Questa pagina fornisce una panoramica della dashboard sulla postura di sicurezza nella consoleGoogle Cloud , che ti fornisce suggerimenti attendibili e strategici per migliorare la tua postura di sicurezza. Per esplorare la dashboard in autonomia, vai alla pagina Postura di sicurezza nella console Google Cloud .
Quando utilizzare la dashboard della postura di sicurezza
Devi utilizzare la dashboard della security posture se sei un amministratore del cluster o un amministratore della sicurezza che vuole automatizzare il rilevamento e il reporting dei problemi di sicurezza comuni in più cluster e workload, con intrusioni e interruzioni minime nelle applicazioni in esecuzione. La dashboard sulla postura di sicurezza si integra con prodotti come Cloud Logging, Policy Controller e Autorizzazione binaria per migliorare la visibilità della tua postura di sicurezza.
Se utilizzi Controlli di servizio VPC, puoi anche
aggiornare i perimetri
per proteggere la dashboard di postura di sicurezza aggiungendo
containersecurity.googleapis.com all'elenco dei servizi.
La dashboard sulla postura di sicurezza non cambia le nostre responsabilità o le tue responsabilità secondo quanto previsto dal modello di responsabilità condivisa. Sei comunque responsabile della protezione dei tuoi carichi di lavoro.
Utilizzo nell'ambito di una strategia di sicurezza generale
La dashboard sulla postura di sicurezza fornisce informazioni sulla postura di sicurezza del carico di lavoro nella fase di runtime del ciclo di vita di distribuzione del software. Per ottenere una copertura completa delle tue applicazioni durante il ciclo di vita, dal controllo del codice sorgente alla manutenzione, ti consigliamo di utilizzare la dashboard con altri strumenti di sicurezza.
GKE offre i seguenti strumenti per monitorare la sicurezza e la conformità nella console Google Cloud :
- La dashboard della postura di sicurezza, disponibile nel livello GKE Standard e nel livello GKE Enterprise.
La dashboard di conformità GKE (anteprima), disponibile nel livello GKE Enterprise. Per maggiori dettagli, vedi Informazioni sulla dashboard di conformità di GKE.
Per maggiori dettagli su altri strumenti disponibili e sulle best practice per proteggere le tue applicazioni end-to-end, consulta Proteggere la catena di fornitura del software.
Ti consigliamo vivamente di implementare il maggior numero possibile di consigli della sezione Rafforzare la sicurezza del cluster.
Come funziona la dashboard della postura di sicurezza
Per utilizzare la dashboard sulla postura di sicurezza, abilita l'API Container Security nel tuo progetto. La dashboard mostra gli approfondimenti delle funzionalità integrate in GKE e di determinati prodotti per la sicurezza Google Cloud in esecuzione nel tuo progetto.
Attivazione di funzionalità specifiche per il cluster
Le funzionalità specifiche di GKE nella dashboard della postura di sicurezza sono classificate come segue:
Strategia di sicurezza di Kubernetes: la strategia di sicurezza degli oggetti e delle risorse Kubernetes nel cluster, ad esempio le specifiche dei pod. Per maggiori dettagli, vedi Informazioni sull'analisi della postura di sicurezza di Kubernetes.
Analisi delle vulnerabilità dei carichi di lavoro: la postura di sicurezza del sistema operativo container e dei pacchetti di linguaggio dell'applicazione. Per maggiori dettagli, vedi Informazioni sull'analisi delle vulnerabilità dei workload.
La tabella seguente descrive le funzionalità specifiche del cluster:
| Nome caratteristica | Disponibilità | Funzionalità incluse |
|---|---|---|
| Strategia di sicurezza per Kubernetes - livello Standard |
Richiede GKE 1.27 o versioni successive. Attivato per impostazione predefinita in tutti i nuovi cluster. |
|
| Analisi delle vulnerabilità dei workload - livello standard | Disabilitato per impostazione predefinita in tutti i nuovi cluster. |
|
| Analisi delle vulnerabilità dei workload - Advanced vulnerability insights | Disabilitato per impostazione predefinita in tutti i nuovi cluster. |
Puoi abilitare queste funzionalità per i cluster GKE autonomi o per i cluster membri del parco risorse. La dashboard della postura di sicurezza ti consente di osservare tutti i tuoi cluster contemporaneamente, inclusi tutti i membri del parco risorse nel progetto host del parco risorse.
Integrazione con Security Command Center
Se attivi Security Command Center nella tua organizzazione o nel tuo progetto, visualizzi i risultati della dashboard della postura di sicurezza in Security Command Center. Per ulteriori dettagli sui risultati di Security Command Center visualizzati nella dashboard della postura di sicurezza, consulta Origini di sicurezza.
Inoltre, se attivi il livello di servizio Premium o Enterprise di Security Command Center nella tua organizzazione o nel tuo progetto, la dashboard Postura di sicurezza mostra i seguenti riquadri aggiuntivi:
- Principali minacce: riepiloga le principali minacce che interessano i tuoi workload GKE, raggruppate per gravità e categoria.
- Principali vulnerabilità del software: elenca i principali CVE associati ai risultati di Security Command Center per i tuoi carichi di lavoro GKE.
Per attivare il livello Premium di Security Command Center nel tuo progetto, procedi nel seguente modo:
Nella console Google Cloud , vai alla pagina Postura di sicurezza di GKE.
Trova il riquadro Minacce di esempio. Questo riquadro mostra esempi dei tipi di risultati di sicurezza che potresti visualizzare dopo aver attivato Security Command Center. Questi esempi non rappresentano problemi di sicurezza reali nel tuo progetto.
Se vedi un riquadro intitolato Principali minacce, Security Command Center è già attivato. Puoi ignorare i passaggi successivi.
Nel riquadro Minacce di esempio, fai clic su Prova l'analisi della sicurezza senza costi. Viene visualizzato il riquadro di attivazione.
Fai clic su Inizia la prova gratuita.
Dopo aver attivato Security Command Center, inizia ad analizzare o scansionare i tuoi carichi di lavoro GKE e le tue risorse per altri Google Cloud servizi. Questa scansione iniziale viene generalmente completata in pochi minuti o ore.
Vantaggi della dashboard sulla security posture
La dashboard della security posture è una misura di sicurezza fondamentale che puoi abilitare per qualsiasi cluster GKE idoneo. Google Cloudconsiglia di utilizzare la dashboard della security posture per tutti i tuoi cluster per i seguenti motivi:
- Interruzioni minime: le funzionalità non interferiscono con i carichi di lavoro in esecuzione né li interrompono.
- Consigli attuabili: se disponibili, la dashboard per la postura di sicurezza fornisce attività per risolvere i problemi rilevati. Queste azioni includono comandi che puoi eseguire ed esempi di modifiche alla configurazione da apportare.
- Visualizzazione: la dashboard sulla postura di sicurezza fornisce una visualizzazione di alto livello dei problemi che interessano i cluster del tuo progetto e include grafici e diagrammi per mostrare i progressi compiuti e l'impatto potenziale di ogni problema.
- Risultati basati su opinioni: GKE assegna una valutazione della gravità ai problemi rilevati in base all'esperienza dei nostri team di sicurezza e agli standard di settore.
- Log degli eventi controllabili: GKE aggiunge tutti i problemi rilevati a Logging per una migliore reportistica e osservabilità.
- Osservabilità del parco risorse: se hai registrato cluster GKE in un parco risorse, la dashboard ti consente di osservare tutti i cluster del progetto, inclusi i cluster membri del parco risorse e tutti i cluster GKE autonomi del progetto.
Prezzi della dashboard della postura di sicurezza di GKE
I prezzi per le funzionalità della dashboard della postura di sicurezza sono i seguenti, applicabili ai cluster GKE autonomi e ai cluster GKE della flotta:
| Prezzi della dashboard della postura di sicurezza di GKE | |
|---|---|
| Controllo della configurazione del workload | Nessun costo aggiuntivo |
| Visualizzazione dei bollettini sulla sicurezza | Nessun costo aggiuntivo |
| (Deprecato) Analisi delle vulnerabilità del sistema operativo dei container | Nessun costo aggiuntivo |
| (Ritirato) Advanced Vulnerability Insights | Utilizza i prezzi di Artifact Analysis. Per i dettagli, consulta la sezione Approfondimenti avanzati sulle vulnerabilità nella pagina dei prezzi di Artifact Analysis. |
| Risultati di Security Command Center | Utilizza i prezzi di Security Command Center. |
Le voci aggiunte a Cloud Logging utilizzano i prezzi di Cloud Logging. Tuttavia, a seconda delle dimensioni del tuo ambiente e del numero di problemi rilevati, potresti non superare le allocazioni gratuite per l'importazione e l'archiviazione per Logging. Per i dettagli, consulta Prezzi di Logging.
Gestire la postura di sicurezza del parco risorse
Se utilizzi i parchi risorse con Google Kubernetes Engine (GKE) Enterprise, puoi configurare le funzionalità di security posture di GKE a livello di parco risorse utilizzando gcloud CLI. I cluster GKE che registri come membri del parco risorse durante la creazione del cluster ereditano automaticamente la configurazione della postura di sicurezza. I cluster che erano già membri del parco risorse prima della modifica della configurazione della postura di sicurezza non ereditano la nuova configurazione. Questa configurazione ereditata sostituisce le impostazioni predefinite che GKE applica ai nuovi cluster.
L'abilitazione di GKE Enterprise mostra i risultati del controllo della conformità nella dashboard della postura di sicurezza. Il controllo della conformità confronta i tuoi cluster e i tuoi carichi di lavoro con le best practice del settore, come gli standard di sicurezza dei pod. Per maggiori informazioni, consulta Bundle Policy Controller.
Per scoprire come modificare la configurazione della security posture a livello di parco risorse, consulta Configurare le funzionalità della dashboard della security posture di GKE a livello di parco risorse.
Informazioni sulla pagina Security Posture
La pagina Postura di sicurezza nella console Google Cloud contiene le seguenti schede:
- Dashboard: una rappresentazione generale dei risultati delle scansioni. Include grafici e informazioni specifiche sulle funzionalità.
- Problemi: una visualizzazione dettagliata e filtrabile di tutti i problemi rilevati da GKE nei cluster e nei workload. Puoi selezionare i singoli problemi per visualizzare i dettagli e le opzioni di mitigazione.
- Impostazioni: gestisci la configurazione della funzionalità di security posture per singoli cluster o per i parchi risorse.
Dashboard
La scheda Dashboard fornisce una rappresentazione visiva dei risultati di varie scansioni della security posture di GKE e informazioni di altri prodotti per la sicurezzaGoogle Cloud abilitati nel tuo progetto. Per informazioni dettagliate sulle funzionalità di scansione disponibili e su altri prodotti di sicurezza supportati, consulta Come funziona la dashboard della postura di sicurezza in questo documento.
Se utilizzi i parchi risorse con GKE Enterprise, la dashboard mostra anche eventuali problemi rilevati per i cluster, inclusi i cluster nel parco risorse del progetto e i cluster autonomi. Per passare alla dashboard e visualizzare la postura di una flotta specifica, seleziona il progetto host per quella flotta dal menu a discesa del selettore progetti nella console Google Cloud . Se il progetto selezionato ha abilitato l'API Container Security, la dashboard mostra i risultati per tutti i cluster membri del parco progetti.
Problemi
La scheda Problemi elenca i problemi di sicurezza attivi che GKE rileva durante la scansione dei cluster e dei workload. Questa pagina mostra solo i problemi relativi alle funzionalità di postura di sicurezza descritte in Attivazione di funzionalità specifiche del cluster in questo documento. Se utilizzi i parchi risorse con GKE Enterprise, puoi visualizzare i problemi relativi ai cluster membri del parco risorse e ai cluster GKE autonomi di proprietà del progetto selezionato.
Valutazioni della gravità
Ove applicabile, GKE assegna una classificazione della gravità ai problemi rilevati. Puoi utilizzare queste valutazioni per determinare l'urgenza con cui devi risolvere il problema. GKE utilizza i seguenti livelli di gravità, che si basano sulla scala di valutazione qualitativa della gravità CVSS:
- Critico: agisci immediatamente. Un attacco porterà a un incidente.
- Alto: agisci tempestivamente. Un attacco molto probabilmente porterà a un incidente.
- Medio: agisci al più presto. Un attacco probabilmente porterà a un incidente.
- Bassa: agisci in un secondo momento. Un attacco potrebbe portare a un incidente.
La velocità precisa della tua risposta ai problemi dipende dal modello di minaccia e dalla tolleranza al rischio della tua organizzazione. Le valutazioni della gravità sono una linea guida qualitativa per aiutarti a sviluppare un piano di risposta agli incidenti completo.
Tabella dei problemi
La tabella Problemi mostra tutti i problemi rilevati da GKE. Puoi modificare la visualizzazione predefinita per raggruppare i risultati in base al tipo di problema, allo spazio dei nomi Kubernetes o ai carichi di lavoro interessati. Puoi utilizzare il riquadro del filtro per filtrare i risultati in base a valutazione della gravità, tipo di problema, Google Cloud località e nome del cluster. Per visualizzare i dettagli di un problema specifico, fai clic sul nome del problema.
Riquadro dei dettagli del problema
Quando fai clic su un problema nella tabella Problemi, si apre il riquadro dei dettagli del problema. Questo riquadro fornisce una descrizione dettagliata del problema e informazioni pertinenti, ad esempio le versioni del sistema operativo interessate per le vulnerabilità, i link CVE o i rischi associati a un problema di configurazione specifico. Il riquadro dei dettagli
fornisce un'azione consigliata, se applicabile. Ad esempio, un carico di lavoro che imposta
runAsNonRoot: false restituirebbe la modifica consigliata da apportare alla
specifica del pod per mitigare il problema.
La scheda Risorse interessate nel riquadro dei dettagli del problema mostra un elenco dei workload nei cluster registrati interessati dal problema.
Impostazioni
La scheda Impostazioni consente di configurare funzionalità di postura di sicurezza specifiche del cluster, come il controllo della configurazione dei workload, sui cluster GKE idonei nel progetto o nel parco risorse. Puoi visualizzare lo stato di attivazione di funzionalità specifiche per ogni cluster e modificare la configurazione per i cluster idonei. Se utilizzi i parchi risorse con GKE Enterprise, puoi anche vedere se i cluster membri del parco risorse hanno le stesse impostazioni della configurazione a livello di parco risorse.
Flusso di lavoro di esempio
Questa sezione è un esempio del flusso di lavoro per un amministratore del cluster che vuole analizzare i workload in un cluster per rilevare problemi di configurazione della sicurezza, ad esempio privilegi di root.
- Registra il cluster nella scansione della postura di sicurezza di Kubernetes utilizzando la consoleGoogle Cloud .
- Controlla la dashboard della postura di sicurezza per i risultati della scansione, che potrebbero richiedere fino a 30 minuti per essere visualizzati.
- Fai clic sulla scheda Problemi per aprire i risultati dettagliati.
- Seleziona il filtro per il tipo di problema Configurazione.
- Fai clic su un problema nella tabella.
- Nel riquadro dei dettagli del problema, prendi nota della modifica alla configurazione consigliata e aggiorna la specifica del pod con il consiglio.
- Applica la specifica del pod aggiornata al cluster.
La volta successiva che viene eseguita la scansione, la dashboard della postura di sicurezza non mostra più il problema che hai risolto.
Passaggi successivi
- Scopri di più sul controllo della configurazione del workload
- Scopri come attivare la scansione automatica dei workload per individuare problemi di configurazione