Kubernetes Security Posture Management (KSPM) para Cloud Security Management (CSM) te ayuda a reforzar de forma proactiva la postura de seguridad de tus despliegues de Kubernetes comparando tu entorno con las prácticas recomendadas establecidas del sector, como las definidas por CIS, o con tus propias políticas de detección personalizadas.

Configuración de KSPM

Para sacar el máximo partido de KSPM, debes instalar tanto el Datadog Agent como las integraciones en la nube. Para obtener instrucciones detalladas, consulta los siguientes artículos:

Esto permite a Datadog detectar riesgos en tus despliegues de Kubernetes para cada uno de los siguientes tipos de recursos:

Tipo de recursoMétodo de instalaciónMarco
aws_eks_clusterIntegración en la nubecis-eks
aws_eks_worker_nodeAgentcis-eks
azure_aks_clusterIntegración en la nubecis-aks
azure_aks_worker_nodeAgentcis-aks
kubernetes_master_nodeAgentcis-kubernetes
kubernetes_worker_nodeAgentcis-kubernetes

Monitorizar el riesgo en todos los despliegues de Kubernetes

Con KSPM, Datadog analiza tu entorno en busca de riesgos definidos por más de 50 reglas de detección predefinidas de Kubernetes. Cuando al menos un caso definido en una regla coincide durante un periodo determinado, se envía una alerta de notificación y se genera un hallazgo en el Misconfigurations Explorer.

Cada hallazgo contiene el contexto que necesitas para identificar el impacto del problema, como la configuración completa del recurso, las etiquetas (tags) a nivel de recurso y un mapa de las relaciones del recurso con otros componentes de tu infraestructura. Después de comprender el problema y su impacto, puedes empezar a solucionar el problema creando un tique de Jira desde CSM o ejecutando un flujo de trabajo predefinido.

Nota: Tambiéns puede utilizar la API para interactuar mediante programación con los hallazgos.

El panel de detalles para un hallazgo de gravedad alta para la regla EKS Cluster should have public access limited rule

Evalúa tu posición de seguridad en Kubernetes con respecto a los marcos estándar del sector.

CSM proporciona una puntuación de la posición de seguridad que te ayuda a comprender tu estado de seguridad y cumplimiento utilizando una única métrica. La puntuación representa el porcentaje de tu entorno que satisface todas tus reglas activas de detección en la nube e infraestructura. Puedes obtener la puntuación para toda tu organización o para equipos, cuentas y entornos específicos, incluidos los despliegues de Kubernetes.

Para obtener una explicación detallada sobre el funcionamiento de la puntuación de la posición de seguridad, consulta Puntuación de la posición de seguridad.

Ver la puntuación de la posición de seguridad de los despliegues de Kubernetes

Para ver la puntuación de la posición de seguridad de tus despliegues de Kubernetes, navega a la página Security > Compliance (Seguridad > Cumplimiento) y localiza los informes de marcos de CIS Kubernetes.

Ver informes detallados de los marcos de Kubernetes

Para ver un informe detallado que te permita conocer tu puntuación con respecto a los requisitos y normas del marco, haz clic en Framework Overview (Descripción general del marco). En la página del marco, puedes descargar una copia del informe en formato PDF o exportarlo como CSV.

La página del informe de cumplimiento de CIS Kubernetes que muestra una puntuación de posición general del 64 porciento

Crea tus propias reglas de detección en Kubernetes

Además de las reglas de detección predefinidas, también puedes crear tus propias reglas de detección en Kubernetes clonando una regla existente o creando una nueva desde cero. Las reglas se escriben en el lenguaje de política Rego, un lenguaje flexible similar a Python que sirve como estándar de la industria para reglas de detección. Para más información, consulta Escribir reglas personalizadas con Rego.

Después de crear la regla de detección, puedes personalizar su gravedad (Critical, High, Medium, Low o Info) y establecer alertas para notificaciones en tiempo real para que te notifique cuando se detecte un nuevo hallazgo.

Referencias adicionales

PREVIEWING: esther/docs-9518-update-example-control-sensitive-log-data