מידע על מרכז הבקרה של מצב האבטחה

בדף הזה מופיעה סקירה כללית של לוח הבקרה 'מצב האבטחה' בGoogle Cloud מסוף, שכולל המלצות מגובות בנתונים ופרקטיות לשיפור מצב האבטחה. כדי לעיין בלוח הבקרה בעצמכם, עוברים אל הדף Security Posture במסוף Google Cloud .

מתי כדאי להשתמש במרכז הבקרה של מצב האבטחה

מומלץ להשתמש בלוח הבקרה של מצב האבטחה אם אתם אדמינים של אשכולות או אדמינים של אבטחה שרוצים להפוך לאוטומטיים את הזיהוי והדיווח של בעיות אבטחה נפוצות בכמה אשכולות ועומסי עבודה, עם מינימום הפרעות ושיבושים לאפליקציות שפועלות. לוח הבקרה של מצב האבטחה משולב עם מוצרים כמו Cloud Logging ו-Policy Controller, כדי לשפר את השקיפות של מצב האבטחה.

אם אתם משתמשים ב-VPC Service Controls, אתם יכולים גם לעדכן את גבולות הגזרה כדי להגן על לוח הבקרה של מצב האבטחה. לשם כך, מוסיפים את containersecurity.googleapis.com לרשימת השירותים.

מרכז הבקרה של מצב האבטחה לא משנה את האחריות שלנו או את האחריות שלכם במסגרת מודל האחריות המשותפת. אתם עדיין אחראים להגנה על עומסי העבודה שלכם.

שימוש כחלק מאסטרטגיית אבטחה רחבה

במרכז הבקרה של מצב האבטחה מוצגות תובנות לגבי מצב האבטחה של עומס העבודה בשלב זמן הריצה של מחזור החיים של הכנת תוכנה להפצה. כדי לקבל כיסוי מקיף של האפליקציות לאורך מחזור החיים שלהן, החל מבקרת מקורות ועד לתחזוקה, מומלץ להשתמש בלוח הבקרה עם כלי אבטחה אחרים.

ב-GKE יש לוח בקרה של מצב האבטחה שמאפשר לנטר את האבטחה במסוף Google Cloud .

לפרטים נוספים על כלים אחרים שזמינים ועל שיטות מומלצות להגנה על האפליקציות מקצה לקצה, אפשר לעיין במאמר הגנה על שרשרת אספקת התוכנה.

מומלץ מאוד גם ליישם כמה שיותר המלצות מהמאמר הגברת האבטחה של האשכול.

איך פועל מרכז הבקרה של מצב האבטחה

כדי להשתמש במרכז הבקרה של מצב האבטחה, צריך להפעיל את Container Security API בפרויקט. במרכז הבקרה מוצגים תובנות מיכולות שמובנות ב-GKE וממוצרי אבטחה מסוימים שפועלים בפרויקט. Google Cloud

הפעלת תכונות ספציפיות לאשכול

היכולות הספציפיות ל-GKE בלוח הבקרה של מצב האבטחה מסווגות באופן הבא:

  • מצב האבטחה של Kubernetes: מצב האבטחה של אובייקטים ומשאבים של Kubernetes באשכול, כמו מפרטי Pod. פרטים נוספים מופיעים במאמר מידע על סריקת מצב האבטחה של Kubernetes.

  • סריקת פגיעויות בעומסי עבודה: מצב האבטחה של מערכת ההפעלה של הקונטיינר וחבילות השפה של האפליקציה. פרטים נוספים זמינים במאמר מידע על סריקת פגיעויות בעומסי עבודה.

בטבלה הבאה מתוארות התכונות הספציפיות לאשכול:

שם התכונה זמינות יכולות כלולות
מצב האבטחה של Kubernetes – רמה רגילה

נדרשת גרסה 1.27 ואילך של GKE. מופעל כברירת מחדל בכל האשכולות החדשים.

סריקת נקודות חולשה בעומסי עבודה – רמה רגילה

היא מושבתת כברירת מחדל בכל האשכולות החדשים.

סריקת נקודות חולשה בעומסי עבודה – תובנות מתקדמות לגבי נקודות חולשה

היא מושבתת כברירת מחדל בכל האשכולות החדשים.

אפשר להפעיל את התכונות האלה באשכולות GKE עצמאיים או באשכולות שהם חברים ב-Fleet. בלוח הבקרה Security Posture אפשר לראות את כל האשכולות בו-זמנית, כולל כל חברי הצי בפרויקט המארח של הצי.

שילוב עם Security Command Center

אם מפעילים את Security Command Center בארגון או בפרויקט, הממצאים של מרכז הבקרה של מצב האבטחה מוצגים ב-Security Command Center. מידע נוסף על הממצאים של Security Command Center שמופיעים במרכז הבקרה של מצב האבטחה זמין במאמר מקורות אבטחה.

בנוסף, אם מפעילים את Security Command Center בארגון או בפרויקט, בחלוניות הנוספות הבאות מוצגים נתונים במרכז הבקרה של מצב האבטחה:

  • האיומים העיקריים: סיכום של האיומים העיקריים שמשפיעים על עומסי העבודה ב-GKE, מקובצים לפי חומרה וקטגוריה.
  • נקודות החולשה העיקריות בתוכנה (גרסת Preview): רשימה של נקודות החולשה הנפוצות (CVE) העיקריות שמשויכות לממצאים של Security Command Center לגבי עומסי העבודה שלכם ב-GKE.

כדי להפעיל את תקופת הניסיון בחינם של מהדורת Security Command Center Premium בפרויקט שלכם, מבצעים את הפעולות הבאות:

  1. נכנסים לדף GKE Security Posture במסוף Google Cloud .

    מעבר אל GKE Security Posture

  2. מחפשים את החלונית Sample threats (איומים לדוגמה). בחלונית הזו מוצגות דוגמאות לסוגים של ממצאי אבטחה שאולי יוצגו לכם אחרי שתפעילו את Security Command Center. הדוגמאות האלה לא מייצגות בעיות אבטחה בפועל בפרויקט שלכם.

    אם מופיע חלונית עם הכותרת Top threats (האיומים העיקריים), סימן ש-Security Command Center כבר הופעל. אתם יכולים לדלג על השלבים הנותרים.

  3. בחלונית איומים לדוגמה, לוחצים על ניסיון חינם של סריקת אבטחה. חלונית ההפעלה תיפתח.

  4. לוחצים על התחלת תקופת ניסיון בחינם.

אחרי שמפעילים את Security Command Center, הוא מתחיל לנתח או לסרוק את עומסי העבודה ב-GKE ואת המשאבים בשירותים אחרים של Google Cloud Google. הסריקה הראשונית מסתיימת בדרך כלל תוך דקות או שעות.

היתרונות של מרכז הבקרה של מצב האבטחה

לוח הבקרה של מצב האבטחה הוא אמצעי אבטחה בסיסי שאפשר להפעיל בכל אשכול GKE שעומד בדרישות. Google Cloudמומלץ להשתמש בלוח הבקרה של מצב האבטחה בכל האשכולות מהסיבות הבאות:

  • מינימום שיבושים: התכונות לא מפריעות לעומסי עבודה פעילים ולא משבשות אותם.
  • המלצות לפעולות: כשזמינות, לוח הבקרה של מצב האבטחה מספק פעולות לביצוע כדי לפתור בעיות שזוהו. הפעולות האלה כוללות פקודות שאפשר להריץ ודוגמאות לשינויים בהגדרות שאפשר לבצע.
  • הדמיה: לוח הבקרה של מצב האבטחה מספק הדמיה ברמה גבוהה של בעיות שמשפיעות על אשכולות בפרויקט, וכולל תרשימים וגרפים שמציגים את ההתקדמות שהשגתם ואת ההשפעה הפוטנציאלית של כל בעיה.
  • תוצאות מבוססות-דעות: ‏ GKE מקצה דירוג חומרה לבעיות שהתגלו על סמך המומחיות של צוותי האבטחה שלנו ותקנים בתעשייה.
  • יומני אירועים שניתן לבצע בהם ביקורת: GKE מוסיף את כל הבעיות שזוהו ל-Logging כדי לשפר את יכולות הדיווח והמעקב.
  • יכולת צפייה ב-Fleet: אם רשמתם אשכולות GKE בFleet, במרכז הבקרה תוכלו לראות את כל האשכולות בפרויקט, כולל אשכולות שהם חלק מה-Fleet ואשכולות GKE עצמאיים בפרויקט.

תמחור של לוח הבקרה של מצב האבטחה ב-GKE

התמחור של היכולות של מרכז הבקרה 'מצב האבטחה' הוא כדלקמן, והוא חל על אשכולות GKE עצמאיים ועל אשכולות GKE בצי:

תמחור של לוח הבקרה של מצב האבטחה ב-GKE
ביקורת על הגדרות של עומסי עבודה ללא חיוב נוסף
הצגת עדכוני אבטחה דחופים ללא חיוב נוסף
(יצא משימוש) סריקת נקודות חולשה במערכת הפעלה של קונטיינר ללא חיוב נוסף
(הוצא משימוש) תובנות מתקדמות לגבי פגיעויות

החיוב הוא לפי התמחור של Artifact Analysis.

פרטים נוספים זמינים בקטע תובנות מתקדמות לגבי פגיעויות בדף התמחור של Artifact Analysis.

ממצאים ב-Security Command Center נעשה שימוש בתמחור של Security Command Center.

התמחור של רשומות שנוספות ל-Cloud Logging מפורט במחירון של Cloud Logging. עם זאת, בהתאם לגודל הסביבה ולמספר הבעיות שיתגלו, יכול להיות שלא תחרגו מהמכסות של הטמעה ואחסון בחינם ב-Logging. פרטים נוספים זמינים במאמר בנושא תמחור של רישום ביומן.

ניהול מצב האבטחה של Fleet

אם אתם משתמשים ב-fleets עם GKE, אתם יכולים להגדיר את התכונות של מצב האבטחה של GKE ברמת ה-fleet באמצעות ה-CLI של gcloud. אשכולות GKE שאתם רושמים כחברים ב-Fleet במהלך יצירת האשכול יורשים באופן אוטומטי את הגדרת מצב האבטחה. קלאסטרים שכבר היו חברים ב-Fleet לפני ששיניתם את הגדרת מצב האבטחה לא יקבלו בירושה את ההגדרה החדשה. ההגדרה הזו שמועברת בירושה מבטלת את הגדרות ברירת המחדל ש-GKE מחיל על אשכולות חדשים.

כאן מוסבר איך משנים את ההגדרה של רמת האבטחה בצי.

מידע על הדף 'מצב האבטחה'

בדף Security Posture במסוף Google Cloud יש את הכרטיסיות הבאות:

  • מרכז הבקרה: ייצוג כללי של תוצאות הסריקות. כולל תרשימים ומידע ספציפי לתכונות.
  • Concerns: תצוגה מפורטת שניתנת לסינון של כל הבעיות שזוהו על ידי GKE באשכולות ובעומסי העבודה. אתם יכולים לבחור בעיות ספציפיות כדי לראות פרטים ואפשרויות לפתרון.
  • הגדרות: ניהול ההגדרה של התכונה 'מצב האבטחה' עבור אשכולות בודדים או עבור צי של אשכולות.

מרכז שליטה

בכרטיסייה לוח בקרה מוצגת המחשה חזותית של תוצאות סריקות שונות של מצב האבטחה ב-GKE ומידע מGoogle Cloud מוצרי אבטחה אחרים שמופעלים בפרויקט. לפרטים על יכולות הסריקה הזמינות ועל מוצרי אבטחה נתמכים אחרים, אפשר לעיין במאמר איך לוח הבקרה של מצב האבטחה פועל.

אם משתמשים ב-Fleets עם GKE, לוח הבקרה מציג גם בעיות שזוהו באשכולות, כולל אשכולות ב-Fleet של הפרויקט ואשכולות עצמאיים. כדי להציג בלוח הבקרה את המצב של צי ספציפי, בוחרים את פרויקט המארח של הצי הזה מהתפריט הנפתח של בחירת הפרויקט במסוף Google Cloud . אם Container Security API מופעל בפרויקט שנבחר, בלוח הבקרה מוצגות תוצאות לכל האשכולות החברים בצי של הפרויקט הזה.

חששות

בכרטיסייה Concerns מפורטות בעיות אבטחה פעילות ש-GKE מזהה במהלך סריקה של האשכולות ועומסי העבודה. בדף הזה מוצגים רק חששות לגבי תכונות של מצב האבטחה שמתוארות בקטע הפעלת תכונות ספציפיות לאשכול במסמך הזה. אם אתם משתמשים ב-fleets עם GKE, תוכלו לראות בעיות באשכולות של חברי fleet ובאשכולות GKE עצמאיים שנמצאים בבעלות הפרויקט שנבחר.

דירוגי חומרה

במקרים הרלוונטיים, GKE מקצה דירוג חומרה לבעיות שזוהו. אפשר להשתמש בדירוגים האלה כדי לקבוע את רמת הדחיפות שבה צריך לפתור את הממצא. ב-GKE נעשה שימוש בדירוגי החומרה הבאים, שמבוססים על סולם דירוג החומרה האיכותי של CVSS:

  • קריטי: צריך לפעול באופן מיידי. מתקפה תוביל לאירוע.
  • גבוהה: צריך לפעול במהירות. סביר מאוד שהתקפה תוביל לאירוע.
  • בינוני: כדאי לפעול בהקדם. מתקפה כנראה תוביל לאירוע.
  • נמוך: צריך לפעול בסופו של דבר. מתקפה עלולה להוביל לאירוע.

המהירות המדויקת שבה תגיבו לבעיות תלויה במודל האיומים ובסובלנות לסיכון של הארגון. דירוגי החומרה הם הנחיות איכותיות שיעזרו לכם לפתח תוכנית מקיפה לתגובה לאירועים.

טבלת חששות

בטבלה Concerns מוצגות כל הבעיות שזוהו על ידי GKE. אפשר לשנות את תצוגת ברירת המחדל כדי לקבץ את התוצאות לפי סוג הבעיה, מרחב השמות של Kubernetes או עומסי העבודה המושפעים. אפשר להשתמש בחלונית המסננים כדי לסנן את התוצאות לפי דירוג חומרה, סוג הבעיה,Google Cloud מיקום ושם האשכול. כדי לראות פרטים על בעיה ספציפית, לוחצים על שם הבעיה.

חלונית פרטים של בעיה

כשלוחצים על בעיה בטבלה בעיות, נפתחת חלונית הפרטים של הבעיה. בחלונית הזו מופיע תיאור מפורט של הבעיה ומידע רלוונטי, כמו גרסאות מערכת ההפעלה שמושפעות מנקודות חולשה, קישורים ל-CVE או סיכונים שקשורים לבעיה ספציפית בהגדרות. בחלונית הפרטים מוצגת פעולה מומלצת, אם יש כזו. לדוגמה, עומס עבודה שמגדיר runAsNonRoot: false יחזיר את השינוי המומלץ שצריך לבצע במפרט של ה-Pod כדי לטפל בבעיה.

בכרטיסייה Affected resources בחלונית הפרטים של הבעיה מוצגת רשימה של עומסי עבודה באשכולות הרשומים שמושפעים מהבעיה הזו.

הגדרות

בכרטיסייה הגדרות אפשר להגדיר תכונות של מצב אבטחה ספציפי לאשכול, כמו ביקורת על הגדרת עומס עבודה, באשכולות GKE שעומדים בדרישות בפרויקט או ב-Fleet. אפשר לראות את סטטוס ההפעלה של תכונות ספציפיות לכל אשכול ולשנות את ההגדרה הזו באשכולות שעומדים בדרישות. אם אתם משתמשים ב-Fleet עם GKE, אתם יכולים גם לראות אם לאשכולות החברים ב-Fleet יש את אותן הגדרות כמו בהגדרות ברמת ה-Fleet.

תהליך עבודה לדוגמה

בקטע הזה מופיעה דוגמה לתהליך העבודה של אדמין באשכול שרוצה לסרוק עומסי עבודה באשכול כדי לזהות בעיות בהגדרות האבטחה, כמו הרשאות root.

  1. כדי לרשום את האשכול לסריקת מצב האבטחה של Kubernetes, משתמשים במסוףGoogle Cloud .
  2. בודקים את תוצאות הסריקה בלוח הבקרה של מצב האבטחה. יכול להיות שיחלפו עד 30 דקות עד שהתוצאות יופיעו.
  3. לוחצים על הכרטיסייה בעיות כדי לפתוח את התוצאות המפורטות.
  4. בוחרים את המסנן Configuration concern type.
  5. לוחצים על בעיה בטבלה.
  6. בחלונית הפרטים של הבעיה, רושמים את שינוי ההגדרה המומלץ ומעדכנים את מפרט ה-Pod בהתאם להמלצה.
  7. מחילים את מפרט ה-Pod המעודכן על האשכול.

בפעם הבאה שהסריקה תפעל, הבעיה שפתרתם לא תוצג יותר בלוח הבקרה של מצב האבטחה.

המאמרים הבאים