Cette page présente le tableau de bord de stratégie de sécurité dans la consoleGoogle Cloud , qui vous fournit des recommandations avisées et exploitables pour améliorer votre stratégie de sécurité. Pour explorer vous-même le tableau de bord, accédez à la page sur la stratégie de sécurité dans la console Google Cloud .
Quand utiliser le tableau de bord de stratégie de sécurité
Vous devez utiliser le tableau de bord de stratégie de sécurité si vous êtes un administrateur de cluster ou un administrateur de sécurité qui souhaite automatiser la détection et le signalement de problèmes de sécurité courants dans plusieurs clusters et charges de travail, avec un minimum d'intrusion et de perturbation de vos applications en cours d'exécution. Le tableau de bord de stratégie de sécurité s'intègre à des produits tels que Cloud Logging, Policy Controller et l'autorisation binaire pour améliorer votre visibilité sur votre stratégie de sécurité.
Si vous utilisez VPC Service Controls, vous pouvez également mettre à jour vos périmètres pour protéger le tableau de bord de stratégie de sécurité en ajoutant containersecurity.googleapis.com à la liste des services.
Le tableau de bord de la stratégie de sécurité ne modifie aucunement nos responsabilités ni vos responsabilités en vertu du modèle de responsabilité partagée. Vous restez responsable de la protection de vos charges de travail.
Utilisation dans le cadre d'une stratégie de sécurité globale
Le tableau de bord de stratégie de sécurité fournit des insights sur votre stratégie de sécurité de charge de travail lors de la phase d'exécution du cycle de livraison du logiciel. Pour obtenir une couverture complète de vos applications tout au long du cycle de vie, du contrôle de la source à la maintenance, nous vous recommandons d'utiliser le tableau de bord avec d'autres outils de sécurité.
GKE propose les outils suivants pour surveiller la sécurité et la conformité dans la console Google Cloud :
- Tableau de bord de la stratégie de sécurité, disponible dans les niveaux GKE Standard et GKE Enterprise.
Tableau de bord GKE Compliance (aperçu), disponible dans le niveau GKE Enterprise. Pour en savoir plus, consultez À propos du tableau de bord GKE Compliance.
Pour plus d'informations sur les autres outils disponibles et sur les bonnes pratiques à suivre pour protéger vos applications de bout en bout, consultez la page Protéger votre chaîne d'approvisionnement logicielle.
Nous vous recommandons également de mettre en œuvre autant de recommandations que possible dans la section Renforcer la sécurité d'un cluster.
Fonctionnement du tableau de bord de stratégie de sécurité
Pour utiliser le tableau de bord de stratégie de sécurité, activez l'API Container Security dans votre projet. Le tableau de bord affiche des insights issus des fonctionnalités intégrées à GKE et de certains produits de sécurité Google Cloud exécutés dans votre projet.
Activation des fonctionnalités spécifiques aux clusters
Les fonctionnalités propres à GKE dans le tableau de bord de stratégie de sécurité sont classées comme suit :
Stratégie de sécurité Kubernetes : stratégie de sécurité des objets et des ressources Kubernetes dans le cluster, tels que les spécifications du pod. Pour en savoir plus, consultez la section À propos de l'analyse de la stratégie de sécurité Kubernetes.
Analyse des failles des charges de travail : stratégie de sécurité du système d'exploitation du conteneur et des packages de langage d'application. Pour en savoir plus, consultez la page À propos de l'analyse des failles des charges de travail.
Le tableau suivant décrit les fonctionnalités spécifiques au cluster :
| Nom de la fonctionnalité | Disponibilité | Fonctionnalités incluses |
|---|---|---|
| Stratégie de sécurité Kubernetes – Niveau standard |
Nécessite la version 1.27 de GKE ou une version ultérieure. Activée par défaut dans tous les nouveaux clusters. |
|
| Analyse des failles des charges de travail – Niveau standard | Désactivée par défaut dans tous les nouveaux clusters. |
|
| Analyse des failles des charges de travail : Advanced Vulnerability Insights | Désactivée par défaut dans tous les nouveaux clusters. |
Vous pouvez activer ces fonctionnalités pour les clusters GKE autonomes ou les clusters membres de parc. Le tableau de bord de stratégie de sécurité vous permet d'observer simultanément tous vos clusters, y compris tous les membres du parc de votre projet hôte.
Intégration à Security Command Center
Si vous activez Security Command Center dans votre organisation ou votre projet, les résultats du tableau de bord de stratégie de sécurité s'affichent dans Security Command Center. Pour en savoir plus sur les résultats Security Command Center qui s'affichent dans le tableau de bord "État de sécurité", consultez Sources de sécurité.
De plus, si vous activez le niveau de service Premium ou Enterprise de Security Command Center dans votre organisation ou votre projet, le tableau de bord de stratégie de sécurité affiche les volets supplémentaires suivants :
- Principales menaces : récapitule les principales menaces qui affectent vos charges de travail GKE, regroupées par niveau de gravité et par catégorie.
- Principales failles logicielles : liste les principaux CVE associés aux résultats Security Command Center pour vos charges de travail GKE.
Pour activer le niveau Premium de Security Command Center dans votre projet, procédez comme suit :
Dans la console Google Cloud , accédez à la page Stratégie de sécurité GKE.
Recherchez le volet Exemples de menaces. Ce volet présente des exemples de types de résultats de sécurité que vous pouvez voir après avoir activé Security Command Center. Ces exemples ne représentent pas de véritables problèmes de sécurité dans votre projet.
Si vous voyez un volet intitulé Principales menaces, cela signifie que Security Command Center est déjà activé. Vous pouvez ignorer les étapes restantes.
Dans le volet Exemples de menaces, cliquez sur Essayer les analyses de sécurité gratuitement. Le volet d'activation s'ouvre.
Cliquez sur Démarrer l'essai gratuit.
Une fois que vous avez activé Security Command Center, il commence à analyser ou à examiner vos charges de travail GKE et vos ressources pour d'autres services Google Cloud. Cette analyse initiale est généralement terminée en quelques minutes ou heures.
Avantages du tableau de bord de stratégie de sécurité
Le tableau de bord de stratégie de sécurité est une mesure de sécurité de base que vous pouvez activer pour n'importe quel cluster GKE éligible. Google Cloudrecommande d'utiliser le tableau de bord de stratégie de sécurité dans tous vos clusters pour les raisons suivantes :
- Perturbations minimales : les fonctionnalités n'interfèrent pas avec les charges de travail en cours d'exécution et ne les perturbent pas.
- Recommandations exploitables : lorsqu'il est disponible, le tableau de bord de stratégie de sécurité fournit des actions permettant de résoudre les problèmes détectés. Ces actions incluent des commandes que vous pouvez exécuter et des exemples de modifications de configuration à effectuer.
- Visualisation : le tableau de bord de stratégie de sécurité fournit une vue d'ensemble des problèmes qui affectent les clusters de votre projet. Il inclut des graphiques indiquant la progression que vous avez effectuée et l'impact potentiel de chaque problème.
- Résultats avisés : GKE attribue un niveau de gravité aux problèmes détectés en fonction de l'expertise de nos équipes de sécurité et des normes du secteur.
- Journaux d'événements auditables : GKE ajoute toutes les préoccupations découvertes à Logging pour améliorer la création de rapports et l'observabilité.
- Observabilité du parc : si vous avez enregistré des clusters GKE dans un parc, le tableau de bord vous permet d'observer tous les clusters du projet, y compris les clusters membres du parc et n'importe quel cluster GKE autonome du projet.
Tarifs du tableau de bord de stratégie de sécurité GKE
Les tarifs des fonctionnalités du tableau de bord de stratégie de sécurité sont les suivants, applicables aux clusters GKE autonomes et aux clusters GKE de parc :
| Tarifs du tableau de bord de stratégie de sécurité GKE | |
|---|---|
| Audit de configuration de la charge de travail | Aucuns frais supplémentaires |
| Bulletin de sécurité qui s'affiche | Aucuns frais supplémentaires |
| (Obsolète) Analyse des failles de Container OS | Aucuns frais supplémentaires |
| (Obsolète) Insights avancés sur les failles | Utilise la tarification d'Artifact Analysis. Pour en savoir plus sur la page des tarifs d'Artifact Analysis, consultez la page Advanced Vulnerability Insights. |
| Résultats de Security Command Center | Utilise les tarifs de Security Command Center. |
Les entrées ajoutées à Cloud Logging sont soumises aux tarifs de Cloud Logging. Toutefois, en fonction de l'échelle de votre environnement et du nombre de problèmes détectés, vous ne dépasserez peut-être pas les attributions d'ingestion et de stockage gratuites pour Logging. Pour plus de détails, consultez les tarifs de Logging.
Gérer la stratégie de sécurité du parc
Si vous utilisez des parcs avec l'édition Enterprise de Google Kubernetes Engine (GKE), vous pouvez configurer des fonctionnalités de stratégie de sécurité GKE au niveau du parc à l'aide de gcloud CLI. Les clusters GKE que vous enregistrez en tant que membres d'un parc lors de la création d'un cluster héritent automatiquement de la configuration de la stratégie de sécurité. Les clusters qui étaient déjà membres du parc avant de modifier la configuration de la stratégie de sécurité n'héritent pas de la nouvelle configuration. Cette configuration héritée remplace les paramètres par défaut que GKE applique aux nouveaux clusters.
L'activation de GKE Enterprise affiche les résultats d'audit de conformité dans le tableau de bord de stratégie de sécurité. L'audit de conformité compare vos clusters et vos charges de travail avec les bonnes pratiques du secteur, telles que les normes de sécurité des pods. Pour en savoir plus, consultez la section Groupes Policy Controller.
Pour savoir comment modifier la configuration de la stratégie de sécurité au niveau du parc, consultez la page Configurer les fonctionnalités du tableau de bord de stratégie de sécurité au niveau du parc.
À propos de la page "Stratégie de sécurité"
La page "Stratégie de sécurité" de la console Google Cloud comporte les onglets suivants :
- Tableau de bord : représentation de haut niveau des résultats de vos analyses. Inclut des graphiques et des informations spécifiques aux fonctionnalités.
- Problèmes : vue détaillée et filtrable des problèmes détectés par GKE sur vos clusters et charges de travail. Vous pouvez sélectionner des problèmes individuels pour obtenir plus de détails et des options d'atténuation.
- Paramètres : gérez la configuration de la stratégie de sécurité pour des clusters individuels ou pour des parcs.
Tableau de bord
L'onglet Tableau de bord fournit une représentation visuelle des résultats des différentes analyses de stratégie de sécurité GKE et des informations provenant d'autres produits de sécuritéGoogle Cloud activés dans votre projet. Pour en savoir plus sur les fonctionnalités d'analyse disponibles et sur d'autres produits de sécurité compatibles, consultez Fonctionnement du tableau de bord de stratégie de sécurité dans ce document.
Si vous utilisez des parcs avec GKE Enterprise, le tableau de bord affiche également les problèmes détectés pour les clusters, y compris les clusters du parc du projet et les clusters autonomes. Pour changer le tableau de bord afin d'afficher la stratégie d'un parc spécifique, sélectionnez le projet hôte de ce parc dans le menu déroulant du sélecteur de projet de la console Google Cloud . Si l'API Container Security est activée pour le projet sélectionné, le tableau de bord affiche les résultats pour tous les clusters membres du parc de ce projet.
Problèmes
L'onglet Problèmes répertorie les problèmes de sécurité actifs que GKE détecte lors de l'analyse de vos clusters et de vos charges de travail. Cette page n'affiche que les préoccupations concernant les fonctionnalités de stratégie de sécurité décrites dans la section Activation de fonctionnalités spécifiques aux clusters dans ce document. Si vous utilisez des parcs avec GKE Enterprise, vous pouvez voir les préoccupations des clusters membres du parc et des clusters GKE autonomes appartenant au projet sélectionné.
Niveaux de gravité
Le cas échéant, GKE attribue un niveau de gravité aux problèmes détectés. Vous pouvez utiliser ces notes pour déterminer l'urgence avec laquelle vous devez résoudre le résultat. GKE utilise les niveaux de gravité suivants, basés sur l'échelle de gravité qualitative CVSS :
- Critique : agissez immédiatement. Une attaque entraînera un incident.
- Élevée : agissez rapidement. Une attaque entraînera très probablement un incident.
- Moyenne : agir dans un futur proche. Une attaque entraînera probablement un incident.
- Low (Faible) : agissez si besoin. Une attaque peut entraîner un incident.
La rapidité de votre réponse aux problèmes dépend du modèle de gestion des menaces de votre organisation et de la tolérance aux risques. Les niveaux de gravité sont une consigne qualitative qui vous aide à développer un plan complet de gestion des incidents.
Tableau des problèmes
Le tableau Problèmes affiche tous les problèmes détectés par GKE. Vous pouvez modifier la vue par défaut pour regrouper les résultats par type de problème, espace de noms Kubernetes ou par charges de travail concernées. Vous pouvez utiliser le volet de filtrage pour filtrer les résultats par niveau de gravité, type de problème, emplacementGoogle Cloud et nom de cluster. Pour afficher des détails sur un problème spécifique, cliquez sur le nom de ce problème.
Volet des détails des problèmes
Lorsque vous cliquez sur un problème dans le tableau Problèmes, le volet Détails du problème s'ouvre. Ce volet fournit une description détaillée du problème et des informations pertinentes telles que les versions d'OS concernées par des failles, les liens CVE ou les risques associés à un problème de configuration spécifique. Le volet Détails fournit une action recommandée, le cas échéant. Par exemple, une charge de travail qui définit runAsNonRoot: false renvoie la modification recommandée que vous devez apporter à la spécification de pod afin de limiter le problème.
L'onglet Ressources concernées du volet des détails des problèmes affiche la liste des charges de travail de vos clusters enregistrés qui sont affectées par ce problème.
Paramètres
L'onglet Paramètres vous permet de configurer des fonctionnalités de stratégie de sécurité spécifiques à un cluster, telles que l'audit de la configuration des charges de travail, sur les clusters GKE éligibles de votre projet ou votre parc. Vous pouvez afficher l'état d'activation de fonctionnalités spécifiques pour chaque cluster et modifier cette configuration pour les clusters éligibles. Si vous utilisez des parcs avec GKE Enterprise, vous pouvez également vérifier si vos clusters membres du parc ont les mêmes paramètres que la configuration au niveau du parc.
Exemple de workflow
Cette section est un exemple de workflow pour un administrateur de cluster qui souhaite analyser les charges de travail d'un cluster à la recherche de problèmes de configuration de sécurité, tels que les privilèges racine.
- Enregistrez le cluster dans l'analyse de la stratégie de sécurité Kubernetes à l'aide de la consoleGoogle Cloud .
- Consultez le tableau de bord de stratégie de sécurité pour connaître les résultats de l'analyse. Cette opération peut prendre jusqu'à 30 minutes.
- Cliquez sur l'onglet Problèmes pour ouvrir les résultats détaillés.
- Sélectionnez le filtre du type de problème Configuration.
- Cliquez sur un problème dans le tableau.
- Dans le volet des détails des problèmes, notez la modification de configuration recommandée et mettez à jour la spécification de pod avec la recommandation.
- Appliquez la spécification de pod mise à jour au cluster.
La prochaine fois que l'analyse est exécutée, le tableau de bord de stratégie de sécurité n'affiche plus le problème que vous avez résolu.
Étapes suivantes
- Obtenez plus d'informations sur l'audit de configuration de la charge de travail.
- Apprenez à activer l'analyse automatique de vos charges de travail pour les problèmes de configuration.