En esta página, se muestra cómo encontrar amenazas activas en los clústeres de Google Kubernetes Engine (GKE) edición Enterprise que se ejecutan en Google Cloud y obtener recomendaciones de mitigación prácticas. La detección de amenazas de GKE es una función avanzada del panel de postura de seguridad de GKE. Para obtener más información, consulta Acerca de la detección de amenazas de GKE.
La detección de amenazas de GKE solo está disponible en proyectos que usan GKE Enterprise y tienen clústeres de GKE aptos.
Precios
La detección de amenazas de GKE se ofrece sin costo adicional a través de GKE Enterprise.
Antes de comenzar
- Asegúrate de ser un usuario de GKE Enterprise. Para configurar GKE Enterprise, consulta Habilita GKE Enterprise.
Habilita la API de seguridad de contenedores.
Asegúrate de tener un clúster de GKE existente que esté registrado en una flota. Para crear y registrar un clúster nuevo, consulta Cómo registrar un clúster nuevo.
Consideraciones antes de habilitar la detección de amenazas de GKE
La habilitación de la detección de amenazas de GKE también habilita las siguientes capacidades de la función de análisis de posturas de seguridad de Kubernetes. Estas características también se ofrecen sin costo adicional.
- Auditoría de la configuración de las cargas de trabajo
- Presentación del boletín de seguridad (vista previa)
Además, cuando habilitas la detección de amenazas de GKE en un clúster de tu proyecto, también habilitas los siguientes componentes de Security Command Center en el proyecto. Si deseas quitar la detección de amenazas de GKE de tu proyecto más adelante, debes inhabilitar estos componentes de forma individual.
- API de Security Command Center
- Complemento de Security Command Center para GKE Enterprise
- Cuenta de servicio de Security Command Center
- Cuenta de servicio de detección de amenazas a contenedores
Durante el proceso de habilitación, debes otorgar los siguientes roles de IAM a la cuenta de servicio de Security Command Center y a la cuenta de servicio de Container Threat Detection:
- Cuenta de servicio de Security Command Center: Agente de servicio del centro de seguridad (
roles/securitycenter.serviceAgent) - Cuenta de servicio de Container Threat Detection: Agente de servicio de Container Threat Detection (
roles/containerthreatdetection.serviceAgent)
Habilita la detección de amenazas de GKE en tu proyecto.
Debes habilitar la detección de amenazas de GKE en tu proyecto antes de habilitarla en tus clústeres. Si ya habilitaste la detección de amenazas de GKE, omite este paso.
Ve a la página Postura de seguridad en la consola de Google Cloud.
En el mosaico Amenaza, haz clic en Habilitar detección de amenazas.
Revisa los permisos y los roles de IAM que otorgarás y, luego, haz clic en Otorgar roles y habilitar la detección de amenazas. Esto habilita la detección de amenazas de GKE en tu proyecto.
Para inscribir clústeres en la detección de amenazas de GKE, haz clic en Seleccionar clústeres en la página de configuración y, luego, haz lo siguiente:
- Selecciona las casillas de verificación de los clústeres que deseas inscribir en la de detección de amenazas de GKE.
- En el menú desplegable Seleccionar acción, selecciona Establecer en Avanzada.
- Haz clic en Aplicar.
Habilita la detección de amenazas de GKE en clústeres individuales
Si ya habilitaste la detección de amenazas de GKE en tu proyecto, puedes habilitarla en clústeres existentes que estén registrados en una flota mediante la consola de Google Cloud o Google Cloud CLI.
Console
Ve a la página Postura de seguridad en la consola de Google Cloud.
Haz clic en la pestaña Configuración.
En la sección Clústeres habilitados para la postura de seguridad, haz clic en Seleccionar clústeres.
Selecciona las casillas de verificación de los clústeres en los que deseas habilitar la detección de amenazas de GKE.
En el menú desplegable Seleccionar acción, selecciona Establecer en Avanzada.
Haz clic en Aplicar.
gcloud
Ejecuta el siguiente comando:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=enterprise
Reemplaza lo siguiente:
CLUSTER_NAME: Es el nombre del clúster de GKE.LOCATION: La ubicación de Compute Engine del clúster.
Visualiza los resultados de la detección de amenazas de GKE y realiza acciones
Después de habilitar esta función, puede tardar hasta 15 minutos en comenzar a ver los resultados. GKE muestra los resultados en el panel de postura de seguridad y agrega entradas de forma automática a los registros del clúster.
Ver resultados
Para ver una descripción general de los problemas descubiertos en los clústeres y cargas de trabajo de tu proyecto, haz lo siguiente:
Ve a la página Postura de seguridad en la consola de Google Cloud.
Haz clic en la pestaña Problemas.
En el panel Filtrar problemas, en la sección Tipo de problema, selecciona la casilla de verificación Amenaza. También puedes expandir la sección Amenaza para filtrar por subcategorías como el tipo MITRE ATT&CK®.
Para ver los detalles de un resultado de amenaza individual, haz clic en la descripción de ese resultado. Se abrirá el panel de detalles de resultados y aparecerá la siguiente información:
- Detalles sobre la amenaza, como la gravedad y el estado
- Recomendaciones para mitigar la amenaza
- Una lista de los recursos afectados en los clústeres inscritos
Visualiza los resultados en Security Command Center
Si usas el nivel Premium de Security Command Center, puedes ver los resultados de la detección de amenazas de GKE como resultados THREAT.
Ve a la página Amenazas en la consola de Google Cloud:
Inhabilita la detección de amenazas de GKE
Puedes inhabilitar la detección de amenazas de GKE en tus clústeres. Para inhabilitar la detección de amenazas de GKE en tu proyecto, debes quitar de forma manual los componentes individuales de Security Command Center que se crearon cuando habilitaste la función.
Inhabilita la detección de amenazas de GKE en los clústeres
Puedes inhabilitar la detección de amenazas de GKE en los clústeres con gcloud CLI o la consola de Google Cloud.
Console
Ve a la página Postura de seguridad en la consola de Google Cloud.
Haz clic en la pestaña Configuración.
En la sección Clústeres habilitados para la postura de seguridad, haz clic en Seleccionar clústeres.
Selecciona las casillas de verificación de los clústeres en los que deseas inhabilitar la detección de amenazas de GKE.
En el menú desplegable Seleccionar acción, realiza una de las siguientes acciones:
- Recomendado: Para inhabilitar la detección de amenazas de GKE, pero mantener otras funciones como la auditoría de configuración, selecciona Establecer como básico.
- Para inhabilitar todas las funciones de análisis de posturas de seguridad de Kubernetes, selecciona Configurar como inhabilitado.
Haz clic en Aplicar.
gcloud
Ejecuta el siguiente comando:
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=TIER
Reemplaza lo siguiente:
CLUSTER_NAME: el nombre del clústerLOCATION: Es la ubicación del clúster.TIER: el nivel de postura de seguridad de Kubernetes. Debe ser una de las siguientes opciones:standard(recomendado): Inhabilita la detección de amenazas de GKE, pero mantén otras funciones de análisis de posturas de seguridad de Kubernetes.disabled: Inhabilita todas las funciones de análisis de postura de seguridad de Kubernetes en el clúster, incluida la auditoría de configuración.