À propos de GKE Threat Detection


Cette page décrit la détection des menaces GKE, qui vous permet d'analyser vos clusters GKE éligibles pour détecter les menaces actives dans le tableau de bord de stratégie de sécurité GKE. Le tableau de bord de stratégie de sécurité GKE vous permet d'activer diverses fonctionnalités d'analyse et d'audit dans les clusters GKE éligibles et affiche des recommandations exploitables pour vous aider à résoudre les problèmes de sécurité.

Fonctionnement

La détection des menaces GKE est une fonctionnalité avancée de tableau de bord de stratégie de sécurité GKE disponible pour les utilisateurs de GKE Enterprise. Lorsque vos clusters GKE sont enregistrés dans un parc, la détection des menaces GKE évalue vos journaux d'audit GKE dans Cloud Logging par rapport à un ensemble de règles prédéfinies pour les menaces de clusters et de charges de travail. Si une menace est détectée, un résultat s'affiche dans le tableau de bord de stratégie de sécurité GKE avec une description de la menace, son impact potentiel et les actions recommandées pour atténuer la menace.

Tous les clusters GKE enregistrés de votre parc sont analysés en permanence pour détecter les menaces actives. Nous classons les menaces détectées à l'aide des tactiques MITRE ATT&CK®.

La détection des menaces GKE est basée sur le service Event Threat Detection de Security Command Center. Dans le tableau de bord de stratégie de sécurité GKE, seul le sous-ensemble de règles qui s'applique à GKE est évalué.

Fonctionnalités de stratégie de sécurité GKE incluses

La détection des menaces GKE est fournie avec le niveau avancé d'analyse de la stratégie de sécurité Kubernetes. Lorsque vous activez la détection des menaces GKE dans un cluster, vous activez également les fonctionnalités d'analyse suivantes:

Utilisation dans le cadre d'une stratégie de sécurité globale

La détection des menaces GKE est l'un des différents produits d'observabilité de la sécurité que vous devez utiliser dans votre environnement. Nous vous recommandons vivement d'utiliser d'autres fonctionnalités du tableau de bord de stratégie de sécurité GKE, telles que l'analyse des failles, pour vous assurer de surveiller vos clusters afin de détecter divers problèmes de sécurité. Pour en savoir plus, consultez la page À propos du tableau de bord de stratégie de sécurité dans la documentation de GKE.

Nous vous recommandons également de mettre en œuvre autant de mesures de sécurité que possible dans la section Renforcer la sécurité des clusters pour vos clusters et vos charges de travail.

Tarifs

La détection des menaces GKE est offerte gratuitement via GKE Enterprise.

Règles prédéfinies de détection des menaces GKE

Le tableau suivant décrit les règles d'évaluation par rapport auxquelles la détection des menaces GKE évalue vos journaux d'audit GKE:

Nom à afficher Nom de l'API Types de sources de journal Description
Defense Evasion: Déploiement de charges de travail en mode "bris de glace" crééBêta BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Journaux d'audit Cloud :
Journaux des activités d'administration
Détecte le déploiement de charges de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire.
Defense Evasion: Déploiement de charges de travail en mode "bris de glace" crééBêta BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Journaux d'audit Cloud :
Journaux des activités d'administration
Détecte les mises à jour de charge de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire.
Découverte : vérification des objets Kubernetes sensibles GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit Logs :
Journaux d'accès aux données GKE

Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande kubectl auth can-i get. Plus précisément, la règle détecte si l'acteur a vérifié l'accès à l'API sur les objets suivants :

Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit Logs:
Journaux des activités d'administration GKE
Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) ClusterRole, RoleBinding ou ClusterRoleBinding du rôle sensible cluster-admin à l'aide d'une requête PUT ou PATCH.
Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit Logs:
Journaux des activités d'administration GKE
Une personne potentiellement malveillante a créé une requête de signature de certificat (CSR) maître Kubernetes, qui lui permet de disposer de l'accès cluster-admin.
Élévation des privilèges : création de liaisons Kubernetes sensibles GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Pour élever un privilège, une personne potentiellement malveillante a tenté de créer un objet RoleBinding ou ClusterRoleBinding pour le rôle cluster-admin.
Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit Logs :
Journaux d'accès aux données GKE
Une personne potentiellement malveillante a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis.
Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit Logs:
Journaux des activités d'administration GKE

Une personne potentiellement malveillante a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits.

Le champ privileged d'un conteneur privilégié est défini sur true. Le champ allowPrivilegeEscalation d'un conteneur doté de fonctionnalités d'élévation des privilèges.est défini sur true. Pour en savoir plus, consultez la documentation de référence de l'API SecurityContext v1 Core dans la documentation de Kubernetes.

Accès aux identifiants : accès aux secrets dans l'espace de noms Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit Logs :
Journaux d'accès aux données GKE
Détecte l'accès à des secrets ou des jetons de compte de service par un compte de service dans l'espace de noms Kubernetes actuel.
Accès initial : ressource GKE anonyme créée à partir d'Internet Bêta GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Journaux des activités d'administration GKE
Détecte les événements de création de ressources provenant d'utilisateurs Internet anonymes.
Accès initial : ressource GKE modifiée anonymement à partir d'Internet Bêta GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Journaux des activités d'administration GKE
Détecte les événements de manipulation de ressources provenant d'utilisateurs Internet anonymes.

Activer la détection des menaces GKE

Pour activer la détection des menaces GKE, vous devez enregistrer un cluster éligible au niveau avancé d'analyse de la stratégie de sécurité Kubernetes. Cela active également toutes les fonctionnalités incluses dans le niveau de base d'analyse de la stratégie de sécurité Kubernetes, telles que l'audit de la configuration des charges de travail et l'affichage des bulletins de sécurité.

Pour en savoir plus, consultez la page Identifier les menaces dans les clusters à l'aide de la détection des menaces GKE.

Limites

Les limites suivantes s'appliquent à la détection des menaces GKE:

  • Disponible uniquement dans GKE Enterprise.
  • Disponible uniquement pour les projets des organisations.
  • Non compatible avec les options de Security Command Center, telles que la configuration de la résidence des données.
  • Affiche uniquement les résultats des clusters enregistrés sur un parc.
  • GKE conserve les résultats de menaces qui ne sont plus associées à des ressources affectées pendant 180 jours maximum.
  • Affiche uniquement les résultats des clusters existants. Si vous supprimez un cluster, la détection des menaces GKE n'affiche plus le résultat dans le tableau de bord de stratégie de sécurité GKE.

Étapes suivantes