GKE Security Posture: monitoreo proactivo para clusters seguros

Los enfoques de seguridad tradicionales suelen quedarse cortos frente a la naturaleza dinámica y distribuida de los entornos en contenedores. GKE Security Posture cierra esa brecha al ofrecer una vista centralizada de las posibles vulnerabilidades de seguridad dentro de tus clusters de GKE. Así puedes identificar y resolver riesgos de seguridad antes de que se conviertan en problemas críticos.

El dashboard de security posture muestra la postura de seguridad de tus workloads en varios clusters durante el runtime.

Verificaciones de seguridad de workloads

Esta funcionalidad audita automáticamente la configuración de todos tus workloads en ejecución en varios clusters y entrega recomendaciones accionables con puntajes de severidad para mejorar tu postura de seguridad. Por cada workload elegible que esté desplegado, GKE escanea de forma continua su especificación y compara los campos y valores con los controles definidos en la política de seguridad subyacente.

Algunos ejemplos de configuraciones que dispararían una alerta:

• Pods que comparten namespaces del host, lo que permite que sus procesos se comuniquen con procesos del host y recopilen información del mismo, abriendo la puerta a un container escape. Por ejemplo: spec.hostNetwork, spec.hostPID
• Contenedores privilegiados que comparten namespaces con el host y carecen de restricciones de control group, seccomp, AppArmor y capabilities. Por ejemplo: spec.containers[*].securityContext.privileged.
• Permitir que un contenedor se ejecute como root mediante runAsUser o que la directiva USER de la imagen indique al usuario root. Por ejemplo: spec.securityContext.runAsNonRoot.

Aquí encuentras todos los campos que verifica esta funcionalidad.

En el dashboard de Security Posture verás los hallazgos ordenados por severidad. También puedes consultar el detalle sobre cómo mitigarlos.

GKE Security Posture Dashboard — Configuración de workloads

GKE Security Posture Dashboard — Hallazgos

Escaneo de vulnerabilidades

GKE Security Posture ofrece escaneo de vulnerabilidades en dos modalidades: básica y avanzada.

GKE Security Posture Dashboard — Modalidades de escaneo de vulnerabilidades

Escaneo básico de vulnerabilidades — Escaneo del SO del contenedor:

Es el modo básico de escaneo, sin costo adicional. GKE escanea de forma continua las imágenes de contenedor que se ejecutan en clusters de GKE inscritos.

GKE utiliza datos de vulnerabilidades de bases públicas de CVE como NIST. Las imágenes pueden provenir de cualquier registro de imágenes.

La versión del SO debe ser compatible con el escaneo. Para ver la lista de sistemas operativos soportados, consulta Versiones de Linux soportadas.

Escaneo avanzado de vulnerabilidades — Escaneo de paquetes de lenguajes:

En el modo avanzado, además del escaneo del SO, GKE también escanea de forma continua los contenedores en busca de vulnerabilidades conocidas en algunos paquetes de lenguajes. Los datos provienen de fuentes públicas como la GitHub Advisory Database.

El escáner es el de Artifact Analysis, que también puedes implementar por separado para proteger tus repositorios de Artifact Registry. En el dashboard de security posture, las imágenes de contenedor pueden provenir de cualquier registro de imágenes, ya que GKE las escanea mientras los workloads se ejecutan. GKE escanea de forma continua tus paquetes de lenguajes cuando tus workflows envían cambios a tus imágenes de contenedor.

El escaneo continuo garantiza que recibas notificaciones sobre nuevas vulnerabilidades apenas haya soluciones disponibles, lo que reduce el tiempo de descubrimiento y remediación. GKE escanea los siguientes paquetes de lenguajes: Go, Maven, Javascript, Python.

Los escaneos se habilitan automáticamente al crear nuevos clusters Autopilot con la versión 1.27 o posterior. Para los clusters Standard hay que habilitarlos manualmente.

En el dashboard de security posture solo se muestran las vulnerabilidades que tienen un número CVE asociado. El escaneo avanzado es un servicio de pago, que se cobra por cluster/por hora.

Puedes ver más detalles aquí.

Visibilidad de boletines de seguridad

Cuando se descubre una vulnerabilidad en GKE, Google la corrige y publica un boletín de seguridad al respecto. Para conocer detalles sobre identificación, parches y plazos, consulta Parches de seguridad de GKE.

Esta funcionalidad se habilita automáticamente al crear un cluster Autopilot o Standard, aunque actualmente está en preview (jun/2024).

GKE Security Posture Dashboard — Boletines de seguridad

Cadena de suministro — Binary Authorization

El dashboard de security posture puede mostrarte insights de otros productos de seguridad de Google Cloud que se estén ejecutando en tu proyecto, y un ejemplo es Binary Authorization.

El dashboard de security posture no tiene cargo adicional; sin embargo, usar otras funcionalidades de Binary Authorization, como la aplicación (enforcement), es independiente del dashboard y está sujeto a los precios de Binary Authorization para GKE.

Binary Authorization revisa los siguientes problemas en las imágenes de contenedor en ejecución:

• Imágenes que usan el tag latest, ya sea de forma implícita o explícita
• Imágenes (desplegadas por digest) que se subieron a Artifact Registry o Container Registry (Deprecado) hace más de 30 días

Para más detalles sobre Binary Authorization, revisa este enlace.

GKE threat detection

GKE threat detection es una capacidad avanzada disponible para los usuarios de GKE Enterprise sin costo adicional. Actualmente está en preview, jun/2024.

Cuando tus clusters de GKE están registrados en una fleet, GKE threat detection evalúa tus logs de auditoría de GKE en Cloud Logging contra un conjunto de reglas predefinidas para amenazas a clusters y workloads. Si se detecta una amenaza, verás un hallazgo en el dashboard de GKE security posture con la descripción, el impacto potencial y las acciones recomendadas para mitigarla.

Todos los clusters de GKE inscritos en tu fleet se escanean de forma continua en busca de amenazas activas. Las amenazas detectadas se clasifican según las tácticas MITRE ATT&CK®.

GKE threat detection se apoya en el servicio Event Threat Detection de Security Command Center. En el dashboard de GKE security posture solo se evalúa el subconjunto de reglas aplicables a GKE.

Si usas el tier Standard o Premium de Security Command Center en tu organización o proyecto, verás los hallazgos del dashboard de security posture dentro de Security Command Center. Para más detalles sobre los tipos de hallazgos de Security Command Center que aparecerán, consulta Fuentes de seguridad.

Si quieres saber más sobre el dashboard de GKE Security Posture, puedes revisar la documentación de Google aquí.

Si todavía no conoces a DoiT International, vale la pena que nos eches un vistazo. Nuestro equipo está listo para conocerte y entender tus necesidades de ingeniería en la nube. Conformados exclusivamente por talento senior de Engineering, nos especializamos en consultoría avanzada en la nube, diseño de arquitecturas y asesoría en debugging. Contáctanos y conversemos.