Utiliser Container Threat Detection

>

Consultez les résultats de Container Threat Detection dans le tableau de bord de Security Command Center et consultez des exemples de résultats de Container Threat Detection. Container Threat Detection est un service intégré au niveau Premium de Security Command Center. Pour afficher les résultats de Container Threat Detection, celui-ci doit être activé dans les paramètres Services de Security Command Center.

La vidéo suivante montre les étapes à suivre pour configurer Container Threat Detection et fournit des informations sur l'utilisation du tableau de bord. Vous trouverez plus d'informations sur l'affichage et la gestion des résultats Container Threat Detection plus loin sur cette page.

Utiliser une version de GKE compatible

Pour détecter les menaces potentielles pour vos conteneurs, vous devez vous assurer que vos clusters se trouvent dans une version compatible de Google Kubernetes Engine (GKE). Container Treat Detection est actuellement compatible avec les versions GKE suivantes sur les canaux standards et rapides :

  • >= 1.15.9-gke.12
  • >= 1.16.5-gke.2
  • >= 1.17

Pour utiliser une version de GKE compatible et détecter les menaces sur vos conteneurs, procédez comme suit :

  1. Suivez le guide pour mettre à jour un cluster.
  2. Assurez-vous que Container Treat Detection est activé pour le cluster :
    1. Accédez à la page Paramètres de Security Command Center dans Cloud Console.
      Accéder à la page Paramètres
    2. Accédez à Paramètres avancés, puis développez le menu. La liste des ressources de votre organisation s'affiche.
    3. Dans la colonne Container Threat Detection, sélectionnez Activé par défaut pour chaque cluster que vous avez mis à niveau. Le service est automatiquement activé pour les ressources enfants des dossiers si elles sont configurées pour hériter. Activez manuellement Container Threat Detection pour les ressources enfants n'étant pas configurées pour hériter.
    4. Une boîte de dialogue de confirmation s'affiche. Lisez le message, puis cliquez sur Yes, I Understanding (Oui, je comprends).
  3. Si votre cluster se trouve dans un cloud privé virtuel (VPC, Virtual Private Cloud), activez l'accès privé à Google pour que Container Threat Detection fonctionne. Suivez le guide pour configurer l'accès privé à Google.

Pour en savoir plus, consultez la section Configurer des ressources de Security Command Center.

Vérifier la configuration du cluster GKE

La configuration de votre cluster GKE et vos restrictions de rôle IAM (Identity and Access Management) ne doivent pas empêcher la création ni l'utilisation des objets dont Container Threat Detection a besoin pour fonctionner. Cette section explique comment configurer les composants GKE essentiels pour qu'ils fonctionnent avec Container Threat Detection.

Objets Kubernetes

Après l'intégration, Container Threat Detection crée plusieurs objets GKE dans vos clusters activés. Les objets servent à surveiller les images de conteneurs, à gérer les conteneurs et les pods privilégiés, et à évaluer l'état pour générer des résultats. Le tableau suivant répertorie les objets, leurs propriétés et les fonctions essentielles.

Objet Nom* Propriétés Fonction
ClusterRole pod-reader Accorde les autorisations get, watch et list sur les pods Conserve les fonctionnalités lorsque PodSecurityPolicy est activé
ClusterRoleBinding container-watcher-pod-reader

gce:podsecuritypolicy:container-watcher

Attribue les rôles pod-reader et gce:podsecuritypolicy:privileged au compte de service container-watcher-pod-reader
RoleBinding gce:podsecuritypolicy:container-watcher Accorde le rôle gce:podsecuritypolicy:privileged au compte de service container-watcher-pod-reader
DaemonSet container-watcher Privilégié Interactions avec le module de sécurité Linux et Container Engine
Installe /host/ en lecture et écriture Communication avec le module de sécurité Linux
Installe /etc/container-watcher/secrets en lecture seule pour accéder à container-watcher-token Authentification
Utilise hostNetwork Génération de résultats
Image
gcr.io/gke-release/watcher-daemonset
Activation et mise à niveau
Backend
containerthreatdetection-region.googleapis.com:443
Génération de résultats
ServiceAccount container-watcher-pod-reader Activation, mise à niveau et désactivation
Secret container-watcher-token Authentification

* Tous les objets se trouvent dans l'espace de noms kube-system, à l'exception de container-watcher-pod-reader et de gce:podsecuritypolicy:container-watcher.

PodSecurityPolicy et contrôleurs d'admission

Une règle PodSecurityPolicy est une ressource de contrôleur d'admission que vous configurez et qui valide les requêtes de création ou de mise à jour de pod sur votre cluster. Container Threat Detection est compatible avec les règles PodSecurityPolicy qui sont automatiquement appliquées lors de la création ou de la mise à jour d'un cluster avec l'option enable-pod-security-policy. Plus précisément, Container Threat Detection utilise la règle gce.privileged lorsque PodSecurityPolicy est activé.

Si vous utilisez des règles PodSecurityPolicy personnalisées ou d'autres contrôleurs d'admission, ils ne doivent pas empêcher la création ni l'utilisation des objets dont Container Threat Detection a besoin pour fonctionner. Par exemple, un contrôleur d'admission basé sur un webhook qui refuse ou ignore les déploiements privilégiés peut empêcher le fonctionnement correct de Container Threat Detection.

Pour en savoir plus, consultez la page Utiliser PodSecurityPolicies.

Autorisations IAM requises

Le compte de service de Container Threat Detection, créé lors de l'intégration, nécessite le rôle IAM roles/containerthreatdetection.serviceAgent pour surveiller les clusters. La suppression de ce rôle par défaut du compte de service peut empêcher le fonctionnement correct de Container Threat Detection.

API Container Threat Detection

Container Threat Detection active automatiquement l'API containerthreatdetection lors de l'intégration pour permettre la génération de résultats. Vous ne devez pas interagir directement avec cette API requise. La désactivation de cette API endommagerait la capacité de Container Threat Detection à générer de nouveaux résultats. Si vous souhaitez ne plus recevoir les résultats de Container Threat Detection, désactivez Container Threat Detection dans les paramètres Services de Security Command Center.

Examiner les résultats

Lorsque Container Threat Detection génère des résultats, vous pouvez les afficher dans Security Command Center. Si vous avez configuré des récepteurs de Security Command Center pour écrire dans la suite des opérations Google Cloud, vous pouvez également afficher les résultats dans Cloud Logging. Pour générer un résultat et vérifier votre configuration, vous pouvez déclencher intentionnellement un détecteur et tester Container Threat Detection.

Container Threat Detection présente les latences suivantes :

  • Latence d'activation de 3,5 heures pour les organisations nouvellement ajoutées.
  • Latence d'activation de plusieurs minutes pour les clusters nouvellement créés.
  • Latence de détection de plusieurs minutes pour les menaces dans les clusters qui ont été activés

Examiner les résultats dans Security Command Center

Pour examiner les résultats de Container Threat Detection dans Security Command Center :

  1. Accédez à l'onglet Résultats de Security Command Center dans Google Cloud Console.
    Accéder à l'onglet "Résultats"
  2. À côté de Afficher par, cliquez sur Type de source.
  3. Dans la liste Type de source, sélectionnez Container Threat Detection.
  4. Pour afficher des informations détaillées sur un résultat spécifique, cliquez sur le nom de ce résultat sous category. Le panneau de détails du résultat se développe pour afficher des informations, y compris les suivantes :
    • Type de résultat, tel que "Binaire ajouté exécuté".
    • Source : "Container Threat Detection"
    • Heure de l'événement : moment où le résultat s'est produit
    • Identifiant de résultat : identifiant unique du résultat
    • Nom de la ressource : cluster GKE affecté
    • Propriétés de résultats avec plus d'informations telles que :
      • Nom du conteneur
      • Heure de création du conteneur
      • URI et ID de l'image de conteneur
      • Champs supplémentaires basés sur le détecteur Par exemple, les résultats de l'interface système inversée incluent l'adresse IP de l'hôte distant.

Afficher les résultats dans Cloud Logging

Pour afficher les résultats de Container Threat Detection dans Cloud Logging, procédez comme suit :

  1. Accédez à la page Visionneuse de journaux de Cloud Logging dans Cloud Console.
    Accéder à la page "Visionneuse de journaux"
  2. Sur la page Visionneuse de journaux, cliquez sur Sélectionner, puis sur le projet dans lequel vous stockez les journaux Container Threat Detection.
  3. Dans la liste déroulante des ressources, sélectionnez Cloud Threat Detector.
    • Pour afficher les résultats de tous les détecteurs, sélectionnez all detector_name.
    • Pour afficher les résultats d'un détecteur spécifique, sélectionnez le nom de ce détecteur.

Exemples de résultats

Lisez la section Détecteurs de Container Threat Detection pour examiner les exemples de résultats.

Étape suivante