consigli pratici per la mitigazione. Il rilevamento delle minacce per GKE è una funzionalità avanzata della postura di sicurezza di GKE. Per ulteriori informazioni, consulta Informazioni sul rilevamento delle minacce di GKE.
Il rilevamento delle minacce per GKE è disponibile solo nei progetti che utilizzano GKE Enterprise e disporre di cluster GKE idonei.
Prezzi
Il rilevamento delle minacce di GKE è offerto senza costi aggiuntivi tramite GKE Enterprise.
Prima di iniziare
- Assicurati di essere un utente di GKE Enterprise. Per configurare GKE Enterprise, consulta Abilitare GKE Enterprise.
Abilita l'API Container Security.
Assicurati di avere un cluster GKE esistente registrato in un parco risorse. Per creare e registrare un nuovo cluster, consulta Registra un nuovo cluster.
Considerazioni da fare prima di abilitare GKE Threat Detection
L'attivazione del rilevamento delle minacce per GKE abilita anche le seguenti funzionalità della funzionalità di analisi della postura di sicurezza di Kubernetes. Anche queste funzionalità sono offerte senza costi aggiuntivi.
- Controllo della configurazione del carico di lavoro
- Visualizzazione dei bollettini sulla sicurezza (anteprima)
Inoltre, quando abiliti il rilevamento delle minacce per GKE su un cluster nel tuo progetto, abiliti anche i seguenti componenti di Security Command Center del progetto. Se vuoi rimuovere il rilevamento delle minacce per GKE dal tuo in seguito, dovrai disabilitare questi componenti singolarmente.
- API Security Command Center
- Componente aggiuntivo Security Command Center per GKE Enterprise
- Account di servizio Security Command Center
- Account di servizio Container Threat Detection
Durante la procedura di attivazione, concedi i seguenti ruoli IAM all'account di servizio Security Command Center e all'account di servizio Container Threat Detection:
- Account di servizio Security Command Center:
Agente di servizio Centro sicurezza (
roles/securitycenter.serviceAgent) - Account di servizio Container Threat Detection:
Agente di servizio Container Threat Detection (
roles/containerthreatdetection.serviceAgent)
Abilita il rilevamento delle minacce per GKE nel tuo progetto
Devi abilitare il rilevamento delle minacce di GKE nel tuo progetto prima di attivarlo nei tuoi cluster. Se l'hai già attivata Rilevamento delle minacce per GKE, salta questo passaggio.
Vai alla pagina Security posture nella console Google Cloud:
Nel riquadro Minaccia, fai clic su Abilita rilevamento delle minacce.
Esamina le autorizzazioni e i ruoli IAM che concederai e quindi fai clic su Concedi ruoli e abilita Threat Detection. Ciò consente il rilevamento delle minacce per GKE nel tuo progetto.
Per registrare i cluster nel rilevamento delle minacce di GKE, fai clic su Seleziona cluster nella pagina delle impostazioni e poi procedi nel seguente modo:
- Seleziona le caselle di controllo relative ai cluster a cui vuoi registrarti il rilevamento delle minacce per GKE.
- Nel menu a discesa Seleziona azione, seleziona Imposta su Avanzate.
- Fai clic su Applica.
Abilita il rilevamento delle minacce per GKE su singoli cluster
Se hai già abilitato il rilevamento delle minacce a GKE nel tuo progetto, abilitare il rilevamento delle minacce nei cluster esistenti registrati in un parco risorse utilizzando la console Google Cloud o Google Cloud CLI.
Console
Vai alla pagina Security posture nella console Google Cloud.
Fai clic sulla scheda Impostazioni.
Nella sezione Cluster abilitati per la security posture, fai clic su Seleziona i cluster.
Seleziona le caselle di controllo per i cluster su cui vuoi abilitare il rilevamento delle minacce GKE.
Nel menu a discesa Seleziona azione, scegli Imposta su Avanzata.
Fai clic su Applica.
gcloud
Esegui questo comando:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=enterprise
Sostituisci quanto segue:
CLUSTER_NAME: il nome del tuo cluster GKE in un cluster Kubernetes.LOCATION: la località di Compute Engine nel tuo cluster.
Visualizza e intervieni sui risultati del rilevamento delle minacce per GKE
Dopo aver attivato questa funzionalità, potrebbero essere necessari fino a 15 minuti prima di iniziare a vedere i risultati. GKE visualizza i risultati la dashboard della security posture e aggiunge automaticamente voci al cluster logaritmi.
Visualizza risultati
Per visualizzare una panoramica dei problemi rilevati nei cluster e nei carichi di lavoro del progetto:
Vai alla pagina Security posture nella console Google Cloud.
Fai clic sulla scheda Problemi.
Nel riquadro Filtra i problemi, nella sezione Tipo di problema, seleziona la Casella di controllo Minaccia. Puoi anche espandere la sezione Minaccia per filtrare in base a categorie secondarie come il tipo MITRE ATT&CK®.
Per visualizzare i dettagli relativi a una singola segnalazione di minacce, fai clic sulla descrizione della segnalazione. Si apre il riquadro dei dettagli del risultato, che include le seguenti informazioni informazioni:
- Dettagli sulla minaccia, ad esempio gravità e stato
- Consigli per mitigare la minaccia
- Un elenco delle risorse interessate nei cluster registrati
Visualizzare i risultati in Security Command Center
Se utilizzi il livello Premium di Security Command Center, puoi visualizzare
Risultati del rilevamento delle minacce per GKE come risultati di THREAT.
Vai alla pagina Minacce nella console Google Cloud:
Visualizza i log per i problemi rilevati
GKE aggiunge voci al bucket dei log _Default in Logging per ogni problema rilevato. Questi log vengono conservati solo per un periodo specifico. Per maggiori dettagli, vedi
Registra i periodi di conservazione.
Nella console Google Cloud, vai a Esplora log:
Vai a Esplora logNel campo Query specifica la seguente query:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_THREAT"
Fai clic su Esegui query.
Per ricevere notifiche quando GKE aggiunge nuovi risultati a Logging, configura gli avvisi basati su log per questa query. Per ulteriori informazioni, consulta la pagina Configurare gli avvisi basati su log.
Disabilita rilevamento delle minacce per GKE
Puoi disabilitare il rilevamento delle minacce per GKE nei tuoi cluster. Per disattivare GKE Threat Detection sul tuo progetto, devi rimuoverlo manualmente i singoli componenti di Security Command Center creati quando hai abilitato la caratteristica.
Disattivare il rilevamento delle minacce GKE nei cluster
Puoi disattivare il rilevamento delle minacce GKE nei cluster utilizzando la riga di comando gcloud o la console Google Cloud.
Console
Vai alla pagina Security posture nella console Google Cloud.
Fai clic sulla scheda Impostazioni.
Nella sezione Cluster abilitati per la security posture, fai clic su Seleziona cluster.
Seleziona le caselle di controllo per i cluster su cui vuoi disattivare il rilevamento delle minacce GKE.
Nel menu a discesa Seleziona azione, esegui una delle seguenti operazioni:
- Opzione consigliata: per disabilitare il rilevamento delle minacce per GKE, mantenendo al contempo per altre funzionalità, come il controllo della configurazione, seleziona Imposta su Base.
- Per disabilitare tutte le funzionalità di analisi della security posture di Kubernetes, seleziona Imposta su Disattivato.
Fai clic su Applica.
gcloud
Esegui questo comando:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=TIER
Sostituisci quanto segue:
CLUSTER_NAME: il nome del cluster.LOCATION: la località del cluster.TIER: il livello della strategia di sicurezza per Kubernetes. Deve essere uno dei seguenti:standard(consigliato): disabilita il rilevamento delle minacce per GKE, ma e mantenere le altre funzionalità di analisi della security posture di Kubernetes.disabled: disattiva tutte le funzionalità di analisi della strategia di sicurezza di Kubernetes sul cluster, incluso il controllo della configurazione.