Nesta página, descrevemos a detecção de ameaças do GKE, que permite verificar se há ameaças ativas nos clusters qualificados do GKE no painel de postura de segurança do GKE. O painel de postura de segurança do GKE permite ativar vários recursos de verificação e auditoria em clusters qualificados do GKE e exibe recomendações acionáveis para ajudar você a resolver problemas de segurança.
Como funciona
A detecção de ameaças do GKE é um recurso avançado do painel de postura de segurança do GKE que está disponível para os usuários do GKE Enterprise. Quando seus clusters do GKE são registrados em uma frota, a detecção de ameaças do GKE avalia seus registros de auditoria do GKE no Cloud Logging em relação a um conjunto de regras predefinidas para ameaças a clusters e cargas de trabalho. Se uma ameaça for encontrada, você verá uma descoberta no painel de postura de segurança do GKE com uma descrição da ameaça, o possível impacto e as ações recomendadas para mitigá-la.
Todos os clusters do GKE registrados em toda a frota são verificados continuamente em busca de ameaças ativas. Classificamos as ameaças detectadas usando as táticas MITRE ATT&CK®.
A detecção de ameaças do GKE é feita pelo serviço de detecção de ameaças a eventos do Security Command Center. No painel de postura de segurança do GKE, apenas o subconjunto de regras que se aplicam ao GKE é avaliado.
Recursos de postura de segurança do GKE incluídos
A detecção de ameaças do GKE está incluída no nível avançado de verificação de postura de segurança do Kubernetes. Ao ativar a detecção de ameaças do GKE em um cluster, você também ativa os seguintes recursos de verificação:
Uso como parte de uma estratégia de segurança ampla
A detecção de ameaças do GKE é um dos vários produtos de observabilidade de segurança que precisam ser usados no seu ambiente. Recomendamos que você use outros recursos do painel de postura de segurança do GKE, como a verificação de vulnerabilidades, para garantir que esteja monitorando seus clusters em busca de diversos problemas de segurança. Para mais informações, consulte Sobre o painel de postura de segurança na documentação do GKE.
Também recomendamos que você implemente o máximo possível de medidas de segurança em Aumente a segurança do cluster nos seus clusters e cargas de trabalho.
Preços
O GKE Threat Detection é oferecido sem custo financeiro adicional pelo GKE Enterprise.
Regras predefinidas de detecção de ameaças do GKE
Na tabela a seguir, descrevemos as regras de avaliação em que o GKE Threat Detection avalia seus registros de auditoria do GKE:
| Nome de exibição | Nome da API | Tipos de origem do registro | Descrição |
|---|---|---|---|
| Evasão de defesa: implantação forçada de carga de trabalho criadaVisualização | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecta a implantação de cargas de trabalho implantadas usando a sinalização de implantação forçada para modificar os controles da autorização binária. |
| Evasão de defesa: implantação forçada da carga de trabalho atualizadaVisualização | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecta quando as cargas de trabalho são atualizadas usando a sinalização de implantação forçada para modificar os controles da autorização binária. |
| Descoberta: pode receber verificações de objetos sensíveis do Kubernetes. | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Registros de auditoria do Cloud: Registros de acesso a dados do GKE |
Uma pessoa mal-intencionada tentou determinar quais objetos confidenciais no
GKE eles podem consultar usando o comando
|
| Escalonamento de privilégios: mudanças em objetos sensíveis com RBAC do Kubernetes. | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Registros de auditoria do Cloud: Registros de atividade do administrador GKE |
Para escalonar o privilégio, um usuário possivelmente malicioso tentou modificar um objeto de controle de acesso baseado em papéis (RBAC) ClusterRole, RoleBinding ou ClusterRoleBinding do papel sensível cluster-admin usando uma solicitação PUT ou PATCH. |
| Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre. | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Registros de auditoria do Cloud: Registros de atividade do administrador GKE |
Uma pessoa possivelmente maliciosa criou uma solicitação
de assinatura de certificado (CSR) do Kubernetes, o que concede a ela acesso cluster-admin
. |
| Encaminhamento de privilégios: criação de vinculações confidenciais do Kubernetes | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Para escalonar o privilégio, um usuário possivelmente
mal-intencionado tentou criar um novo objeto RoleBinding ou ClusterRoleBinding para
o papel
cluster-admin.
|
| Escalonamento de privilégios: receba a CSR do Kubernetes com credenciais de bootstrap comprometidas | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Registros de auditoria do Cloud: Registros de acesso a dados do GKE |
Uma pessoa mal-intencionada consultada para uma
solicitação de assinatura de certificado (CSR), com o comando
kubectl, usando credenciais de inicialização comprometida. |
| Escalonamento de privilégios: lançamento do contêiner com privilégios do Kubernetes | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Registros de auditoria do Cloud: Registros de atividade do administrador GKE |
Uma pessoa possivelmente maliciosa criou um pod com contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios. Um contêiner privilegiado tem o campo |
| Acesso credencial: segredos acessados no namespace do Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Registros de auditoria do Cloud: Registros de acesso a dados do GKE |
Detecta quando secrets ou tokens de conta de serviço são acessados por uma conta de serviço no namespace atual do Kubernetes. |
| Acesso inicial: recurso anônimo do GKE criado na Internet pré-lançamento | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoria do Cloud: Registros de atividade do administrador GKE |
Detecta eventos de criação de recursos de usuários da Internet efetivamente anônimos. |
| Acesso inicial: recurso do GKE modificado anonimamente pela Internet pré-lançamento | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoria do Cloud: Registros de atividade do administrador GKE |
Detecta eventos de manipulação de recursos por usuários da Internet efetivamente anônimos. |
Como ativar a detecção de ameaças do GKE
Para ativar a detecção de ameaças do GKE, registre um cluster qualificado no nível avançado da verificação de postura de segurança do Kubernetes. Isso também ativa todos os recursos incluídos no nível básico de verificação de postura de segurança do Kubernetes, como auditoria de configuração de carga de trabalho e exibição do boletim de segurança.
Para saber mais, consulte Encontrar ameaças em clusters usando o GKE Threat Detection.
Limitações
As seguintes limitações se aplicam ao GKE Threat Detection:
- Disponível apenas no GKE Enterprise
- Disponível apenas para projetos em organizações
- Não oferece suporte às opções do Security Command Center, como a configuração de residência de dados
- Mostra apenas resultados de clusters registrados em uma frota
- O GKE retém as descobertas de ameaças que não têm mais recursos afetados associados por até 180 dias
- Mostra apenas resultados de clusters atuais. Se você excluir um cluster, o GKE Threat Detection não mostrará mais a descoberta no painel de postura de segurança do GKE.
A seguir
- Saiba mais sobre o painel de postura de segurança do GKE
- Encontrar ameaças em clusters usando o GKE Threat Detection