Parches de seguridad

En este documento, se describe cómo Google administra las vulnerabilidades y los parches de seguridad de Google Kubernetes Engine (GKE) y Anthos. Salvo que se indique lo contrario, Anthos incluye las plataformas GKE y Anthos.

Aplicación de parches de responsabilidad compartida

La aplicación de parches es una responsabilidad compartida entre Google y el cliente. Las diferentes plataformas tienen distintas responsabilidades compartidas. Consulta los siguientes temas en cada plataforma para obtener más detalles:

Cómo descubrimos las vulnerabilidades

Google realizó grandes inversiones en diseño y seguridad de seguridad proactiva, pero incluso los sistemas de software de mejor diseño pueden tener vulnerabilidades. Para encontrar esas vulnerabilidades y aplicar parches antes de que puedan ser aprovechadas, Google hizo inversiones significativas en varios frentes.

Para fines de aplicación de parches, Anthos es una capa del sistema operativo (SO) con contenedores que se ejecutan en la parte superior. Los sistemas operativos, Container-Optimized OS o Ubuntu, están endurecidos y contienen la cantidad mínima de software necesario para ejecutar contenedores. Las funciones de Anthos se ejecutan como contenedores en la parte superior de las imágenes base.

Google identifica y corrige las vulnerabilidades y los parches faltantes de las siguientes maneras:

  • Container-Optimized OS: Google analiza las imágenes para identificar posibles vulnerabilidades y parches faltantes. El equipo de Container-Optimized OS revisa y resuelve los problemas.

  • Ubuntu: Canonical proporciona a Google las compilaciones de SO que tienen aplicadas todos los parches de seguridad disponibles.

Google analiza los contenedores mediante Container Registry Container Analysis a fin de descubrir vulnerabilidades y parches faltantes en Kubernetes y contenedores administrados por Google. Si hay correcciones disponibles, el analizador comienza automáticamente el proceso de aplicación de parches y actualizaciones.

Además del análisis automatizado, Google descubre vulnerabilidades desconocidas a los escáneres y aplica parches de las siguientes maneras.

Google realiza sus propias auditorías, pruebas de penetración y descubrimiento de vulnerabilidades en todas las plataformas de Anthos. Equipos especializados dentro de Google y proveedores de seguridad externos de confianza realizan su propia investigación sobre ataques. Google también trabajó con el CNCF a fin de proporcionar gran parte de la organización y la experiencia de asesoría técnica para la auditoría de seguridad de Kubernetes.

Google participa de forma activa con la comunidad de investigación de seguridad mediante varios programas de recompensas por detección de vulnerabilidades. Un programa dedicado de recompensas por detección de vulnerabilidades de Google Cloud proporciona recompensas significativas, que incluyen $133,337 para la mejor vulnerabilidad de la nube que se encuentra cada año. Para GKE, hay un programa que recompensa a los investigadores de seguridad si pueden interrumpir nuestros controles de seguridad. El programa abarca todas las dependencias de software de GKE.

Google colabora con otros socios de software de industria y código abierto que comparten vulnerabilidades, investigaciones de seguridad y parches antes del lanzamiento público de la vulnerabilidad. El objetivo de esta colaboración es aplicar un parche a grandes partes de la infraestructura de Internet antes de que se anuncie al público la vulnerabilidad. En algunos casos, Google contribuye con vulnerabilidades que se encuentran en esta comunidad. Por ejemplo, el proyecto cero de Google descubrió y publicó las vulnerabilidades Spectre y Meltdown. El equipo de seguridad de Google Cloud también encuentra y corrige vulnerabilidades en la máquina virtual (KVM) basada en kernel con regularidad.

La colaboración en seguridad de Google ocurre en muchos niveles. En ocasiones, se produce formalmente a través de programas en los que las organizaciones se registran a fin de recibir notificaciones previas al lanzamiento sobre vulnerabilidades de software para productos como Kubernetes y Envoy La colaboración también se realiza de manera informal debido a nuestra participación en muchos proyectos de código abierto, como el kernel de Linux, los entornos de ejecución de contenedores, la tecnología de virtualización y otros.

Para Kubernetes, Google es un miembro activo y fundador del comité de seguridad de productos y escribió gran parte del proceso de lanzamiento de seguridad. Google es miembro de la lista de distribuidores de Kubernetes que recibe una notificación previa sobre las vulnerabilidades y participa en la clasificación, la aplicación de parches, el desarrollo de mitigación y la comunicación de casi todas las vulnerabilidades graves de seguridad de Kubernetes. Google también descubrió por su cuenta varias vulnerabilidades de Kubernetes.

Si bien se detectan vulnerabilidades menos graves y se aplican parches fuera de estos procesos, las vulnerabilidades de seguridad más importantes se informan de forma privada a través de uno de los canales enumerados antes. Los informes anticipados le brindan a Google tiempo antes de que la vulnerabilidad se haga pública para investigar cómo afecta a Anthos, desarrollar parches o mitigaciones, y preparar consejos y comunicaciones para los clientes. Cuando sea posible, Google aplica parches a todos los clústeres antes del lanzamiento público de la vulnerabilidad.

Cómo se clasifican las vulnerabilidades

GKE realiza grandes inversiones en la seguridad de endurecimiento de toda la pila, incluidos el SO, el contenedor, Kubernetes y las capas de red, además de establecer valores predeterminados adecuados, parámetros de configuración endurecidas en la seguridad y componentes administrados. Juntos, estos esfuerzos ayudan a reducir el impacto y la probabilidad de vulnerabilidades.

El equipo de seguridad de Anthos clasifica las vulnerabilidades según el sistema de puntuación de vulnerabilidades de Kubernetes. En las clasificaciones, se tienen en cuenta muchos factores, como la configuración de GKE y Anthos, y el endurecimiento de la seguridad. Debido a estos factores y las inversiones que GKE realiza en seguridad, las clasificaciones de las vulnerabilidades de GKE y Anthos pueden diferir de otras fuentes de clasificación.

En la siguiente tabla, se describen las categorías de gravedad de las vulnerabilidades:

Gravedad Descripción
Crítico Una vulnerabilidad fácilmente capaz de afectar todos los clústeres mediante un atacante remoto no autenticado que representa un peligro para todo el sistema.
Alto Una vulnerabilidad que se puede aprovechar fácilmente para muchos clústeres que hace que se pierdan la confidencialidad, la integridad o la disponibilidad.
Medio Una vulnerabilidad que afecta a algunos clústeres en los que la pérdida de confidencialidad, integridad o disponibilidad está limitada por configuraciones comunes, dificultad de la explotación en sí, acceso obligatorio o interacción del usuario.
Bajo El resto de las vulnerabilidades. El riesgo de explotación es poco probable o las consecuencias de la explotación son limitadas.

Consulta los boletines de seguridad para ver ejemplos de vulnerabilidades, correcciones y mitigaciones, y sus calificaciones.

Cómo se parchan las vulnerabilidades

El parche de una vulnerabilidad implica actualizar a un nuevo número de versión de GKE o Anthos. Las versiones de GKE y Anthos incluyen componentes con versiones para el sistema operativo, los componentes de Kubernetes y otros contenedores que conforman la plataforma de Anthos. Para corregir algunas vulnerabilidades, solo se requiere una actualización del plano de control que Google realiza de manera automática en GKE, mientras que otras requieren actualizaciones del plano de control y de nodos.

Para mantener los clústeres con parches y endurecidos contra las vulnerabilidades de todos los niveles de gravedad, recomendamos usar la actualización automática de nodos en GKE (activada de forma predeterminada). En otras plataformas de Google, se recomienda que actualices los componentes de Anthos al menos una vez al mes.

Cronogramas de aplicación de parches

El objetivo de Google es mitigar las vulnerabilidades detectadas dentro de un período adecuado para los riesgos que representan. GKE se incluye en el ATO provisional de FedRAMP de Google Cloud, que requiere que las vulnerabilidades conocidas se solucionen en períodos específicos según su nivel de gravedad, como se especifica en FedRAMP RA-5d. El ATO provisional de FedRAMP de Google Cloud no incluye clústeres de Anthos alojados en VMware y clústeres de Anthos alojados en AWS, pero tenemos como objetivo los mismos períodos de solución en esos productos.

Cómo se comunican las vulnerabilidades y los parches

La mejor fuente de información actual sobre las vulnerabilidades y los parches de seguridad se encuentra en los feeds de boletines de seguridad de los siguientes productos:

  • GKE
  • clústeres de Anthos alojados en VMware
  • Clústeres de Anthos en AWS
  • Clústeres de Anthos en equipos físicos

Estos boletines siguen un esquema común de numeración de vulnerabilidades de Google Cloud y están vinculados desde la página principal de boletines de Google Cloud y las notas de la versión de GKE On-prem. Cada página de boletines de seguridad tiene un feed RSS en el que los usuarios pueden suscribirse para recibir actualizaciones.

En ocasiones, las vulnerabilidades se mantienen privadas bajo embargo por un tiempo. Los embargos permiten evitar la publicación anticipada de vulnerabilidades que pueden conducir a intentos de explotación antes de que se puedan tomar medidas para abordarlas. En las situaciones anteriores, las notas de la versión hacen referencia a las “actualizaciones de seguridad” hasta que se apruebe la divulgación. Después de que se aprueba la divulgación, Google actualiza las notas de la versión para incluir las vulnerabilidades específicas.

El equipo de seguridad de Anthos publica boletines de seguridad para vulnerabilidades graves y críticas. Cuando se requiere una acción del cliente para abordar estas vulnerabilidades altas y críticas, Google se comunica con los clientes por correo electrónico. Además, Google también puede comunicarse con los clientes con contratos de asistencia a través de canales de asistencia.