Auf dieser Seite wird die GKE-Bedrohungserkennung beschrieben, mit der Sie Ihre zulässigen GKE-Cluster im GKE-Sicherheitsstatus-Dashboard auf aktive Bedrohungen prüfen können. Mit dem GKE-Sicherheitsstatus-Dashboard können Sie verschiedene Scan- und Prüffunktionen in geeigneten GKE-Clustern aktivieren und umsetzbare Empfehlungen zur Behebung von Sicherheitsproblemen anzeigen.
Funktionsweise
Die GKE-Bedrohungserkennung ist eine erweiterte Dashboard-Funktion für den GKE-Sicherheitsstatus, die GKE Enterprise-Nutzern zur Verfügung steht. Wenn Ihre GKE-Cluster in einer Flotte registriert sind, wertet die GKE-Bedrohungserkennung Ihre GKE-Audit-Logs in Cloud Logging anhand einer Reihe vordefinierter Regeln für Cluster- und Arbeitslastbedrohungen aus. Wenn eine Bedrohung gefunden wird, wird im Dashboard für den GKE-Sicherheitsstatus ein Ergebnis mit einer Beschreibung der Bedrohung, den potenziellen Auswirkungen und empfohlenen Maßnahmen zur Minderung der Bedrohung angezeigt.
Alle registrierten GKE-Cluster in Ihrer Flotte werden kontinuierlich auf aktive Bedrohungen gescannt. Wir klassifizieren erkannte Bedrohungen mithilfe von MITRE ATT&CK®-Taktiken.
Die GKE-Bedrohungserkennung basiert auf dem Event Threat Detection-Dienst von Security Command Center. Im GKE-Sicherheitsstatus-Dashboard wird nur die Teilmenge der Regeln ausgewertet, die für GKE gelten.
Enthaltene Features für den GKE-Sicherheitsstatus
Die GKE-Bedrohungserkennung ist in der erweiterten Stufe des Scannens des Kubernetes-Sicherheitsstatus enthalten. Wenn Sie die GKE-Bedrohungserkennung in einem Cluster aktivieren, aktivieren Sie auch die folgenden Scanfeatures:
Nutzung als Teil einer umfassenden Sicherheitsstrategie
Die GKE-Bedrohungserkennung ist eines von verschiedenen Produkten zur Beobachtbarkeit von Sicherheit, die Sie in Ihrer Umgebung verwenden sollten. Wir empfehlen dringend, andere Features des GKE-Sicherheitsstatus-Dashboards zu verwenden, z. B. das Scannen auf Sicherheitslücken, damit Sie Ihre Cluster auf eine Reihe von Sicherheitsproblemen überwachen. Weitere Informationen finden Sie in der GKE-Dokumentation unter Informationen zum Sicherheitsstatus-Dashboard.
Außerdem empfehlen wir, so viele Sicherheitsmaßnahmen aus Clustersicherheit erhöhen wie möglich in Ihren Clustern und Arbeitslasten zu implementieren.
Preise
Die GKE-Bedrohungserkennung wird ohne Aufpreis über GKE Enterprise angeboten.
Vordefinierte Regeln für GKE-Bedrohungserkennung
In der folgenden Tabelle werden die Bewertungsregeln beschrieben, anhand derer die GKE-Bedrohungserkennung Ihre GKE-Audit-Logs auswertet:
| Anzeigename | API-Name | Logquelltypen | Beschreibung |
|---|---|---|---|
| Defense Evasion: Break-Glass-Arbeitslastbereitstellung erstelltVorschau | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt Arbeitslastbereitstellungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben. |
| Verteidigungsausgang: Break-Glass-Arbeitslast-Deployment aktualisiertVorschau | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt Arbeitslastaktualisierungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben. |
| Erkennung: Abrufen der Prüfung eines vertraulichen Kubernetes-Objekts | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud-Audit-Logs: GKE Data Access-Logs |
Ein potentiell böswilliger Akteur hat mithilfe des Befehls
|
| Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein ClusterRole-, RoleBinding-oder ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (RBAC) der vertraulichen Rolle cluster-admin zu ändern, indem er eine PUT- oder PATCH-Anfrage stellte. |
| Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit-Logs:
GKE Admin Activity-Logs |
Ein potenziell böswilliger Nutzer hat eine Anfrage für die Signierung des Zertifikats des Kubernetes-Masters erstellt, wodurch der Zugriff auf cluster-admin gewährt wird. |
| Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle cluster-admin zu erstellen.
|
| Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit-Logs: GKE Data Access-Logs |
Ein potentiell böswilliger Nutzer hat mit dem Befehl kubectl die Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet. |
| Rechteausweitung: Start eines privilegierten Kubernetes-Containers | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält. Bei einem privilegierten Container ist das Feld |
| Zugriff auf Anmeldedaten: Secrets, auf die im Kubernetes-Namespace zugegriffen wurde | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit-Logs: GKE Data Access-Logs |
Erkennt, wenn ein Dienstkonto im aktuellen Kubernetes-Namespace auf Secrets oder Dienstkonto-Token zugreift. |
| Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurdeVorschau | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit-Logs:
GKE Admin Activity-Logs |
Erkennt Ereignisse der Ressourcenerstellung von praktisch anonymen Internetnutzern. |
| Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde Vorschau | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit-Logs:
GKE Admin Activity-Logs |
Erkennt Ereignisse zur Ressourcenmanipulation von effektiv anonymen Internetnutzern. |
So aktivieren Sie die GKE-Bedrohungserkennung.
Registrieren Sie einen zulässigen Cluster in der erweiterten Stufe der Scans des Kubernetes-Sicherheitsstatus, um die GKE-Bedrohungserkennung zu aktivieren. Dadurch werden auch alle Funktionen aktiviert, die in der Basis-Stufe des Scannens des Kubernetes-Sicherheitsstatus enthalten sind, z. B. die Prüfung der Arbeitslastkonfiguration und das Einblenden von Sicherheitsbulletins.
Weitere Informationen finden Sie unter Bedrohungen in Clustern mit der GKE-Bedrohungserkennung finden.
Beschränkungen
Für die GKE-Bedrohungserkennung gelten die folgenden Einschränkungen:
- Nur in GKE Enterprise verfügbar
- Nur für Projekte in Organisationen verfügbar
- Unterstützt keine Security Command Center-Optionen wie die Konfiguration des Datenstandorts
- Zeigt nur Ergebnisse für Cluster an, die bei einer Flotte registriert sind
- GKE speichert Bedrohungsergebnisse, die bis zu 180 Tage lang keine betroffenen Ressourcen mehr haben
- Zeigt nur Ergebnisse für vorhandene Cluster an. Wenn Sie einen Cluster löschen, zeigt die GKE-Bedrohungserkennung das Ergebnis nicht mehr im GKE-Sicherheitsstatus-Dashboard an.