En esta página, se describe la detección de amenazas de GKE, que te permite analizar tus clústeres de GKE aptos para detectar amenazas activas en el panel de postura de seguridad de GKE. El panel de postura de seguridad de GKE te permite habilitar varias funciones de análisis y auditoría en clústeres de GKE aptos y muestra recomendaciones prácticas para ayudarte a resolver problemas de seguridad.
Cómo funciona
La detección de amenazas de GKE es una función avanzada del panel de postura de seguridad de GKE que está disponible para los usuarios de GKE Enterprise. Cuando tus clústeres de GKE se registran en una flota, la detección de amenazas de GKE evalúa tus registros de auditoría de GKE en Cloud Logging con un conjunto de reglas predefinidas para las amenazas de clústeres y cargas de trabajo. Si se encuentra una amenaza, verás un resultado en el panel de postura de seguridad de GKE con una descripción de la amenaza, el impacto potencial y las acciones recomendadas para mitigarla.
Todos los clústeres de GKE inscritos en tu flota se analizan de forma continua para detectar amenazas activas. Clasificamos las amenazas detectadas mediante tácticas de MITRE ATT&CK®.
La detección de amenazas de GKE cuenta con la tecnología del servicio Event Threat Detection de Security Command Center. En el panel de postura de seguridad de GKE, solo se evalúa el subconjunto de reglas que se aplican a GKE.
Funciones de postura de seguridad de GKE incluidas
La detección de amenazas de GKE se incluye en el nivel avanzado del análisis de posturas de seguridad de Kubernetes. Cuando activas la detección de amenazas de GKE en un clúster, también activas las siguientes funciones de análisis:
- Auditoría de la configuración de las cargas de trabajo
- Presentación del boletín de seguridad (vista previa)
Uso como parte de una estrategia de seguridad amplia
La detección de amenazas de GKE es uno de los diversos productos de observabilidad de seguridad que debes usar en tu entorno. Te recomendamos que uses otras funciones del panel de postura de seguridad de GKE, como el análisis de vulnerabilidades, para asegurarte de supervisar los clústeres en busca de una variedad de problemas de seguridad. Para obtener más información, consulta Acerca del panel de postura de seguridad en la documentación de GKE.
También te recomendamos que implementes tantas medidas de seguridad como Endurece la seguridad del clúster como puedas en tus clústeres y cargas de trabajo.
Precios
La detección de amenazas de GKE se ofrece sin costo adicional a través de GKE Enterprise.
Reglas predefinidas de detección de amenazas de GKE
En la siguiente tabla, se describen las reglas de evaluación con las que la detección de amenazas de GKE evalúa tus registros de auditoría de GKE:
| Nombre visible | Nombre de la API | Tipos de fuente del archivo de registro | Descripción |
|---|---|---|---|
| Defense Evasion: Se creó la implementación de cargas de trabajo de emergenciaVista previa | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta la implementación de cargas de trabajo que se implementan a través de la marca de emergencia para anular los controles de Autorización Binaria. |
| Defense Evasion: Se actualizó la implementación de cargas de trabajo de emergenciaVista previa | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta cuando las cargas de trabajo se actualizan con la marca de emergencia para anular los controles de Autorización Binaria. |
| Descubrimiento: Puede obtener la comprobación de objetos Kubernetes sensibles | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Registros de auditoría de Cloud: Registros de acceso a los datos de GKE |
Una persona potencialmente maliciosa intentó determinar qué objetos sensibles en
GKE puede consultar mediante el comando
|
| Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Para derivar privilegios, un agente potencialmente malicioso intentó modificar un objeto de
control de acceso basado en roles ClusterRole, RoleBinding o ClusterRoleBinding (RBAC)
del rol sensible cluster-admin
a través de una solicitud PUT o PATCH.
|
| Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Un actor potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, que le da acceso cluster-admin
. |
| Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Para derivar el privilegio, una persona potencialmente maliciosa intentó crear un objeto RoleBinding o ClusterRoleBinding nuevo para el rol cluster-admin.
|
| Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidas | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Registros de auditoría de Cloud: Registros de acceso a los datos de GKE |
Un agente potencialmente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl, usando credenciales de arranque comprometidas. |
| Elevación de privilegios: Lanzamiento de un contenedor Kubernetes privilegiado | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Un agente potencialmente malicioso creó un Pod que tiene contenedores con privilegios o contenedores con capacidades de elevación de privilegios. Un contenedor con privilegios tiene el campo |
| Acceso a credenciales: Secrets a los que se accedió en el espacio de nombres de Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Registros de auditoría de Cloud: Registros de acceso a los datos de GKE |
Detecta cuándo una cuenta de servicio accede a los secretos o a los tokens de la cuenta de servicio en el espacio de nombres actual de Kubernetes. |
| Acceso inicial: Recurso de GKE anónimo creado desde Internet Vista previa | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Detecta eventos de creación de recursos de usuarios de Internet realmente anónimos. |
| Acceso inicial: Recurso de GKE modificado de forma anónima desde Internet Vista previa | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Detecta eventos de manipulación de recursos de usuarios de Internet eficazmente anónimos. |
Cómo habilitar la detección de amenazas de GKE
Para habilitar la detección de amenazas de GKE, debes inscribir un clúster apto en el nivel avanzado del análisis de posturas de seguridad de Kubernetes. Esto también activa todas las capacidades incluidas en el nivel básico de análisis de posturas de seguridad de Kubernetes, como la auditoría de configuración de las cargas de trabajo y el boletín de seguridad.
Para obtener más información, consulta Encuentra amenazas en los clústeres mediante la detección de amenazas de GKE.
Limitaciones
Las siguientes limitaciones se aplican a la detección de amenazas de GKE:
- Solo disponible en GKE Enterprise
- Solo disponible para proyectos en organizaciones
- No admite opciones de Security Command Center, como la configuración de residencia de datos
- Solo muestra resultados para clústeres que están registrados en una flota
- GKE conserva los resultados de las amenazas que ya no tienen ningún recurso afectado asociado durante un máximo de 180 días.
- Solo muestra los resultados de los clústeres existentes. Si borras un clúster, la detección de amenazas de GKE ya no muestra el resultado en el panel de postura de seguridad de GKE.
¿Qué sigue?
- Acerca del panel de postura de seguridad de GKE
- Encuentra amenazas en clústeres con la detección de amenazas de GKE