이 페이지에서는 Google Cloud에서 실행 중인 Google Kubernetes Engine(GKE) Enterprise 버전 클러스터에서 활성 위협을 찾고 실행 가능한 해결 권장사항을 가져오는 방법을 보여줍니다. GKE Threat Detection은 GKE 보안 상태 대시보드의 고급 기능입니다. 자세한 내용은 GKE Threat Detection 정보를 참조하세요.
GKE Threat Detection은 GKE Enterprise를 사용하고 적격한 GKE 클러스터가 있는 프로젝트에서만 사용할 수 있습니다.
가격 책정
GKE Threat Detection은 GKE Enterprise를 통해 추가 비용 없이 제공됩니다.
시작하기 전에
- GKE Enterprise 사용자인지 확인합니다. GKE Enterprise를 설정하려면 GKE Enterprise 사용 설정을 참고하세요.
Container Security API를 사용 설정합니다.
Fleet에 등록된 기존 GKE 클러스터가 있는지 확인합니다. 새 클러스터를 만들고 등록하려면 새 클러스터 등록을 참고하세요.
GKE Threat Detection을 사용 설정하기 전 고려사항
GKE Threat Detection을 사용 설정하면 Kubernetes 보안 상태 스캔 기능의 다음 기능도 사용 설정됩니다. 이러한 기능도 추가 비용 없이 제공됩니다.
- 워크로드 구성 감사
- 보안 게시판 표시(미리보기)
또한 프로젝트의 클러스터에서 GKE Threat Detection을 사용 설정하면 프로젝트에서 다음 Security Command Center 구성요소도 사용 설정됩니다. 나중에 프로젝트에서 GKE Threat Detection을 삭제하려면 이러한 구성요소를 개별적으로 사용 중지해야 합니다.
- Security Command Center API
- GKE Enterprise용 Security Command Center 부가기능
- Security Command Center 서비스 계정
- Container Threat Detection 서비스 계정
사용 설정 프로세스 중에 Security Command Center 서비스 계정 및 Container Threat Detection 서비스 계정에 다음 IAM 역할을 부여합니다.
- Security Command Center 서비스 계정: Security Center 서비스 에이전트(
roles/securitycenter.serviceAgent
) - Container Threat Detection 서비스 계정: Container Threat Detection 서비스 에이전트(
roles/containerthreatdetection.serviceAgent
)
프로젝트에서 GKE Threat Detection 사용 설정
클러스터에서 GKE Threat Detection을 사용 설정하기 전에 프로젝트에서 GKE Threat Detection을 사용 설정해야 합니다. GKE Threat Detection을 이미 사용 설정한 경우 이 단계를 건너뜁니다.
Google Cloud 콘솔에서 보안 상태 페이지로 이동합니다.
위협 타일에서 Threat Detection 사용 설정을 클릭합니다.
부여할 권한과 IAM 역할을 검토한 다음 역할 부여 및 Threat Detection 사용 설정을 클릭합니다. 이렇게 하면 프로젝트에서 GKE Threat Detection이 사용 설정됩니다.
GKE Threat Detection에 클러스터를 등록하려면 설정 페이지에서 클러스터 선택을 클릭한 후 다음을 수행합니다.
- GKE Threat Detection에 등록하려는 클러스터의 체크박스를 선택합니다.
- 작업 선택 드롭다운에서 고급으로 설정을 선택합니다.
- 적용을 클릭합니다.
개별 클러스터에서 GKE Threat Detection 사용 설정
프로젝트에서 이미 GKE Threat Detection을 사용 설정한 경우 Google Cloud 콘솔 또는 Google Cloud CLI를 사용하여 Fleet에 등록된 기존 클러스터에서 위협 감지를 사용 설정할 수 있습니다.
Console
Google Cloud 콘솔에서 보안 상태 페이지로 이동합니다.
설정 탭을 클릭합니다.
보안 상태 사용 설정 클러스터 섹션에서 클러스터 선택을 클릭합니다.
GKE Threat Detection을 사용 설정하려는 클러스터의 체크박스를 선택합니다.
작업 선택 드롭다운에서 고급으로 설정을 선택합니다.
적용을 클릭합니다.
gcloud
다음 명령어를 실행합니다.
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=enterprise
다음을 바꿉니다.
CLUSTER_NAME
: GKE 클러스터의 이름입니다.LOCATION
: 클러스터의 Compute Engine 위치입니다.
GKE Threat Detection 결과 보기 및 작업
이 기능을 사용 설정한 후 결과가 표시되기까지 최대 15분이 걸릴 수 있습니다. GKE는 보안 상태 대시보드에 결과를 표시하고 클러스터 로그에 자동으로 항목을 추가합니다.
결과 보기
프로젝트 클러스터와 워크로드에서 발견된 문제에 대한 개요를 확인하려면 다음을 수행합니다.
Google Cloud 콘솔에서 보안 상태 페이지로 이동합니다.
문제 탭을 클릭합니다.
필터 문제 창의 문제 유형 섹션에서 위협 체크박스를 선택합니다. 또한 위협 섹션을 펼쳐 MITRE ATT&CK® 유형과 같은 하위 카테고리별로 필터링할 수 있습니다.
개별 위협 발견 항목에 대한 세부정보를 보려면 해당 발견 항목의 설명을 클릭합니다. 발견 항목 세부정보 창이 열리고 다음 정보가 포함됩니다.
- 위협에 대한 세부정보(예: 심각도 및 상태)
- 위협 완화를 위한 권장사항
- 등록된 클러스터 전체에서 영향을 받는 리소스 목록
Security Command Center에서 결과 보기
Security Command Center의 프리미엄 등급을 사용하는 경우 GKE Threat Detection 결과를 THREAT
발견 항목으로 볼 수 있습니다.
Google Cloud 콘솔에서 위협 페이지로 이동합니다.
발견된 문제의 로그 보기
GKE는 발견된 문제마다 항목을 Logging의 _Default
로그 버킷에 추가합니다. 이러한 로그는 특정 기간 동안만 보관됩니다. 자세한 내용은 로그 보관 기간을 참조하세요.
Google Cloud 콘솔에서 로그 탐색기로 이동합니다.
로그 탐색기로 이동쿼리 필드에 다음 쿼리를 지정합니다.
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_THREAT"
쿼리 실행을 클릭합니다.
GKE가 Logging에 새 발견 항목을 추가할 때 알림을 받으려면 이 쿼리에 대한 로그 기반 알림을 설정합니다. 자세한 내용은 로그 기반 알림 구성을 참조하세요.
GKE Threat Detection 사용 중지
클러스터에서 GKE Threat Detection을 사용 중지할 수 있습니다. 프로젝트에서 GKE Threat Detection을 사용 중지하려면 이 기능을 사용 설정할 때 생성된 개별 Security Command Center 구성요소를 수동으로 삭제해야 합니다.
클러스터에서 GKE Threat Detection 사용 중지
gcloud CLI 또는 Google Cloud 콘솔을 사용하여 클러스터에서 GKE Threat Detection을 사용 중지할 수 있습니다.
Console
Google Cloud 콘솔에서 보안 상태 페이지로 이동합니다.
설정 탭을 클릭합니다.
보안 상태 사용 설정 클러스터 섹션에서 클러스터 선택을 클릭합니다.
GKE Threat Detection을 사용 중지하려는 클러스터의 체크박스를 선택합니다.
작업 선택 드롭다운에서 다음 중 하나를 수행합니다.
- 권장: GKE Threat Detection을 사용 중지하지만 구성 감사와 같은 다른 기능은 유지하려면 기본으로 설정을 선택합니다.
- 모든 Kubernetes 보안 상태 스캔 기능을 사용 중지하려면 사용 중지됨으로 설정을 선택합니다.
적용을 클릭합니다.
gcloud
다음 명령어를 실행합니다.
gcloud container clusters update CLUSTER_NAME \
--location=LOCATION \
--security-posture=TIER
다음을 바꿉니다.
CLUSTER_NAME
: 클러스터의 이름입니다.LOCATION
: 클러스터의 위치입니다.TIER
: Kubernetes 보안 상태 등급입니다. 다음 중 하나여야 합니다.standard
(권장): GKE Threat Detection을 사용 중지하지만 다른 Kubernetes 보안 상태 스캔 기능을 유지합니다.disabled
: 구성 감사를 포함하여 클러스터에서 모든 Kubernetes 보안 상태 스캔 기능을 사용 중지합니다.