מידע על מרכז הבקרה של מצב האבטחה

בדף הזה מופיעה סקירה כללית של לוח הבקרה 'מצב האבטחה' בGoogle Cloud מסוף, שכולל המלצות פרקטיות לשיפור מצב האבטחה. כדי לעיין בלוח הבקרה בעצמכם, עוברים אל הדף Security Posture במסוף Google Cloud .

מתי כדאי להשתמש במרכז הבקרה של מצב האבטחה

מומלץ להשתמש בלוח הבקרה של מצב האבטחה אם אתם מנהלי אשכולות או מנהלי אבטחה שרוצים להפוך לאוטומטיים את הזיהוי והדיווח של בעיות אבטחה נפוצות בכמה אשכולות ועומסי עבודה, עם מינימום הפרעות ושיבושים לאפליקציות שפועלות. לוח הבקרה של מצב האבטחה משולב עם מוצרים כמו Cloud Logging ו-Policy Controller כדי לשפר את השקיפות של מצב האבטחה.

אם אתם משתמשים ב-VPC Service Controls, אתם יכולים גם לעדכן את גבולות הגזרה כדי להגן על לוח הבקרה של מצב האבטחה, על ידי הוספת containersecurity.googleapis.com לרשימת השירותים.

מרכז הבקרה של מצב האבטחה לא משנה את האחריות שלנו או את האחריות שלכם במסגרת מודל האחריות המשותפת. אתם עדיין אחראים להגנה על עומסי העבודה שלכם.

שימוש כחלק מאסטרטגיית אבטחה רחבה

במרכז הבקרה של מצב האבטחה מוצגות תובנות לגבי מצב האבטחה של עומס העבודה בשלב זמן הריצה של מחזור החיים של הכנת תוכנה להפצה. כדי לקבל כיסוי מקיף של האפליקציות לאורך מחזור החיים שלהן, החל מבקרת המקור ועד לתחזוקה, מומלץ להשתמש בלוח הבקרה עם כלים אחרים לאבטחה.

ב-GKE יש לוח בקרה של מצב האבטחה שמאפשר לנטר את האבטחה במסוף Google Cloud .

לפרטים נוספים על כלים אחרים שזמינים ועל שיטות מומלצות להגנה על האפליקציות מקצה לקצה, אפשר לעיין במאמר הגנה על שרשרת אספקת התוכנה.

מומלץ מאוד גם ליישם כמה שיותר המלצות מהמאמר חיזוק האבטחה של האשכול.

איך פועל מרכז הבקרה של רמת האבטחה

כדי להשתמש במרכז הבקרה של מצב האבטחה, צריך להפעיל את Container Security API בפרויקט. במרכז הבקרה מוצגים תובנות מיכולות שמובנות ב-GKE וממוצרי אבטחה מסוימים שפועלים בפרויקט. Google Cloud

הפעלת תכונות ספציפיות לאשכול

היכולות הספציפיות ל-GKE בלוח הבקרה של מצב האבטחה מסווגות באופן הבא:

• מצב האבטחה של Kubernetes: מצב האבטחה של אובייקטים ומשאבים של Kubernetes באשכול, כמו מפרטי Pod. פרטים נוספים זמינים במאמר בנושא סריקת מצב האבטחה של Kubernetes.

• בדיקת נקודות חולשה בעומסי עבודה: מצב האבטחה של מערכת ההפעלה של הקונטיינר וחבילות השפה של האפליקציה. פרטים נוספים זמינים במאמר מידע על סריקת עומסי עבודה לאיתור פגיעויות.

בטבלה הבאה מתוארות התכונות הספציפיות לאשכול:

שם התכונה	זמינות	יכולות כלולות
מצב האבטחה של Kubernetes – רמה רגילה	נדרשת גרסה 1.27 ואילך של GKE. מופעל כברירת מחדל בכל האשכולות החדשים.	סריקה אוטומטית של עומסי עבודה כדי לזהות בעיות בהגדרות הצגת עדכוני אבטחה דחופים עם המלצות לפעולה
סריקת נקודות חולשה בעומסי עבודה – רמה רגילה	ההגדרה מושבתת כברירת מחדל בכל האשכולות החדשים.	סריקה אוטומטית של תמונות קונטיינרים כדי לזהות נקודות חולשה שדורשות פעולה
סריקת נקודות חולשה בעומסי עבודה – תובנות מתקדמות לגבי נקודות חולשה	ההגדרה מושבתת כברירת מחדל בכל האשכולות החדשים.	סריקה אוטומטית של תמונות קונטיינרים כדי לזהות נקודות חולשה שדורשות פעולה סריקה אוטומטית של חבילות שפה באפליקציות כדי לזהות נקודות חולשה

אפשר להפעיל את התכונות האלה באשכולות GKE עצמאיים או באשכולות שהם חברים ב-Fleet. בלוח הבקרה Security Posture אפשר לראות את כל האשכולות בו-זמנית, כולל כל חברי הצי בפרויקט המארח של הצי.

שילוב עם Security Command Center

אם מפעילים את Security Command Center בארגון או בפרויקט, הממצאים של מרכז הבקרה של מצב האבטחה מוצגים ב-Security Command Center. מידע נוסף על הממצאים של Security Command Center שמופיעים במרכז הבקרה של מצב האבטחה זמין במאמר מקורות אבטחה.

בנוסף, אם מפעילים בארגון או בפרויקט את רמת השירות Premium או Enterprise של Security Command Center, במרכז הבקרה של מצב האבטחה מוצגים החלוניות הנוספות הבאות:

• האיומים העיקריים: סיכום של האיומים העיקריים שמשפיעים על עומסי העבודה ב-GKE, מקובצים לפי חומרה וקטגוריה.
• נקודות החולשה העיקריות בתוכנה (גרסת Preview): רשימה של נקודות החולשה הנפוצות (CVE) העיקריות שמשויכות לממצאים של Security Command Center לגבי עומסי העבודה שלכם ב-GKE.

כדי להפעיל את Security Command Center Premium בפרויקט:

1. נכנסים לדף GKE Security Posture במסוף Google Cloud .

   מעבר אל GKE Security Posture

2. מחפשים את החלונית Sample threats (דוגמאות לאיומים). בחלונית הזו מוצגות דוגמאות לסוגים של ממצאי אבטחה שאולי יוצגו לכם אחרי שתפעילו את Security Command Center. הדוגמאות האלה לא מייצגות בעיות אבטחה בפועל בפרויקט.

   אם מופיע חלונית עם הכותרת Top threats (האיומים העיקריים), סימן ש-Security Command Center כבר הופעל. אתם יכולים לדלג על השלבים הנותרים.

3. בחלונית איומים לדוגמה, לוחצים על ניסיון סריקת אבטחה בחינם. חלונית ההפעלה תיפתח.

4. לוחצים על התחלת תקופת ניסיון בחינם.

אחרי שמפעילים את Security Command Center, הוא מתחיל לנתח או לסרוק את עומסי העבודה ב-GKE ואת המשאבים בשירותים אחרים של Google Cloud Google. הסריקה הראשונית מסתיימת בדרך כלל תוך דקות או שעות.

היתרונות של מרכז הבקרה של מצב האבטחה

לוח הבקרה של מצב האבטחה הוא אמצעי אבטחה בסיסי שאפשר להפעיל בכל אשכול GKE שעומד בדרישות. Google Cloudמומלץ להשתמש בלוח הבקרה של מצב האבטחה בכל האשכולות מהסיבות הבאות:

• הפרעות מינימליות: התכונות לא מפריעות לעומסי עבודה פעילים ולא משבשות אותם.
• המלצות לביצוע פעולות: כשזמינות, לוח הבקרה של מצב האבטחה מספק פעולות לביצוע כדי לפתור בעיות שהתגלו. הפעולות האלה כוללות פקודות שאפשר להריץ ודוגמאות לשינויים בהגדרות שאפשר לבצע.
• הדמיה: לוח הבקרה של מצב האבטחה מספק הדמיה ברמה גבוהה של בעיות שמשפיעות על אשכולות בפרויקט, וכולל תרשימים וגרפים שמציגים את ההתקדמות שהשגתם ואת ההשפעה הפוטנציאלית של כל בעיה.
• תוצאות מבוססות-דעות: ‏ GKE מקצה דירוג חומרה לבעיות שהתגלו על סמך המומחיות של צוותי האבטחה שלנו ותקנים בתעשייה.
• יומני אירועים שניתן לבצע בהם ביקורת: GKE מוסיף את כל הבעיות שזוהו ליומן כדי לשפר את יכולות הדיווח והמעקב.
• יכולת צפייה ב-Fleet: אם רשמתם אשכולות GKE ב-Fleet, במרכז הבקרה תוכלו לראות את כל האשכולות בפרויקט, כולל אשכולות שהם חברים ב-Fleet ואשכולות GKE עצמאיים בפרויקט.

תמחור של לוח הבקרה של מצב האבטחה ב-GKE

התמחור של היכולות של מרכז הבקרה 'מצב האבטחה' הוא כדלקמן, והוא חל על אשכולות GKE עצמאיים ועל אשכולות GKE בצי:

תמחור של לוח הבקרה של מצב האבטחה ב-GKE
ביקורת על הגדרות של עומסי עבודה	ללא חיוב נוסף
הצגת עדכוני אבטחה דחופים	ללא חיוב נוסף
(הוצא משימוש) סריקת נקודות חולשה במערכת הפעלה של קונטיינר	ללא חיוב נוסף
(הוצא משימוש) תובנות מתקדמות לגבי פגיעויות	החיוב הוא לפי התמחור של Artifact Analysis. פרטים נוספים זמינים בקטע תובנות מתקדמות לגבי פגיעויות בדף התמחור של Artifact Analysis.
ממצאים ב-Security Command Center	השימוש הוא לפי תמחור Security Command Center.

התמחור של רשומות שנוספות ל-Cloud Logging מפורט במחירון של Cloud Logging. עם זאת, בהתאם להיקף הסביבה ולמספר הבעיות שזוהו, יכול להיות שלא תחרגו מהמכסות החינמיות של ההעברה והאחסון ב-Logging. פרטים נוספים זמינים במאמר בנושא תמחור של רישום ביומן.

ניהול מצב האבטחה של הצי

אם אתם משתמשים ב-fleets עם GKE, אתם יכולים להגדיר את התכונות של מצב האבטחה של GKE ברמת ה-fleet באמצעות ה-CLI של gcloud. אשכולות GKE שאתם רושמים כחברים בצי במהלך יצירת האשכול יורשים באופן אוטומטי את הגדרת מצב האבטחה. קלאסטרים שכבר היו חברים בצי לפני ששיניתם את הגדרת מצב האבטחה לא יקבלו בירושה את ההגדרה החדשה. ההגדרה הזו שמועברת בירושה מבטלת את הגדרות ברירת המחדל ש-GKE מחיל על אשכולות חדשים.

כאן מוסבר איך משנים את ההגדרה של רמת האבטחה בצי.

מידע על הדף 'מצב אבטחה'

בדף Security Posture במסוף Google Cloud יש את הכרטיסיות הבאות:

• מרכז הבקרה: ייצוג כללי של תוצאות הסריקות. כולל תרשימים ומידע ספציפי לתכונות.
• Concerns: תצוגה מפורטת שניתנת לסינון של כל הבעיות שזוהו על ידי GKE באשכולות ובעומסי העבודה. אתם יכולים לבחור בעיות ספציפיות כדי לראות פרטים ואפשרויות לפתרון.
• הגדרות: ניהול ההגדרה של התכונה 'מצב האבטחה' עבור אשכולות בודדים או עבור צי של אשכולות.

מרכז שליטה

בכרטיסייה לוח בקרה מוצגת תמונה חזותית של תוצאות סריקות שונות של מצב האבטחה ב-GKE ומידע מGoogle Cloud מוצרי אבטחה אחרים שמופעלים בפרויקט. לפרטים על יכולות הסריקה הזמינות ועל מוצרי אבטחה נתמכים אחרים, אפשר לעיין במאמר איך לוח הבקרה של מצב האבטחה פועל.

אם משתמשים ב-Fleets עם GKE, בלוח הבקרה מוצגים גם כל הבעיות שזוהו באשכולות, כולל אשכולות ב-Fleet של הפרויקט ואשכולות עצמאיים. כדי להציג בלוח הבקרה את מצב האבטחה של צי ספציפי, בוחרים את פרויקט המארח של הצי הזה מהתפריט הנפתח של בורר הפרויקטים במסוף Google Cloud . אם Container Security API מופעל בפרויקט שנבחר, בלוח הבקרה מוצגות תוצאות לכל האשכולות החברים בצי של הפרויקט.

חששות

בכרטיסייה Concerns מפורטות בעיות אבטחה פעילות ש-GKE מזהה במהלך סריקה של האשכולות ועומסי העבודה. בדף הזה מוצגים רק חששות לגבי תכונות של מצב האבטחה שמתוארות במאמר הזה בקטע הפעלת תכונות ספציפיות לאשכול. אם אתם משתמשים בציים עם GKE, תוכלו לראות בעיות באשכולות של חברי הצי ובאשכולות GKE עצמאיים שנמצאים בבעלות הפרויקט שנבחר.

דירוגי חומרה

במקרים הרלוונטיים, GKE מקצה דירוג חומרה לבעיות שמתגלות. אפשר להשתמש בדירוגים האלה כדי לקבוע את רמת הדחיפות שבה צריך לפתור את הממצא. ב-GKE נעשה שימוש בדירוגי החומרה הבאים, שמבוססים על סולם דירוג החומרה האיכותי של CVSS:

• קריטי: צריך לפעול באופן מיידי. מתקפה תוביל לאירוע.
• גבוהה: צריך לפעול במהירות. סביר מאוד שהתקפה תוביל לאירוע.
• בינוני: כדאי לפעול בהקדם. מתקפה כנראה תוביל לאירוע.
• נמוך: פעולה בסופו של דבר. מתקפה עלולה להוביל לאירוע.

המהירות המדויקת של התגובה שלכם לדאגות תלויה במודל האיומים ובסובלנות לסיכון של הארגון. דירוגי החומרה הם הנחיות איכותיות שיעזרו לכם לפתח תוכנית מקיפה לתגובה לאירועים.

טבלת חששות

בטבלה Concerns (בעיות) מוצגות כל הבעיות שזוהו על ידי GKE. אפשר לשנות את תצוגת ברירת המחדל כדי לקבץ את התוצאות לפי סוג הבעיה, מרחב השמות של Kubernetes או לפי עומסי העבודה המושפעים. אפשר להשתמש בחלונית המסננים כדי לסנן את התוצאות לפי דירוג חומרה, סוג הבעיה,Google Cloud מיקום ושם האשכול. כדי לראות פרטים על בעיה ספציפית, לוחצים על שם הבעיה.

חלונית פרטי הבעיה

כשלוחצים על בעיה בטבלה בעיות, נפתחת חלונית הפרטים של הבעיה. בחלונית הזו מופיע תיאור מפורט של הבעיה ומידע רלוונטי, כמו גרסאות מערכת ההפעלה שמושפעות מנקודות חולשה, קישורי CVE או סיכונים שקשורים לבעיה ספציפית בהגדרות. בחלונית הפרטים מוצגת פעולה מומלצת, אם יש כזו. לדוגמה, עומס עבודה שמגדיר runAsNonRoot: false יחזיר את השינוי המומלץ שצריך לבצע במפרט של ה-Pod כדי לטפל בבעיה.

בכרטיסייה Affected resources (משאבים מושפעים) בחלונית הפרטים של הבעיה מוצגת רשימה של עומסי עבודה באשכולות הרשומים שמושפעים מהבעיה הזו.

הגדרות

בכרטיסייה הגדרות אפשר להגדיר תכונות של מצב אבטחה ספציפי לאשכול, כמו ביקורת על הגדרות עומס עבודה, באשכולות GKE שעומדים בדרישות בפרויקט או בצי. אפשר לראות את סטטוס ההפעלה של תכונות ספציפיות לכל אשכול ולשנות את ההגדרה הזו באשכולות שעומדים בדרישות. אם אתם משתמשים ב-fleets עם GKE, אתם יכולים גם לראות אם לאשכולות של חברי ה-fleet יש את אותן הגדרות כמו להגדרות ברמת ה-fleet.

תהליך עבודה לדוגמה

בקטע הזה מופיעה דוגמה לתהליך עבודה של אדמין באשכול שרוצה לסרוק עומסי עבודה באשכול כדי לזהות בעיות בהגדרות האבטחה, כמו הרשאות root.

1. כדי לרשום את האשכול לסריקת מצב האבטחה של Kubernetes, משתמשים במסוףGoogle Cloud .
2. בודקים את מרכז הבקרה של מצב האבטחה כדי לראות את תוצאות הסריקה. יכול להיות שיחלפו עד 30 דקות עד שהן יופיעו.
3. לוחצים על הכרטיסייה בעיות כדי לפתוח את התוצאות המפורטות.
4. בוחרים את המסנן Configuration concern type.
5. לוחצים על בעיה בטבלה.
6. בחלונית הפרטים של הבעיה, רושמים את שינוי ההגדרה המומלץ ומעדכנים את מפרט ה-Pod בהתאם להמלצה.
7. מחילים את מפרט ה-Pod המעודכן על האשכול.

בסריקה הבאה, הבעיה שפתרתם לא תוצג יותר בלוח הבקרה של מצב האבטחה.

המאמרים הבאים

• מידע נוסף על סריקת מצב האבטחה של Kubernetes
• איך מבצעים ביקורת אוטומטית על עומסי עבודה כדי לזהות בעיות בהגדרות
• איך מגדירים את התכונות של לוח הבקרה של מצב האבטחה ב-GKE ברמת הצי
• איך להקשיח את האבטחה באשכול