Individua le minacce nei cluster utilizzando GKE Threat Detection

Questa pagina mostra come trovare le minacce attive nei cluster della versione Google Kubernetes Engine (GKE) Enterprise in esecuzione su Google Cloud e ottenere suggerimenti per la mitigazione strategici. GKE Threat Detection è una funzionalità avanzata della dashboard della security posture di GKE. Per ulteriori informazioni, consulta Informazioni sul rilevamento delle minacce per GKE.

Il rilevamento delle minacce per GKE è disponibile solo nei progetti che utilizzano GKE Enterprise e che dispongono di cluster GKE idonei.

Prezzi

Il rilevamento delle minacce per GKE è offerto senza costi aggiuntivi tramite GKE Enterprise.

Prima di iniziare

1. Assicurati di essere un utente di GKE Enterprise. Per configurare GKE Enterprise, consulta Abilitare GKE Enterprise.

2. Abilita l'API Container Security.

   Abilita API Container Security

3. Assicurati di avere un cluster GKE esistente registrato in un parco risorse. Per creare e registrare un nuovo cluster, consulta Registrare un nuovo cluster.

Considerazioni da fare prima di abilitare GKE Threat Detection

L'abilitazione del rilevamento delle minacce per GKE abilita inoltre le seguenti funzionalità di analisi della security posture. Anche queste funzionalità sono offerte senza costi aggiuntivi.

• Controllo della configurazione del carico di lavoro
• Visualizzazione del bollettino sulla sicurezza (anteprima)

Inoltre, quando abiliti il rilevamento delle minacce per GKE su un cluster nel tuo progetto, nel progetto vengono abilitati anche i seguenti componenti di Security Command Center. Se in un secondo momento vuoi rimuovere il rilevamento delle minacce per GKE dal tuo progetto, devi disabilitare questi componenti singolarmente.

• API Security Command Center
• Componente aggiuntivo Security Command Center per GKE Enterprise
• Account di servizio Security Command Center
• Account di servizio Container Threat Detection

Durante il processo di abilitazione, concedi i seguenti ruoli IAM all'account di servizio Security Command Center e all'account di servizio Container Threat Detection:

• Account di servizio Security Command Center: Agente di servizio Security Center (roles/securitycenter.serviceAgent)
• Account di servizio Container Threat Detection: agente di servizio Container Threat Detection (roles/containerthreatdetection.serviceAgent)

Abilita il rilevamento delle minacce per GKE nel tuo progetto

Devi abilitare il rilevamento delle minacce per GKE nel tuo progetto prima di attivarlo nei cluster. Se hai già abilitato il rilevamento delle minacce di GKE, salta questo passaggio.

1. Vai alla pagina Security posture nella console Google Cloud:

   Vai a Security posture

2. Nel riquadro Minaccia, fai clic su Abilita rilevamento delle minacce.

3. Esamina le autorizzazioni e i ruoli IAM che concederai, quindi fai clic su Concedi ruoli e abilita rilevamento delle minacce. Ciò consente il rilevamento delle minacce a GKE nel tuo progetto.

4. Per registrare i cluster in GKE Threat Detection, fai clic su Seleziona i cluster nella pagina delle impostazioni, quindi segui questi passaggi:

   1. Seleziona le caselle di controllo relative ai cluster che vuoi registrare per il rilevamento delle minacce di GKE.
   2. Nel menu a discesa Seleziona azione, scegli Imposta su Avanzata.
   3. Fai clic su Applica.

Abilita il rilevamento delle minacce per GKE su singoli cluster

Se hai già abilitato il rilevamento delle minacce per GKE nel tuo progetto, puoi abilitare il rilevamento delle minacce nei cluster esistenti registrati in un parco risorse utilizzando la console Google Cloud o Google Cloud CLI.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=enterprise

Visualizza e intervieni sui risultati del rilevamento delle minacce per GKE

Dopo aver attivato questa funzionalità, potrebbero essere necessari fino a 15 minuti per iniziare a visualizzare i risultati. GKE visualizza i risultati sulla dashboard della postura di sicurezza e aggiunge automaticamente voci ai log del cluster.

Visualizza risultati

Per vedere una panoramica dei problemi rilevati nei cluster e nei carichi di lavoro del progetto, segui questi passaggi:

1. Vai alla pagina Security posture nella console Google Cloud.

   Vai a Security posture

2. Fai clic sulla scheda Problemi.

3. Nel riquadro Filtra i problemi, nella sezione Tipo di problema, seleziona la casella di controllo Minaccia. Puoi anche espandere la sezione Minaccia per filtrare in base a sottocategorie come MITRE ATT&CK®.

4. Per visualizzare i dettagli di un singolo risultato di minaccia, fai clic sulla descrizione del risultato. Si apre il riquadro dei dettagli del risultato, che contiene le seguenti informazioni:

   • Dettagli sulla minaccia, come gravità e stato
   • Consigli per mitigare la minaccia
   • Un elenco delle risorse interessate nei cluster registrati

Visualizza i risultati in Security Command Center

Se utilizzi il livello Premium di Security Command Center, puoi visualizzare i risultati del rilevamento delle minacce di GKE come risultati di THREAT.

Vai alla pagina Minacce nella console Google Cloud:

Vai a Minacce

Disabilita rilevamento delle minacce per GKE

Puoi disabilitare il rilevamento delle minacce per GKE nei tuoi cluster. Per disabilitare il rilevamento delle minacce di GKE nel tuo progetto, devi rimuovere manualmente i singoli componenti di Security Command Center creati al momento dell'abilitazione della funzionalità.

Disabilita il rilevamento delle minacce per GKE nei cluster

Puoi disabilitare il rilevamento delle minacce per GKE nei cluster utilizzando gcloud CLI o la console Google Cloud.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=TIER

Passaggi successivi

• Scopri di più sul rilevamento delle minacce per GKE