Individua le minacce nei cluster utilizzando GKE Threat Detection

Questa pagina mostra come trovare le minacce attive nella versione Google Kubernetes Engine (GKE) Enterprise cluster in esecuzione su Google Cloud e ottenere una mitigazione fruibile personalizzati. Il rilevamento delle minacce per GKE è una funzionalità avanzata della postura di sicurezza di GKE. Per ulteriori informazioni, consulta Informazioni sul rilevamento delle minacce per GKE.

Il rilevamento delle minacce per GKE è disponibile solo nei progetti che utilizzano GKE Enterprise e disporre di cluster GKE idonei.

Prezzi

Il rilevamento delle minacce per GKE è offerto senza costi aggiuntivi tramite con GKE Enterprise.

Prima di iniziare

1. Assicurati di essere un utente di GKE Enterprise. Per configurare GKE Enterprise, consulta Abilitare GKE Enterprise.

2. Abilita l'API Container Security.

   Abilita API Container Security

3. Assicurati di avere un cluster GKE esistente registrato in un parco risorse. Per creare e registrare un nuovo cluster, consulta Registra un nuovo cluster.

Considerazioni da fare prima di abilitare GKE Threat Detection

L'abilitazione del rilevamento delle minacce per GKE abilita anche di Kubernetes della funzionalità di analisi della security posture di Kubernetes. Queste funzionalità sono inoltre disponibili senza costi aggiuntivi.

• Controllo della configurazione del carico di lavoro
• Visualizzazione del bollettino sulla sicurezza (anteprima)

Inoltre, quando abiliti il rilevamento delle minacce per GKE su un cluster nel tuo progetto, abiliti anche i seguenti componenti di Security Command Center del progetto. Se vuoi rimuovere il rilevamento delle minacce per GKE dal tuo in seguito, dovrai disabilitare questi componenti singolarmente.

• API Security Command Center
• Componente aggiuntivo Security Command Center per GKE Enterprise
• Account di servizio Security Command Center
• Account di servizio Container Threat Detection

Durante il processo di abilitazione, concedi i seguenti ruoli IAM all'account di servizio Security Command Center e al servizio Container Threat Detection :

• Account di servizio Security Command Center: Agente di servizio Security Center (roles/securitycenter.serviceAgent)
• Account di servizio Container Threat Detection: Agente di servizio Container Threat Detection (roles/containerthreatdetection.serviceAgent)

Abilita il rilevamento delle minacce per GKE nel tuo progetto

Devi abilitare il rilevamento delle minacce per GKE nel tuo progetto prima lo abiliti nei tuoi cluster. Se l'hai già attivata Rilevamento delle minacce per GKE, salta questo passaggio.

1. Vai alla pagina Security posture nella console Google Cloud:

   Vai a Security posture

2. Nel riquadro Minaccia, fai clic su Abilita rilevamento delle minacce.

3. Esamina le autorizzazioni e i ruoli IAM che concederai e quindi fai clic su Concedi ruoli e abilita Threat Detection. Ciò consente il rilevamento delle minacce per GKE nel tuo progetto.

4. Per registrare i cluster in GKE Threat Detection, fai clic su Seleziona i cluster nella pagina delle impostazioni, quindi:

   1. Seleziona le caselle di controllo relative ai cluster a cui vuoi registrarti il rilevamento delle minacce per GKE.
   2. Nel menu a discesa Seleziona azione, scegli Imposta su Avanzata.
   3. Fai clic su Applica.

Abilita il rilevamento delle minacce per GKE su singoli cluster

Se hai già abilitato il rilevamento delle minacce a GKE nel tuo progetto, abilitare il rilevamento delle minacce nei cluster esistenti registrati in un del parco risorse utilizzando la console Google Cloud o Google Cloud CLI.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=enterprise

Visualizza e intervieni sui risultati del rilevamento delle minacce per GKE

Dopo aver attivato questa funzionalità, potrebbero essere necessari fino a 15 minuti prima che venga visualizzata che consentono di analizzare i dati e visualizzare i risultati. GKE visualizza i risultati la dashboard della security posture e aggiunge automaticamente voci al cluster logaritmi.

Visualizza risultati

Per vedere una panoramica dei problemi rilevati nei cluster del progetto carichi di lavoro, segui questi passaggi:

1. Vai alla pagina Security posture nella console Google Cloud.

   Vai a Security posture

2. Fai clic sulla scheda Problemi.

3. Nel riquadro Filtra i problemi, nella sezione Tipo di problema, seleziona la Casella di controllo Minaccia. Puoi anche espandere la sezione Minaccia per filtrare in base a come il tipo MITRE ATT&CK®.

4. Per visualizzare i dettagli di un singolo risultato di minaccia, fai clic sulla descrizione della quel risultato. Si apre il riquadro dei dettagli del risultato, che include le seguenti informazioni informazioni:

   • Dettagli sulla minaccia, come gravità e stato
   • Consigli per mitigare la minaccia
   • Un elenco delle risorse interessate nei cluster registrati

Visualizza i risultati in Security Command Center

Se utilizzi il livello Premium di Security Command Center, puoi visualizzare Risultati del rilevamento delle minacce per GKE come risultati di THREAT.

Vai alla pagina Minacce nella console Google Cloud:

Vai a Minacce

Disabilita rilevamento delle minacce per GKE

Puoi disabilitare il rilevamento delle minacce per GKE nei tuoi cluster. Per disattivare GKE Threat Detection sul tuo progetto, devi rimuoverlo manualmente i singoli componenti di Security Command Center creati quando hai abilitato la caratteristica.

Disabilita il rilevamento delle minacce per GKE nei cluster

Puoi disabilitare il rilevamento delle minacce per GKE nei cluster utilizzando con gcloud CLI o la console Google Cloud.

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=TIER

Passaggi successivi

• Scopri di più sul rilevamento delle minacce per GKE