Questa pagina fornisce una panoramica della dashboard della security posture nella Google Cloud console, che ti fornisce suggerimenti attendibili e strategici per migliorare la tua security posture. Per esplorare la dashboard vai alla pagina Security Posture nella Google Cloud console.
Quando utilizzare la dashboard della security posture
Dovresti utilizzare la dashboard della security posture se sei un amministratore del cluster o un amministratore della sicurezza che vuole automatizzare il rilevamento e il reporting sui problemi di sicurezza comuni in più cluster e workload, con intrusioni e interruzioni minime nelle applicazioni in esecuzione. La dashboard della security posture si integra con prodotti come Cloud Logging e Policy Controller per migliorare la visibilità della tua security posture.
Se utilizzi i Controlli di servizio VPC, puoi anche
aggiornare i perimetri
per proteggere la dashboard della security posture aggiungendo
containersecurity.googleapis.com all'elenco dei servizi.
La dashboard della security posture non cambia le responsabilità tue o di Google secondo quanto previsto dal modello di responsabilità condivisa. Sei comunque responsabile della protezione dei tuoi workload.
Utilizzo nell'ambito di una strategia di sicurezza più ampia
La dashboard della security posture fornisce informazioni sulla security posture del workload nella fase di runtime del ciclo di vita di distribuzione del software. Per ottenere una copertura completa delle applicazioni durante il ciclo di vita, dal controllo del codice sorgente alla manutenzione, ti consigliamo di utilizzare la dashboard con altri strumenti di sicurezza.
GKE offre la dashboard della security posture per monitorare la sicurezza nella Google Cloud console.
Per maggiori dettagli su altri strumenti disponibili e sulle best practice per proteggere le applicazioni end-to-end, consulta Proteggi la catena di fornitura del software.
Ti consigliamo inoltre vivamente di implementare il maggior numero possibile di suggerimenti da Rafforza la sicurezza del cluster.
Come funziona la dashboard della security posture
Per utilizzare la dashboard della security posture, abilita l'API Container Security nel tuo progetto. La dashboard mostra informazioni provenienti dalle funzionalità integrate in GKE e da determinati Google Cloud prodotti di sicurezza in esecuzione nel tuo progetto.
Abilitazione delle funzionalità specifiche del cluster
Le funzionalità specifiche di GKE nella dashboard della security posture sono classificate come segue:
Security posture di Kubernetes: la security posture degli oggetti Kubernetes e delle risorse nel cluster, ad esempio le specifiche dei pod. Per maggiori dettagli, consulta Informazioni sull'analisi della security posture di Kubernetes.
Analisi delle vulnerabilità dei workload: la security posture del sistema operativo del container e dei pacchetti di linguaggio dell'applicazione. Per maggiori dettagli, consulta Informazioni sull'analisi delle vulnerabilità dei workload.
La tabella seguente descrive le funzionalità specifiche del cluster:
| Nome caratteristica | Disponibilità | Funzionalità incluse |
|---|---|---|
| Security posture di Kubernetes - livello Standard |
Richiede GKE 1.27 o versioni successive. Abilitata per impostazione predefinita in tutti i nuovi cluster. |
|
| Analisi delle vulnerabilità dei workload - livello Standard | Disabilitata per impostazione predefinita in tutti i nuovi cluster. |
|
| Analisi delle vulnerabilità dei workload - Advanced Vulnerability Insights | Disabilitata per impostazione predefinita in tutti i nuovi cluster. |
Puoi abilitare queste funzionalità per i cluster GKE autonomi o per i cluster membri del parco risorse. La dashboard della security posture ti consente di osservare tutti i cluster contemporaneamente, inclusi tutti i membri del parco risorse nel progetto host del parco risorse.
Integrazione con Security Command Center
Se attivi Security Command Center nella tua organizzazione o nel tuo progetto, i risultati della dashboard della security posture vengono visualizzati in Security Command Center. Per maggiori dettagli sui risultati di Security Command Center visualizzati nella dashboard della security posture, consulta Origini di sicurezza.
Inoltre, se attivi Security Command Center nella tua organizzazione o nel tuo progetto, la dashboard della security posture mostra i seguenti riquadri aggiuntivi:
- Principali minacce: riepiloga le principali minacce che interessano i workload GKE, raggruppate per gravità e categoria.
- Principali vulnerabilità del software (anteprima): elenca le principali CVE associate ai risultati di Security Command Center per i workload GKE.
Per attivare la prova senza costi del livello Premium di Security Command Center nel tuo progetto, segui questi passaggi:
Nella Google Cloud console, vai alla pagina Security Posture di GKE.
Trova il riquadro Minacce di esempio. Questo riquadro mostra esempi di tipi di risultati di sicurezza che potresti visualizzare dopo aver attivato Security Command Center. Questi esempi non rappresentano problemi di sicurezza effettivamente riscontrati nel progetto.
Se vedi un riquadro denominato Principali minacce, significa che Security Command Center è già attivo. Puoi ignorare i passaggi successivi.
Nel riquadro Minacce di esempio, fai clic su Prova l'analisi della sicurezza senza costi. Viene visualizzato il riquadro di attivazione.
Fai clic su Inizia la prova.
Dopo l'attivazione, Security Command Center inizia ad analizzare o eseguire la scansione dei workload GKE e delle risorse per altri Google Cloud servizi. Questa scansione iniziale viene di solito completata entro pochi minuti o alcune ore.
Vantaggi della dashboard della security posture
La dashboard della security posture è una misura di sicurezza fondamentale che puoi abilitare per qualsiasi cluster GKE idoneo. Google Cloud Ti consigliamo di utilizzare la dashboard della security posture per tutti i cluster per i seguenti motivi:
- Interruzioni minime: le funzionalità non interferiscono con i workload in esecuzione né li interrompono.
- Suggerimenti strategici: quando disponibile, la dashboard della security posture fornisce attività per risolvere i problemi rilevati. Queste azioni includono comandi che puoi eseguire ed esempi di modifiche alla configurazione da apportare.
- Visualizzazione: la dashboard della security posture fornisce una visualizzazione di alto livello dei problemi che interessano i cluster nel tuo progetto, e include grafici e diagrammi per mostrare i progressi compiuti e il potenziale impatto di ogni problema.
- Risultati attendibili: GKE assegna un livello di gravità ai problemi rilevati in base all' esperienza dei nostri team di sicurezza e agli standard di settore.
- Log degli eventi controllabili: GKE aggiunge tutti i problemi rilevati a Logging per una migliore reportistica e osservabilità.
- Osservabilità del parco risorse: se hai registrato i cluster GKE in un parco risorse, la dashboard ti consente di osservare tutti i cluster del progetto, inclusi i cluster membri del parco risorse e tutti i cluster GKE autonomi nel progetto.
Prezzi della dashboard della security posture di GKE
I prezzi delle funzionalità della dashboard della security posture sono i seguenti e si applicano ai cluster GKE autonomi e ai cluster GKE del parco risorse:
| Prezzi della dashboard della security posture di GKE | |
|---|---|
| Controllo della configurazione dei workload | Nessun costo aggiuntivo |
| Visualizzazione di bollettini sulla sicurezza | Nessun costo aggiuntivo |
| (Ritirato) Analisi delle vulnerabilità del sistema operativo del container | Nessun costo aggiuntivo |
| (Ritirato) Advanced Vulnerability Insights | Utilizza i prezzi di Artifact Analysis. Per maggiori dettagli, consulta Advanced Vulnerability Insights nella pagina dei prezzi di Artifact Analysis. |
| Risultati di Security Command Center | Utilizza i prezzi di Security Command Center pricing. |
Le voci aggiunte a Cloud Logging utilizzano i prezzi di Cloud Logging. Tuttavia, a seconda della scalabilità dell'ambiente e del numero di problemi rilevati, potresti non superare le quote di importazione e archiviazione senza costi per Logging. Per maggiori dettagli, consulta Prezzi di Logging.
Gestire la security posture del parco risorse
Se utilizzi _parchi risorse_ con GKE, puoi configurare le funzionalità della security posture di GKE a livello di parco risorse utilizzando gcloud CLI. I cluster GKE registrati come membri del parco risorse durante la creazione del cluster ereditano automaticamente la configurazione della security posture. I cluster che erano già membri del parco risorse prima della modifica della configurazione della security posture non ereditano la nuova configurazione. Questa configurazione ereditata sostituisce le impostazioni predefinite che GKE applica ai nuovi cluster.
Per scoprire come modificare la configurazione della security posture a livello di parco risorse, consulta Configurare le funzionalità della dashboard della security posture di GKE a livello di parco risorse.
Informazioni sulla pagina Security Posture
La pagina Security Posture nella Google Cloud console ha le seguenti schede:
- Dashboard: una rappresentazione di alto livello dei risultati delle scansioni. Include grafici e informazioni specifiche delle funzionalità.
- Problemi: una visualizzazione dettagliata e filtrabile di tutti i problemi rilevati da GKE nei cluster e nei workload. Puoi selezionare singoli problemi per visualizzare i dettagli e le opzioni di mitigazione.
- Impostazioni: gestisci la configurazione della funzionalità della security posture per singoli cluster o per i parchi risorse.
Dashboard
La scheda Dashboard fornisce una rappresentazione visiva dei risultati di varie scansioni della security posture di GKE e informazioni provenienti da altri Google Cloud prodotti di sicurezza abilitati nel tuo progetto. Per maggiori dettagli sulle funzionalità di analisi disponibili e su altri prodotti di sicurezza supportati, consulta Come funziona la dashboard della security posture in questo documento.
Se utilizzi i parchi risorse con GKE, la dashboard mostra anche tutti i problemi rilevati per i cluster, inclusi i cluster nel parco risorse del progetto e i cluster autonomi. Per passare alla dashboard per visualizzare la postura di un parco risorse specifico, seleziona il progetto host per quel parco risorse dal menu a discesa del selettore di progetto nella Google Cloud console. Se il progetto selezionato ha l'API Container Security abilitata, la dashboard mostra i risultati per tutti i cluster membri del parco risorse del progetto.
Problemi
La scheda Problemi elenca i problemi di sicurezza attivi rilevati da GKE durante l'analisi dei cluster e dei workload. Questa pagina mostra solo i problemi relativi alle funzionalità della security posture descritte in Abilitazione delle funzionalità specifiche del cluster in questo documento. Se utilizzi i parchi risorse con GKE, puoi visualizzare i problemi relativi ai cluster membri del parco risorse e ai cluster GKE autonomi di proprietà del progetto selezionato.
Livelli di gravità
Se applicabile, GKE assegna un livello di gravità ai problemi rilevati. Puoi utilizzare questi livelli per determinare l'urgenza con cui devi risolvere il risultato. GKE utilizza i seguenti livelli di gravità, basati sulla scala di valutazione qualitativa della gravità CVSS:
- Critica: agisci immediatamente. Un attacco porterà a un incidente.
- Alta: agisci tempestivamente. Un attacco porterà molto probabilmente a un incidente.
- Media: agisci a breve. Un attacco porterà probabilmente a un incidente.
- Bassa: agisci in un secondo momento. Un attacco potrebbe portare a un incidente.
La velocità precisa della risposta ai problemi dipende dal modello di minaccia e dalla tolleranza al rischio della tua organizzazione. I livelli di gravità sono una linea guida qualitativa che ti aiuta a sviluppare un piano di risposta agli incidenti completo.
Tabella dei problemi
La tabella Problemi mostra tutti i problemi rilevati da GKE. Puoi modificare la visualizzazione predefinita per raggruppare i risultati per tipo di problema, spazio dei nomi Kubernetes o per i workload interessati. Puoi utilizzare il riquadro dei filtri per filtrare i risultati in base al livello di gravità, al tipo di problema, Google Cloud alla località e al nome del cluster. Per visualizzare i dettagli di un problema specifico, fai clic sul nome del problema.
Riquadro dei dettagli del problema
Quando fai clic su un problema nella tabella Problemi, si apre il riquadro dei dettagli del problema. Questo riquadro fornisce una descrizione dettagliata del problema e informazioni pertinenti, come le versioni del sistema operativo interessate per le vulnerabilità, i link CVE o i rischi associati a un problema di configurazione specifico. Il riquadro dei dettagli fornisce un comportamento consigliato, se applicabile. Ad esempio, un workload che imposta runAsNonRoot: false restituirà la modifica consigliata da apportare alla specifica del pod per mitigare il problema.
La scheda Risorse interessate nel riquadro dei dettagli del problema mostra un elenco dei workload nei cluster registrati interessati dal problema.
Impostazioni
La scheda Impostazioni ti consente di configurare le funzionalità della security posture specifiche del cluster, come il controllo della configurazione dei workload, sui cluster GKE idonei nel tuo progetto o parco risorse. Puoi visualizzare lo stato di abilitazione di funzionalità specifiche per ogni cluster e modificare la configurazione per i cluster idonei. Se utilizzi i parchi risorse con GKE, puoi anche verificare se i cluster membri del parco risorse hanno le stesse impostazioni della configurazione a livello di parco risorse.
Flusso di lavoro di esempio
Questa sezione è un esempio del flusso di lavoro per un amministratore del cluster che vuole analizzare i workload in un cluster per rilevare problemi di configurazione della sicurezza, come i privilegi di root.
- Registra il cluster per l'analisi della security posture di Kubernetes utilizzando la Google Cloud console.
- Controlla la dashboard della security posture per i risultati dell'analisi, che potrebbero richiedere fino a 30 minuti per essere visualizzati.
- Fai clic sulla scheda Problemi per aprire i risultati dettagliati.
- Seleziona il filtro del tipo di problema Configurazione.
- Fai clic su un problema nella tabella.
- Nel riquadro dei dettagli del problema, prendi nota della modifica alla configurazione consigliata e aggiorna la specifica del pod con il suggerimento.
- Applica la specifica del pod aggiornata al cluster.
La prossima volta che viene eseguita l'analisi, la dashboard della security posture non visualizzerà più il problema che hai risolto.
Passaggi successivi
- Scopri di più sull'analisi della security posture di Kubernetes.
- Scopri come controllare automaticamente i workload per rilevare problemi di configurazione.
- Scopri come configurare le funzionalità della dashboard della security posture di GKE a livello di parco risorse.
- Scopri come rafforzare la sicurezza del cluster.