GKE Security Posture: monitoraggio proattivo per cluster sicuri

Gli approcci tradizionali alla sicurezza spesso non riescono a stare al passo con la natura dinamica e distribuita degli ambienti containerizzati. GKE Security Posture colma questo divario offrendo una visione centralizzata delle potenziali vulnerabilità all'interno dei suoi cluster GKE. In questo modo può individuare e risolvere i problemi di sicurezza prima che diventino criticità.

Il dashboard Security Posture mostra il livello di sicurezza dei suoi workloads su più cluster durante il runtime.

Workload Security Checks

Questa funzionalità verifica automaticamente la configurazione di tutti i workloads in esecuzione su più cluster e restituisce raccomandazioni concrete con un punteggio di gravità per migliorare il livello di sicurezza. Per ogni workload idoneo già distribuito, GKE analizza in continuo la specifica del workload e confronta campi e valori con i controlli definiti nella policy di sicurezza sottostante.

Ecco alcuni esempi di configurazioni che verrebbero segnalate:

• Pod che condividono i namespace dell'host: i loro processi possono comunicare con quelli dell'host e raccoglierne informazioni, con il rischio di un container escape. Es.: spec.hostNetwork, spec.hostPID
• Container privilegiati che condividono i namespace con l'host e privi di restrizioni su control group, seccomp, AppArmor e capability. Es.: spec.containers[*].securityContext.privileged.
• Container eseguiti come root tramite runAsUser oppure tramite la direttiva USER nell'immagine, che imposta l'utente root. Es.: spec.securityContext.runAsNonRoot.

Qui trova tutti i campi controllati da questa funzionalità.

Nel dashboard Security Posture vedrà i problemi ordinati per gravità e potrà consultare i dettagli su come mitigare ciascuna rilevazione.

GKE Security Posture Dashboard — Configurazione del workload

GKE Security Posture Dashboard — Problemi rilevati

Vulnerability scanning

GKE Security Posture offre il vulnerability scanning in due varianti: Basic e Advanced.

GKE Security Posture Dashboard — Varianti del vulnerability scanning

Basic vulnerability scanning — Container OS vulnerability scanning:

È la modalità di base del vulnerability scanning, senza costi aggiuntivi. GKE analizza in continuo le immagini dei container in esecuzione sui cluster GKE registrati.

GKE attinge ai dati sulle vulnerabilità da database CVE pubblici come NIST. Le immagini possono provenire da qualsiasi image registry.

Per essere analizzata, la versione del sistema operativo deve essere supportata. Per l'elenco dei sistemi operativi supportati, consulti Versioni Linux supportate.

Advanced vulnerability scanning — Language package scanning:

Nella modalità avanzata, oltre alla scansione delle vulnerabilità del sistema operativo, GKE analizza in continuo i container alla ricerca di vulnerabilità note in alcuni pacchetti di linguaggio. I dati provengono da fonti pubbliche come il GitHub Advisory Database.

Lo scanner utilizzato è quello di Artifact Analysis, che può essere implementato anche separatamente per proteggere i suoi repository in Artifact Registry. Nel dashboard Security Posture, le immagini dei container possono provenire da qualsiasi image registry, perché GKE le analizza mentre i workloads sono in esecuzione. GKE esegue una scansione continua dei pacchetti di linguaggio ogni volta che i suoi workflow inviano modifiche alle immagini dei container.

La scansione continua le garantisce di ricevere una notifica delle nuove vulnerabilità non appena sono disponibili le correzioni, riducendo i tempi di rilevamento e di remediation. GKE analizza i seguenti pacchetti di linguaggio: Go, Maven, Javascript, Python.

Le scansioni vengono abilitate automaticamente alla creazione di nuovi cluster Autopilot in versione 1.27 o successiva. Per i cluster Standard è invece necessario abilitarle manualmente.

Nel dashboard Security Posture vengono visualizzate solo le vulnerabilità con un numero CVE associato. La scansione avanzata è un servizio a pagamento, fatturato per cluster e per ora.

Maggiori dettagli sono disponibili qui.

Pubblicazione dei security bulletin

Quando viene scoperta una vulnerabilità in GKE, Google la corregge e pubblica un security bulletin dedicato. Per informazioni su identificazione, patching e tempistiche, consulti GKE security patching.

Questa funzionalità viene abilitata automaticamente alla creazione di un cluster Autopilot o Standard, ma al momento è in preview (giugno 2024).

GKE Security Posture Dashboard — Security bulletin

Supply chain — Binary Authorization

Il dashboard Security Posture può mostrare informazioni provenienti da altri servizi di sicurezza di Google Cloud attivi nel suo progetto: un esempio è Binary Authorization.

Il dashboard Security Posture non comporta costi aggiuntivi; tuttavia, l'utilizzo di altre funzionalità di Binary Authorization, come l'enforcement, è separato dal dashboard ed è soggetto al pricing di Binary Authorization for GKE.

Binary Authorization verifica i seguenti aspetti delle immagini dei container in esecuzione:

• Immagini che utilizzano il tag latest, in modo implicito o esplicito
• Immagini (distribuite tramite digest) caricate su Artifact Registry o Container Registry (Deprecato) più di 30 giorni fa

Per maggiori dettagli su Binary Authorization, consulti questo link.

GKE threat detection

GKE threat detection è una funzionalità avanzata, disponibile senza costi aggiuntivi per gli utenti GKE Enterprise. Al momento è in preview (giugno 2024).

Quando i suoi cluster GKE sono registrati in una fleet, GKE threat detection valuta i log di audit di GKE in Cloud Logging confrontandoli con un insieme di regole predefinite per individuare minacce a livello di cluster e di workload. In presenza di una minaccia, vedrà un finding nel dashboard GKE Security Posture con la descrizione, l'impatto potenziale e le azioni consigliate per mitigarla.

Tutti i cluster GKE registrati nella sua fleet vengono analizzati in continuo alla ricerca di minacce attive. Le minacce rilevate sono classificate secondo le tattiche MITRE ATT&CK®.

GKE threat detection si basa sul servizio Event Threat Detection di Security Command Center. Nel dashboard GKE Security Posture vengono valutate solo le regole applicabili a GKE.

Se nella sua organizzazione o nel suo progetto utilizza il tier Standard o Premium di Security Command Center, troverà i finding del dashboard Security Posture direttamente in Security Command Center. Per maggiori dettagli sui tipi di finding visualizzati, consulti Security sources.

Per approfondire il GKE Security Posture Dashboard, può consultare la documentazione di Google qui.

Se non conosce ancora DoiT International, le consigliamo di scoprirci. Il nostro team è pronto ad ascoltare le sue esigenze di cloud engineering. Composto esclusivamente da Engineers senior, è specializzato in consulenza cloud avanzata, progettazione architetturale e supporto al debugging. Ci contatti: ne parliamo insieme!