Encontrar ameaças em clusters usando o GKE Threat Detection


Nesta página, mostramos como encontrar ameaças ativas nos clusters do Google Kubernetes Engine (GKE) edição Enterprise em execução no Google Cloud e receber recomendações acionáveis de mitigação. O GKE Threat Detection é um recurso avançado do painel de postura de segurança do GKE. Para mais informações, consulte Sobre o GKE Threat Detection.

O GKE Threat Detection está disponível apenas em projetos que usam o GKE Enterprise e têm clusters do GKE qualificados.

Preços

O GKE Threat Detection é oferecido sem custo financeiro adicional pelo GKE Enterprise.

Antes de começar

  1. Verifique se você já usa o GKE Enterprise. Para configurar o GKE Enterprise, consulte Ativar o GKE Enterprise.
  2. Ative a API Container Security.

    Ativar a API Container Security

  3. Verifique se você já tem um cluster do GKE registrado em uma frota. Para criar e registrar um novo cluster, consulte Registrar um novo cluster.

Considerações antes de ativar o GKE Threat Detection

A ativação do GKE Threat Detection também ativa as seguintes capacidades do recurso de verificação de postura de segurança do Kubernetes. Esses recursos também são oferecidos sem custo financeiro adicional.

Além disso, ao ativar o GKE Threat Detection em um cluster do projeto, você também ativa os seguintes componentes do Security Command Center no projeto. Se você quiser remover o GKE Threat Detection do seu projeto mais tarde, desative esses componentes individualmente.

  • API Security Command Center
  • Complemento do Security Command Center para o GKE Enterprise
  • Conta de serviço do Security Command Center
  • Conta de serviço do Container Threat Detection

Durante o processo de ativação, você concede os seguintes papéis do IAM às contas de serviço do Security Command Center e do Container Threat Detection:

Ativar o GKE Threat Detection no projeto

Ative o GKE Threat Detection no projeto antes de ativá-la nos clusters. Se você já ativou o GKE Threat Detection, pule esta etapa.

  1. Acesse a página Postura de segurança no console do Google Cloud:

    Acessar a postura de segurança

  2. No bloco Ameaça, clique em Ativar detecção de ameaças.

  3. Revise as permissões e os papéis do IAM que você concederá e clique em Conceder papéis e ativar detecção de ameaças. Isso ativa o GKE Threat Detection no projeto.

  4. Para registrar clusters no GKE Threat Detection, clique em Selecionar clusters na página de configurações e faça isto:

    1. Marque as caixas de seleção dos clusters que você quer registrar no GKE Threat Detection.
    2. No menu suspenso Selecionar ação, escolha Definir como avançado.
    3. Clique em Aplicar.

Ativar o GKE Threat Detection em clusters individuais

Se você já ativou o GKE Threat Detection no projeto, será possível ativar a detecção de ameaças nos clusters já existentes que estão registrados em uma frota usando o console do Google Cloud ou a CLI do Google Cloud.

Console

  1. Acesse a página Postura de segurança no console do Google Cloud.

    Acessar a postura de segurança

  2. Clique na guia Configurações.

  3. Na seção Clusters ativados para postura de segurança, clique em Selecionar clusters.

  4. Marque as caixas de seleção dos clusters em que você quer ativar o GKE Threat Detection.

  5. No menu suspenso Selecionar ação, escolha Definir como avançado.

  6. Clique em Aplicar.

gcloud

Execute este comando:

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=enterprise

Substitua:

  • CLUSTER_NAME: o nome do cluster do GKE.
  • LOCATION: o local do Compute Engine do cluster.

Ver e realizar ações em resultados do GKE Threat Detection

Depois de ativar esse recurso, pode levar até 15 minutos para que você comece a ver os resultados. O GKE exibe os resultados no painel de postura de segurança e adiciona automaticamente entradas aos registros do cluster.

Ver resultados

Para uma visão geral das preocupações descobertas nos clusters e nas cargas de trabalho do seu projeto, faça o seguinte:

  1. Acesse a página Postura de segurança no console do Google Cloud.

    Acessar a postura de segurança

  2. Clique na guia Preocupações.

  3. No painel Filtrar preocupações, na seção Tipo de preocupação, marque a caixa de seleção Ameaça. Também é possível expandir a seção Ameaça para filtrar por subcategorias, como o tipo MITRE ATT&CK®.

  4. Para ver detalhes sobre uma descoberta de ameaça individual, clique na descrição dela. O painel de detalhes da descoberta abre com as seguintes informações:

    • Detalhes sobre a ameaça, como gravidade e status
    • Recomendações para mitigar a ameaça
    • Uma lista dos recursos afetados nos clusters registrados

Ver resultados no Security Command Center

Se você usa o nível Premium do Security Command Center, é possível ver os resultados do GKE Threat Detection como descobertas THREAT.

Acesse a página Ameaças no console do Google Cloud:

Acesse Ameaças

Desativar o GKE Threat Detection

É possível desativar o GKE Threat Detection nos clusters. Para desativar o GKE Threat Detection no seu projeto, remova manualmente cada componente do Security Command Center criado ao ativar o recurso.

Desativar o GKE Threat Detection em clusters

É possível desativar o GKE Threat Detection em clusters usando a gcloud CLI ou o console do Google Cloud.

Console

  1. Acesse a página Postura de segurança no console do Google Cloud.

    Acessar a postura de segurança

  2. Clique na guia Configurações.

  3. Na seção Clusters ativados para postura de segurança, clique em Selecionar clusters.

  4. Marque as caixas de seleção dos clusters em que você quer desativar o GKE Threat Detection.

  5. No menu suspenso Selecionar ação, siga um destes procedimentos:

    • Recomendado: para desativar o GKE Threat Detection, mas manter outros recursos, como a auditoria de configuração, selecione Definir como básico.
    • Para desativar todos os recursos de verificação de postura de segurança do Kubernetes, selecione Definir como desativado.
  6. Clique em Aplicar.

gcloud

Execute este comando:

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=TIER

Substitua:

  • CLUSTER_NAME: o nome do cluster.
  • LOCATION: O local do cluster.
  • TIER: o nível de postura de segurança do Kubernetes. Precisa ser um destes:

    • standard (recomendado): desativar GKE Threat Detection, mas manter outros recursos de verificação de postura de segurança do Kubernetes.
    • disabled: desativar todos os recursos de verificação de postura de segurança do Kubernetes no cluster, incluindo a auditoria de configuração.

A seguir