GKE Security Posture: Proaktives Monitoring für sichere Cluster

Klassische Sicherheitsansätze stoßen in der dynamischen, verteilten Welt containerisierter Umgebungen schnell an ihre Grenzen. GKE Security Posture schließt diese Lücke und liefert eine zentrale Sicht auf potenzielle Schwachstellen in Ihren GKE-Clustern. So erkennen und beheben Sie Sicherheitsprobleme, bevor sie kritisch werden.

Das Security Posture dashboard zeigt die Sicherheitslage Ihrer workloads über mehrere Cluster hinweg zur Laufzeit.

Workload Security Checks

Diese Funktion auditiert automatisch die Konfiguration aller laufenden workloads über mehrere Cluster hinweg und liefert konkrete Empfehlungen samt Schweregrad, um Ihre Sicherheitslage zu verbessern. Für jeden in Frage kommenden, deployten Workload prüft GKE kontinuierlich die Spezifikation und gleicht Felder und Werte mit den Kontrollen der zugrunde liegenden Sicherheitsrichtlinie ab.

Beispiele für Konfigurationen, die hier Alarm auslösen würden:

• Pods, die Host-Namespaces gemeinsam nutzen und so ihren Prozessen erlauben, mit Host-Prozessen zu kommunizieren und Host-Informationen zu sammeln – das kann zu einem Container-Escape führen. Z. B.: spec.hostNetwork, spec.hostPID
• Privilegierte Container, die Namespaces mit dem Host teilen und keine Einschränkungen über Control Groups, seccomp, AppArmor oder Capabilities besitzen. Z. B.: spec.containers[*].securityContext.privileged.
• Container, die als root laufen dürfen – sei es über runAsUser oder weil die USER-Direktive im Image den root-Benutzer festlegt. Z. B.: spec.securityContext.runAsNonRoot.

Eine Übersicht aller Felder, die diese Funktion prüft, finden Sie hier.

Im Security Posture dashboard sehen Sie die Befunde nach Schweregrad sortiert. Zusätzlich werden Details angezeigt, wie sich die Findings beheben lassen.

GKE Security Posture dashboard – Workload-Konfiguration

GKE Security Posture dashboard – Findings

Vulnerability Scanning

GKE Security Posture bietet Vulnerability Scanning in zwei Varianten: Basic und Advanced.

GKE Security Posture dashboard – Varianten des Vulnerability Scannings

Basic Vulnerability Scanning – Container-OS-Schwachstellenscan:

Das ist der Basismodus des Vulnerability Scannings, der ohne Mehrkosten verfügbar ist. GKE scannt kontinuierlich Container-Images, die auf den eingebundenen GKE-Clustern laufen.

GKE greift dabei auf Schwachstellendaten aus öffentlichen CVE-Datenbanken wie NIST zurück. Die Images können aus jeder beliebigen Image Registry stammen.

Die OS-Version muss für den Scan unterstützt sein. Eine Liste der unterstützten Betriebssysteme finden Sie unter Supported Linux versions.

Advanced Vulnerability Scanning – Scan von Sprachpaketen:

Im Advanced-Modus prüft GKE zusätzlich zu den OS-Scans kontinuierlich Container auf bekannte Schwachstellen in einigen Sprachpaketen. Die Schwachstellendaten stammen aus öffentlichen Quellen wie der GitHub Advisory Database.

Als Scanner kommt der Artifact Analysis Scanner zum Einsatz, den Sie auch separat zur Absicherung Ihrer Artifact-Registry-Repositories einsetzen können. Im Security Posture dashboard können die Container-Images aus jeder Image Registry stammen, da GKE die Images zur Laufzeit der workloads scannt. Sobald Ihre Workflows Änderungen an den Container-Images pushen, prüft GKE Ihre Sprachpakete kontinuierlich.

Durch das kontinuierliche Scannen werden Sie über neue Schwachstellen informiert, sobald Fixes verfügbar sind – das verkürzt die Zeit bis zur Erkennung und Behebung. GKE scannt die folgenden Sprachpakete: Go, Maven, JavaScript, Python.

Bei neuen Autopilot-Clustern ab Version 1.27 sind die Scans automatisch aktiv. Bei Standard-Clustern müssen Sie sie selbst aktivieren.

Im Security Posture dashboard werden nur Schwachstellen mit zugehöriger CVE-Nummer angezeigt. Advanced Scanning ist ein kostenpflichtiger Service und wird pro Cluster und Stunde abgerechnet.

Weitere Details finden Sie hier.

Anzeige von Security Bulletins

Wird in GKE eine Schwachstelle entdeckt, patcht Google sie und veröffentlicht ein Security Bulletin. Informationen zur Identifizierung, zum Patching und zu Zeitplänen finden Sie unter GKE security patching.

Diese Funktion wird automatisch aktiviert, sobald Sie einen Autopilot- oder Standard-Cluster anlegen. Sie befindet sich derzeit allerdings in der Preview-Phase (Stand Juni 2024).

GKE Security Posture dashboard – Security Bulletins

Supply Chain – Binary Authorization

Das Security Posture dashboard kann Insights aus weiteren Google-Cloud-Sicherheitsangeboten einblenden, die in Ihrem Projekt laufen – ein Beispiel dafür ist Binary Authorization.

Für das Security Posture dashboard fallen keine zusätzlichen Kosten an. Die Nutzung weiterer Binary-Authorization-Funktionen wie Enforcement ist jedoch von der Dashboard-Funktionalität getrennt und unterliegt dem Pricing für Binary Authorization für GKE.

Binary Authorization prüft laufende Container-Images auf folgende Probleme:

• Images, die – implizit oder explizit – das Tag latest verwenden
• Images (per Digest deployt), die vor mehr als 30 Tagen in die Artifact Registry oder Container Registry ( Deprecated) hochgeladen wurden

Weitere Details zu Binary Authorization finden Sie unter diesem Link.

GKE Threat Detection

GKE Threat Detection ist eine erweiterte Funktion, die Nutzern von GKE Enterprise ohne Aufpreis zur Verfügung steht. Die Funktion befindet sich aktuell (Stand Juni 2024) in der Preview-Phase.

Sind Ihre GKE-Cluster in einer Fleet registriert, gleicht GKE Threat Detection Ihre GKE-Audit-Logs in Cloud Logging mit vordefinierten Regeln für Cluster- und Workload-Bedrohungen ab. Wird eine Bedrohung erkannt, sehen Sie ein Finding im GKE Security Posture dashboard – inklusive Beschreibung, möglicher Auswirkung und empfohlener Maßnahmen zur Abwehr.

Alle eingebundenen GKE-Cluster Ihrer Fleet werden kontinuierlich auf aktive Bedrohungen geprüft. Erkannte Bedrohungen werden anhand der MITRE ATT&CK®-Taktiken klassifiziert.

GKE Threat Detection basiert auf dem Event Threat Detection Service des Security Command Center. Im GKE Security Posture dashboard wird nur die Teilmenge der Regeln ausgewertet, die für GKE relevant sind.

Wenn Sie in Ihrer Organisation oder Ihrem Projekt das Security Command Center in der Standard- oder Premium-Tier nutzen, erscheinen die Findings des Security Posture dashboard auch im Security Command Center. Welche Arten von Findings dort angezeigt werden, lesen Sie unter Security sources.

Mehr zum GKE Security Posture dashboard finden Sie in der Google-Dokumentation hier.

Sie kennen DoiT International noch nicht? Dann sollten Sie uns unbedingt einmal kennenlernen. Unser Team möchte mehr über Sie und Ihre Anforderungen rund um Cloud Engineering erfahren. Mit ausschließlich erfahrenen Senior Engineers an Bord sind wir auf anspruchsvolle Cloud-Beratung, Architektur-Design und Debugging-Support spezialisiert. Schreiben Sie uns – wir freuen uns auf das Gespräch!