GKE Security Posture: monitoramento proativo para clusters seguros

As abordagens tradicionais de segurança costumam ter dificuldade em lidar com a natureza dinâmica e distribuída dos ambientes em contêineres. O GKE Security Posture preenche essa lacuna ao oferecer uma visão centralizada das possíveis vulnerabilidades nos seus clusters GKE. Assim, você consegue identificar e tratar problemas antes que se tornem críticos.

O dashboard de security posture mostra a postura de segurança dos seus workloads em vários clusters durante o runtime.

Verificações de segurança de workloads

Esse recurso audita automaticamente a configuração de todos os workloads em execução em vários clusters e devolve recomendações práticas com pontuações de severidade para melhorar sua postura de segurança. Para cada workload elegível implantado, o GKE varre continuamente a especificação do workload e compara os campos e valores com os controles definidos na política de segurança subjacente.

Alguns exemplos de configurações que disparariam alertas:

• Pods que compartilham namespaces do host, permitindo que seus processos se comuniquem com processos do host e coletem informações dele, o que pode levar a um container escape. Ex.: spec.hostNetwork, spec.hostPID
• Contêineres privilegiados que compartilham namespaces com o host e não têm restrições de control group, seccomp, AppArmor e capabilities. Ex.: spec.containers[*].securityContext.privileged.
• Permitir que um contêiner rode como root via runAsUser ou quando a diretiva USER na imagem define o usuário root. Ex.: spec.securityContext.runAsNonRoot.

Aqui você encontra todos os campos verificados por esse recurso.

No dashboard de Security Posture, os problemas aparecem ordenados por severidade. Você também vê os detalhes de como mitigar cada achado.

GKE Security Posture Dashboard — Configuração de workloads

GKE Security Posture Dashboard — problemas

Varredura de vulnerabilidades

O GKE Security Posture oferece varredura de vulnerabilidades em duas modalidades: Básica e Avançada.

GKE Security Posture Dashboard — modalidades de varredura de vulnerabilidades

Varredura básica de vulnerabilidades — Varredura de vulnerabilidades do SO do contêiner:

É o modo básico de varredura, sem custo adicional. O GKE varre continuamente as imagens de contêiner em execução nos clusters GKE inscritos.

O GKE usa dados de vulnerabilidades de bases públicas de CVE, como o NIST. As imagens podem vir de qualquer registro de imagens.

A versão do SO precisa ser compatível com a varredura. Para ver a lista de sistemas operacionais suportados, consulte Versões do Linux suportadas.

Varredura avançada de vulnerabilidades — Varredura de pacotes de linguagem:

No modo avançado, além das varreduras de vulnerabilidades do SO, o GKE também varre continuamente os contêineres em busca de vulnerabilidades conhecidas em alguns pacotes de linguagem. Os dados vêm de fontes públicas, como o GitHub Advisory Database.

O scanner é o Artifact Analysis scanner, que pode ser implementado separadamente para proteger seus repositórios do Artifact Registry. No dashboard de security posture, as imagens de contêiner podem vir de qualquer registro, já que o GKE varre as imagens enquanto os workloads estão em execução. O GKE faz a varredura contínua dos seus pacotes de linguagem sempre que seus fluxos enviam alterações para as imagens de contêiner.

A varredura contínua garante que você seja avisado sobre novas vulnerabilidades assim que correções estiverem disponíveis, reduzindo o tempo de descoberta e remediação. O GKE varre os seguintes pacotes de linguagem: Go, Maven, Javascript, Python.

As varreduras são habilitadas automaticamente quando você cria novos clusters Autopilot na versão 1.27 ou superior. Em clusters Standard, é preciso habilitar manualmente.

Apenas vulnerabilidades com número de CVE associado aparecem no dashboard de security posture. A varredura avançada é um serviço pago, cobrado por cluster/por hora.

Veja mais detalhes aqui.

Exibição de boletins de segurança

Quando uma vulnerabilidade é descoberta no GKE, o Google aplica o patch e publica um boletim de segurança a respeito. Para informações sobre identificação, aplicação de patches e prazos, consulte GKE security patching.

Esse recurso é habilitado automaticamente ao criar um cluster Autopilot ou Standard, mas atualmente está em preview (jun/2024).

GKE Security Posture Dashboard — Boletins de segurança

Cadeia de suprimentos — Binary Authorization

O dashboard de security posture pode mostrar insights de outras soluções de segurança do Google Cloud em execução no seu projeto, e o Binary Authorization é um exemplo.

O dashboard de security posture não tem custo adicional. No entanto, o uso de outros recursos do Binary Authorization, como enforcement, é separado da funcionalidade do dashboard e está sujeito ao preço do Binary Authorization para GKE.

O Binary Authorization verifica os seguintes problemas em imagens de contêiner em execução:

• Imagens que usam a tag latest, de forma implícita ou explícita
• Imagens (implantadas por digest) enviadas ao Artifact Registry ou Container Registry (Descontinuado) há mais de 30 dias

Para mais detalhes sobre o Binary Authorization, confira este link.

GKE threat detection

O GKE threat detection é um recurso avançado disponível para usuários do GKE Enterprise sem custo adicional. Atualmente está em preview (jun/2024).

Quando seus clusters GKE estão registrados em uma fleet, o GKE threat detection avalia os logs de auditoria do GKE no Cloud Logging em relação a um conjunto de regras predefinidas para ameaças a clusters e workloads. Se uma ameaça for encontrada, você verá um achado no dashboard do GKE security posture com a descrição da ameaça, o impacto potencial e ações recomendadas para mitigá-la.

Todos os clusters GKE inscritos na sua fleet são varridos continuamente em busca de ameaças ativas. Classificamos as ameaças detectadas usando as táticas do MITRE ATT&CK®.

O GKE threat detection roda sobre o serviço Event Threat Detection do Security Command Center. No dashboard do GKE security posture, somente o subconjunto de regras aplicáveis ao GKE é avaliado.

Se você usa o Security Command Center nas camadas Standard ou Premium na sua organização ou projeto, verá os achados do dashboard de security posture diretamente no Security Command Center. Para saber mais sobre os tipos de achados do Security Command Center que vão aparecer, consulte Security sources.

Para conhecer mais a fundo o GKE Security Posture Dashboard, confira a documentação do Google aqui.

Se você ainda não conhece a DoiT International, vale muito a pena dar uma olhada. Nossa equipe está pronta para entender você e suas necessidades de engenharia em nuvem. Formada exclusivamente por talentos sêniores de engenharia, somos especializados em consultoria avançada em nuvem, design de arquitetura e suporte em depuração. Entre em contato e vamos conversar!