本頁將簡要介紹Google Cloud 控制台中的安全防護機制資訊主頁,這個頁面會提供具體可行的建議,協助您提升安全防護機制。如要自行探索資訊主頁,請前往 Google Cloud 控制台的「安全狀態」頁面。
使用安全防護機制資訊主頁的時機
如果您是叢集管理員或安全管理員,想要自動偵測多個叢集和工作負載中常見的安全疑慮,並加以回報,而且幾乎不會干擾執行中的應用程式,或導致應用程式服務中斷,就應該使用安全防護機制資訊主頁。安全防護機制資訊主頁與 Cloud Logging、Policy Controller 和二進位授權等產品整合,可協助您更清楚掌握安全防護機制。
如果您使用 VPC Service Controls,也可以更新服務範圍,將 containersecurity.googleapis.com 新增至服務清單,藉此保護安全性狀態資訊主頁。
安全防護機制資訊主頁不會變更共同責任模式下的任何 Google 或您的責任。您仍有責任保護自己的工作負載。
做為廣泛安全策略的一環
安全防護機制資訊主頁會提供軟體推送生命週期執行階段的工作負載安全防護機制洞察資訊。如要全面掌握應用程式在整個生命週期 (從來源控制到維護) 的情況,建議您搭配使用儀表板和其他安全工具。
GKE 提供下列工具,可在 Google Cloud 控制台中監控安全性和法規遵循情形:
- 安全防護機制資訊主頁適用於 GKE Standard 級別和 GKE Enterprise 級別。
GKE 法規遵循資訊主頁 (預覽版) 適用於 GKE Enterprise 方案。詳情請參閱「關於 GKE 法規遵循資訊主頁」。
如要進一步瞭解其他可用工具,以及保護應用程式端對端的最佳做法,請參閱「保護軟體供應鏈」。
此外,我們也強烈建議您盡可能實作「強化叢集安全性」中的建議。
安全防護機制資訊主頁的運作方式
如要使用安全防護機制資訊主頁,請在專案中啟用 Container Security API。資訊主頁會顯示 GKE 內建功能和專案中執行的特定 Google Cloud 安全性產品提供的洞察資訊。
啟用叢集專屬功能
安全防護機制資訊主頁中的 GKE 專屬功能可分為以下幾類:
Kubernetes 安全防護機制:叢集內 Kubernetes 物件和資源的安全防護機制,例如 Pod 規格。詳情請參閱「關於 Kubernetes 安全防護機制掃描」。
工作負載安全漏洞掃描:容器作業系統和應用程式語言套件的安全防護機制。詳情請參閱「關於工作負載安全漏洞掃描」。
下表說明叢集專屬功能:
| 特徵名稱 | 可用性 | 隨附功能 |
|---|---|---|
| Kubernetes 安全防護機制 - 標準層級 |
需要 GKE 1.27 以上版本。所有新叢集都會預設啟用這項功能。 |
|
| 工作負載安全漏洞掃描 - 標準層級 | 所有新叢集都會預設停用這項功能。 |
|
| 工作負載安全漏洞掃描 - 進階安全漏洞分析 | 所有新叢集都會預設停用這項功能。 |
您可以為獨立 GKE 叢集或機群成員叢集啟用這些功能。安全防護機制資訊主頁可讓您同時監控所有叢集,包括機群主專案中的所有機群成員。
整合 Security Command Center
如果您在機構或專案中啟用 Security Command Center,Security Command Center 就會顯示安全防護機制資訊主頁的發現項目。如要進一步瞭解安全防護機制資訊主頁上顯示的 Security Command Center 發現項目,請參閱「安全來源」。
此外,如果您在機構或專案中啟用 Security Command Center 的「進階」或「企業」服務層級,安全狀況資訊主頁就會顯示「主要威脅」窗格。這個窗格會依嚴重程度和類別,彙整影響 GKE 工作負載的主要威脅。
如要在專案中啟用 Security Command Center Premium 級別,請按照下列步驟操作:
前往 Google Cloud 控制台的「GKE Security Posture」(GKE 安全防護機制) 頁面。
找出「樣本威脅」窗格。這個窗格會顯示啟用 Security Command Center 後可能出現的安全性發現項目類型範例。這些範例不代表專案中的實際安全性問題。
如果看到名為「Top threats」(重大威脅) 的窗格,表示 Security Command Center 已啟用。你可以略過其餘步驟。
在「範例威脅」窗格中,按一下「免付費試用安全性掃描功能」。 啟用窗格隨即開啟。
按一下「開始免費試用」。
啟用 Security Command Center 後,系統會開始分析或掃描 GKE 工作負載,以及其他 Google Cloud服務的資源。這項初步掃描通常會在幾分鐘或幾小時內完成。
安全防護機制資訊主頁的優點
安全防護機制資訊主頁是基礎安全措施,適用於任何符合資格的 GKE 叢集。 Google Cloud建議您為所有叢集啟用安全防護機制資訊主頁,原因如下:
- 干擾程度極低:功能不會干擾或中斷執行中的工作負載。
- 可做為行動依據的建議:安全防護機制資訊主頁會提供操作項目,協助您修正發現的問題 (如有)。這些動作包括可執行的指令,以及可進行的設定變更範例。
- 視覺化:安全性狀態資訊主頁會以高階視覺化方式呈現影響專案叢集的疑慮,並提供圖表,顯示您取得的進展和各項疑慮的潛在影響。
- 主觀結果:GKE 會根據安全團隊的專業知識和業界標準,為發現的問題指派嚴重程度評分。
- 可稽核的事件記錄:GKE 會將所有發現的問題新增至 Logging,以利產生報表及進行監控。
- 機群可觀測性:如果您已將 GKE 叢集註冊至機群,您可以使用資訊主頁監控專案中的所有叢集,包括機群成員叢集和專案中的任何獨立 GKE 叢集。
GKE 安全防護機制資訊主頁定價
安全防護機制資訊主頁功能的定價如下,適用於獨立 GKE 叢集和車隊 GKE 叢集:
| GKE 安全防護機制資訊主頁定價 | |
|---|---|
| 工作負載設定稽核 | 無須支付額外費用 |
| 顯示安全性公告 | 無須支付額外費用 |
| (已淘汰) 容器 OS 安全漏洞掃描 | 無須支付額外費用 |
| (已淘汰) 進階安全漏洞分析 | 採用 Artifact Analysis 定價。 詳情請參閱 Artifact Analysis 定價頁面的「進階安全漏洞洞察」一節。 |
| Security Command Center 發現項目 | 採用 Security Command Center 定價。 |
新增至 Cloud Logging 的項目會套用 Cloud Logging 定價。不過,視環境規模和發現的問題數量而定,您可能不會超過 Logging 的免費擷取和儲存空間配額。詳情請參閱「記錄定價」。
管理機群安全防護機制
如果您使用 Google Kubernetes Engine (GKE) Enterprise 版的機群,可以使用 gcloud CLI 在機群層級設定 GKE 安全防護機制功能。建立叢集時,註冊為機群成員的 GKE 叢集會自動沿用安全防護機制設定。如果您在變更安全防護機制設定前,叢集已是車隊成員,則這些叢集不會沿用新設定。這個沿用設定會覆寫 GKE 套用至新叢集的預設設定。
啟用 GKE Enterprise 後,安全防護機制資訊主頁會顯示法規遵循稽核結果。合規性稽核會比較叢集和工作負載與業界最佳做法 (例如 Pod 安全性標準),詳情請參閱Policy Controller 套裝組合。
如要瞭解如何變更機群層級的安全防護機制設定,請參閱「在機群層級設定 GKE 安全防護機制資訊主頁功能」。
關於「安全防護機制」頁面
Google Cloud 控制台的「安全狀況」頁面包含下列分頁:
- 資訊主頁:以高階方式呈現掃描結果。 包括圖表和功能專屬資訊。
- 疑慮:詳細且可篩選的檢視畫面,顯示 GKE 在叢集和工作負載中發現的所有疑慮。你可以選取個別問題,查看詳細資料和解決方案。
- 設定:管理個別叢集或機群的安全防護機制功能設定。
資訊主頁
「資訊主頁」分頁會以視覺化方式呈現各種 GKE 安全防護機制掃描結果,以及專案中已啟用的其他Google Cloud 安全產品資訊。如要進一步瞭解可用的掃描功能和其他支援的安全性產品,請參閱本文的「安全防護機制資訊主頁的運作方式」。
如果您使用 GKE Enterprise 機群,資訊主頁也會顯示叢集 (包括專案機群中的叢集和獨立叢集) 發現的任何問題。如要切換資訊主頁,查看特定車隊的狀態,請在 Google Cloud 控制台的專案選取器下拉式選單中,選取該車隊的主專案。如果所選專案已啟用 Container Security API,資訊主頁會顯示該專案機群中所有成員叢集的結果。
疑慮
「Concerns」(疑慮) 分頁會列出 GKE 掃描叢集和工作負載時發現的現有安全疑慮。這個頁面只會顯示本文「叢集專屬功能啟用」一節所述安全性狀態功能的疑慮。如果您使用 GKE Enterprise 機群,可以查看機群成員叢集和所選專案擁有的獨立 GKE 叢集的疑慮。
嚴重性評等
GKE 會視情況為發現的問題指派嚴重性評等。您可以根據這些評分,判斷解決問題的急迫性。GKE 會根據 CVSS 質性嚴重性評分標準,使用下列嚴重性等級:
- 重大:請立即採取行動。攻擊會導致事件。
- 高:請立即採取行動。攻擊很可能導致事件發生。
- 中:請盡快採取行動。攻擊很可能會導致事件發生。
- 低:最終採取行動。攻擊可能會導致事件。
回應疑慮的確切速度取決於貴機構的威脅模型和風險容許度。嚴重程度評分是質性指引,可協助您制定詳盡的事件應變計畫。
疑慮表
「疑慮」表格會顯示 GKE 偵測到的所有疑慮。您可以變更預設檢視畫面,依問題類型、Kubernetes 命名空間或受影響的工作負載分組顯示結果。您可以使用篩選器窗格,依嚴重程度評分、疑慮類型、Google Cloud 位置和叢集名稱篩選結果。如要查看特定問題的詳細資料,請按一下該問題的名稱。
「Concern details」窗格
在「Concerns」(疑慮) 表格中點選疑慮後,系統會開啟疑慮詳細資料窗格。這個窗格會詳細說明問題,並提供相關資訊,例如受漏洞影響的 OS 版本、CVE 連結,或是與特定設定問題相關的風險。詳細資料窗格會提供建議做法 (如有)。舉例來說,如果工作負載設定 runAsNonRoot: false,系統會傳回建議的 Pod 規格變更,協助您解決問題。
在疑慮詳細資料窗格中,「受影響的資源」分頁會列出已註冊叢集中受該疑慮影響的工作負載。
設定
您可以在「設定」分頁中,為專案或機群中符合資格的 GKE 叢集,設定叢集專屬的安全防護機制功能,例如工作負載設定稽核。您可以查看每個叢集特定功能的啟用狀態,並變更符合資格叢集的設定。如果您使用 GKE Enterprise 機群,也可以查看機群成員叢集是否與機群層級設定相同。
工作流程範例
本節提供叢集管理員的工作流程範例,說明如何掃描叢集中的工作負載,找出安全性設定問題,例如根層級權限。
- 使用Google Cloud 控制台,在 Kubernetes 安全防護機制掃描中註冊叢集。
- 查看安全防護機制資訊主頁的掃描結果,最多可能需要 30 分鐘才會顯示。
- 按一下「疑慮」分頁標籤,即可開啟詳細結果。
- 選取「設定」問題類型篩選器。
- 按一下表格中的疑慮。
- 在問題詳細資料窗格中,記下建議的設定變更,並根據建議更新 Pod 規格。
- 將更新後的 Pod 規格套用至叢集。
下次掃描時,安全狀態資訊主頁就不會再顯示您修正的問題。