Halaman ini menjelaskan Pemindaian postur keamanan Kubernetes, yang merupakan kemampuan dasbor postur keamanan yang mendeteksi masalah konfigurasi keamanan umum, buletin keamanan yang dapat ditindaklanjuti di beban kerja Kubernetes, dan ancaman aktif di cluster GKE Enterprise Anda.
Untuk mengaktifkan dan menggunakan pemindaian postur keamanan Kubernetes, lihat referensi berikut:
- Mengaudit workload secara otomatis untuk menemukan masalah konfigurasi
- Khusus GKE Enterprise: Menemukan ancaman dalam cluster menggunakan deteksi ancaman GKE (Pratinjau)
Pemindaian postur keamanan Kubernetes menyediakan fungsionalitas berikut:
- Paket standar
- Tingkat lanjutan (khusus GKE Enterprise)
Harga
- Paket standar: Ditawarkan tanpa biaya tambahan di GKE.
- Tingkat lanjutan: Disertakan dalam GKE Enterprise.
Entri yang ditambahkan ke Cloud Logging tunduk pada harga Cloud Logging.
Tentang pengauditan konfigurasi workload
Workload yang Anda deploy di GKE harus memiliki konfigurasi yang di-hardening yang membatasi permukaan serangannya. Memeriksa workload di seluruh cluster untuk menemukan masalah konfigurasi mungkin sulit dilakukan secara manual dalam skala besar. Anda dapat menggunakan dasbor postur keamanan untuk secara otomatis mengaudit konfigurasi semua workload yang berjalan di beberapa cluster dan menampilkan hasil yang dapat ditindaklanjuti, berskor, serta rekomendasi opini untuk meningkatkan postur keamanan.
Audit konfigurasi workload memeriksa setiap workload yang di-deploy berdasarkan sebagian kebijakan dalam Standar Keamanan Pod. Audit konfigurasi beban kerja terjadi di infrastruktur Google dan tidak menggunakan resource komputasi pada node Anda.
Manfaat pengauditan konfigurasi workload
- Mengotomatiskan pendeteksian masalah konfigurasi yang diketahui di semua workload.
- Mendapatkan rekomendasi yang dapat ditindaklanjuti untuk meningkatkan postur keamanan.
- Menggunakan Konsol Google Cloud untuk mendapatkan tampilan masalah konfigurasi secara umum.
- Menggunakan Logging untuk mengetahui jejak masalah yang dapat diaudit guna mendapatkan pelaporan dan kemampuan observasi yang lebih baik.
Cara kerja audit konfigurasi workload
Untuk setiap workload yang di-deploy dan memenuhi syarat, GKE terus memindai spesifikasi workload dan membandingkan kolom serta nilainya dengan kontrol yang ditentukan dalam kebijakan keamanan pokoknya. Misalnya, Pod dengan spec.containers.securityContext.privileged=true
melanggar Standar Keamanan Pod Baseline, dan Pod dengan kolom spec.securityContext.runAsNonRoot
yang ditetapkan ke false
melanggar Standar yang dibatasi. Untuk mengetahui daftar kebijakan keamanan yang diperiksa GKE, lihat Apa yang dimaksud dengan pemeriksaan audit konfigurasi workload?.
Setelah memindai dan menemukan masalah, GKE akan menilai tingkat keparahan masalah konfigurasi yang ditemukan berdasarkan langkah hardening keamanan bawaan. GKE menetapkan rating tingkat keparahan yang dapat menunjukkan kecepatan Anda dalam merespons masalah. Konsol Google Cloud menampilkan hasil dan tindakan yang disarankan yang dapat Anda lakukan untuk mengatasi masalah tersebut. GKE juga menambahkan entri ke Cloud Logging untuk pelacakan dan audit.
Apa yang diperiksa audit konfigurasi workload?
Masalah | Kolom | Nilai yang diizinkan | Keparahan |
---|---|---|---|
Namespace host Pod yang berbagi namespace host memungkinkan proses Pod berkomunikasi dengan proses host dan mengumpulkan informasi host, yang dapat mengakibatkan container escape. |
|
|
Tinggi |
Container dengan hak istimewa Container dengan hak istimewa memungkinkan akses host yang hampir tidak terbatas. Container ini berbagi namespace dengan host, dan tidak memiliki grup kontrol, seccomp, AppArmor, dan batasan kapabilitas. |
|
|
Tinggi |
Akses port host Mengekspos port host ke container berpotensi membuat container dapat mencegat traffic jaringan ke layanan host yang menggunakan port tersebut atau mengabaikan aturan kontrol akses jaringan, seperti aturan dalam NetworkPolicy. |
|
|
Tinggi |
Kapabilitas non-default Container memiliki kapabilitas yang dapat memungkinkan container escape. |
|
|
Sedang |
Memasang volume jalur host Volume |
spec.volumes[*].hostPath |
Tidak ditentukan atau nihil | Sedang |
Mask Jenis pemasangan |
|
|
Sedang |
Mask sysctl tidak aman Pod dapat dikonfigurasi untuk mengizinkan modifikasi parameter kernel yang tidak aman menggunakan sistem file virtual |
spec.securityContext.sysctls[*].name |
|
Sedang |
Berjalan sebagai non-root Anda dapat secara eksplisit mengizinkan container untuk berjalan sebagai pengguna root jika perintah |
|
true |
Sedang |
Eskalasi akses Container dapat dikonfigurasi secara eksplisit agar mengizinkan eskalasi akses saat dieksekusi. Hal ini mengizinkan proses yang dibuat dalam container dengan menjalankan set-user-id, set-group-id, atau kapabilitas file yang dapat dieksekusi untuk mendapatkan hak istimewa yang ditentukan oleh file yang dapat dieksekusi. Tidak adanya kontrol keamanan preventif meningkatkan risiko container escape. |
|
false |
Sedang |
Profil AppArmor tidak dibatasi Container dapat dikonfigurasi secara eksplisit agar tidak dibatasi oleh AppArmor. Hal ini memastikan tidak ada profil AppArmor yang diterapkan ke container dan, sebagai akibatnya, tidak ada container yang dibatasi olehnya. Kontrol keamanan preventif yang dinonaktifkan akan meningkatkan risiko container escape. |
metadata.annotations["container.apparmor.security.beta.kubernetes.io/*"] |
false |
Rendah |
Tentang kemunculan buletin keamanan
Saat kerentanan ditemukan di GKE, kami akan menerapkan patch dan memublikasikan buletin keamanan tentang kerentanan tersebut. Untuk mengetahui informasi tentang identifikasi, patching, dan linimasa, lihat Patching keamanan GKE.
Dasbor postur keamanan menampilkan buletin keamanan yang memengaruhi cluster, workload, dan node pool mode Standard. Fitur ini merupakan bagian dari kapabilitas postur keamanan Kubernetes dari dasbor postur keamanan dan otomatis diaktifkan saat Anda membuat cluster Autopilot atau Standard. Untuk mengaktifkan pemindaian postur keamanan Kubernetes, gunakan petunjuk di Mengaudit beban kerja secara otomatis untuk masalah konfigurasi.
Konsol Google Cloud menampilkan detail seperti cluster yang terpengaruh, versi, dan versi patch yang direkomendasikan untuk upgrade guna memitigasi kerentanan. Anda hanya akan melihat buletin yang mitigasinya tersedia di region atau zona Google Cloud cluster Anda.
Jika ingin melihat buletin untuk cluster yang Anda daftarkan di pemindaian postur keamanan Kubernetes, buka dasbor postur keamanan:
Buletin apa pun yang tersedia yang memengaruhi lingkungan Anda akan muncul di bagian Security bulletins.
Tentang deteksi ancaman GKE
Deteksi ancaman GKE memindai log audit cluster yang terdaftar untuk menemukan ancaman aktif dan memberikan tindakan mitigasi yang direkomendasikan. Deteksi ancaman GKE didukung oleh layanan Event Threat Detection Security Command Center. Untuk informasi selengkapnya, dalam dokumentasi GKE Enterprise, lihat Tentang deteksi ancaman GKE.
Langkah selanjutnya
- Pelajari dasbor postur keamanan.
- Pelajari cara menerapkan audit konfigurasi beban kerja.
- Pelajari cara menyiapkan pemindaian kerentanan otomatis untuk image container.