Sobre a verificação de vulnerabilidades da carga de trabalho


Nesta página, descrevemos os recursos de verificação de vulnerabilidades da carga de trabalho oferecidos no painel de postura de segurança do Google Kubernetes Engine (GKE). Esta página é destinada a administradores de segurança que querem implementar soluções primárias de detecção de vulnerabilidades.

A verificação de vulnerabilidades de carga de trabalho é um conjunto de recursos no painel de postura de segurança que verifica automaticamente vulnerabilidades conhecidas nas imagens de contêiner e em pacotes de linguagens específicos durante a fase de ambiente de execução do ciclo de vida da entrega de software. Se o GKE detectar vulnerabilidades, o painel de postura de segurança exibirá detalhes sobre os problemas e fornecerá etapas de correção acionáveis para minimizá-los.

Para saber como o painel de postura de segurança se encaixa na sua estratégia de segurança, consulte Uso como parte de uma estratégia de segurança ampla.

Tipos de verificação de vulnerabilidades

A verificação de vulnerabilidades de cargas de trabalho inclui os seguintes recursos:

  • Verificação de vulnerabilidades do sistema operacional (SO) de contêineres
  • Verificação de vulnerabilidades de pacotes de linguagens

Se uma vulnerabilidade for encontrada nas imagens de contêiner ou nos pacotes de linguagens, o GKE exibirá os resultados no painel de postura de segurança no console do Google Cloud. O GKE também adiciona entradas ao Cloud Logging para auditoria e rastreabilidade.

Verificação de vulnerabilidades do SO do contêiner

O GKE verifica continuamente imagens de contêiner executadas em clusters registrados do GKE. Ele usa dados de vulnerabilidade de bancos de dados públicos de CVE, como o NIST. As imagens podem vir de qualquer registro de imagem. A versão do SO precisa ser compatível com a verificação. Para uma lista de sistemas operacionais compatíveis, consulte Versões compatíveis do Linux.

Para mais instruções, consulte Ativar a verificação de vulnerabilidades do SO do contêiner.

Verificação de vulnerabilidades de pacotes de linguagens

O GKE verifica continuamente os contêineres em busca de vulnerabilidades conhecidas em pacotes de linguagens, como os pacotes Go ou Maven. Recebemos os dados de vulnerabilidade de fontes públicas, como o GitHub Advisory Database. O verificador é o verificador do Artifact Analysis, que você pode implementar separadamente para proteger seus repositórios do Artifact Registry. No painel de postura de segurança, as imagens de contêiner podem vir de qualquer registro de imagem, porque o GKE verifica as imagens enquanto as cargas de trabalho são executadas. Para informações sobre a verificação do Artifact Analysis, consulte Tipos de verificação.

O GKE fornece a verificação contínua dos pacotes de linguagens, em vez de apenas verificá-los sob demanda ou quando os fluxos de trabalho enviam alterações às imagens de contêiner. A verificação contínua garante que você seja notificado sobre novas vulnerabilidades assim que as correções estiverem disponíveis, o que reduz o tempo até a descoberta e a correção.

O GKE verifica os seguintes pacotes de linguagens:

  • Go
  • Maven
  • JavaScript
  • Python

Somente vulnerabilidades que têm um número de CVE associado são exibidas no painel de postura de segurança.

Ativar a verificação de vulnerabilidades no GKE

É possível ativar a verificação de vulnerabilidades para clusters do GKE da seguinte maneira:

Nível Recursos ativados Requisito da versão do GKE
Standard
standard
Verificação de vulnerabilidades do SO do contêiner
  • GKE Enterprise Edition: ativado por padrão em todos os novos clusters que executam a versão 1.27 e posterior
  • GKE Standard Edition: ativado por padrão em todos os novos clusters do modo Autopilot com a versão 1.27 e posterior. Desativado por padrão em todos os novos modos Standard do Google Cloud.
Advanced Vulnerability Insights
enterprise
  • Verificação de vulnerabilidades do SO do contêiner
  • Verificação de vulnerabilidades de pacotes de linguagens
  • GKE Enterprise Edition: ativado por padrão em todos os novos clusters que executam a versão 1.27 e posterior
  • GKE Standard Edition: desativada por padrão em todos os clusters novos.

Para instruções de ativação, consulte Verificar automaticamente as cargas de trabalho em busca de vulnerabilidades conhecidas.

Preços

Para informações sobre preços, consulte Preços do painel de postura de segurança do GKE

Quais ações o GKE sugere?

Cada vulnerabilidade no painel de postura de segurança tem informações detalhadas, como as seguintes:

  • Uma descrição completa da vulnerabilidade, incluindo o possível impacto, os caminhos de ataque e a gravidade.
  • Pacotes e números de versão corrigidos.
  • Links para as entradas relevantes em bancos de dados CVEs públicos.

O GKE não mostrará uma vulnerabilidade se não houver um CVE correspondente com uma minimização acionável.

Para uma visão geral da interface do painel de postura de segurança, consulte Sobre o painel de postura de segurança.

Limitações

  • O GKE não oferece suporte à verificação de pacotes reservados e das dependências associadas a eles.
  • O GKE exibe apenas os resultados de vulnerabilidades que têm uma correção e um número de CVE disponíveis no painel de postura de segurança. Se você verificar as mesmas imagens de contêiner em um Container Registry, poderá ver mais resultados, como vulnerabilidades sem uma correção disponível.
  • O GKE usa a seguinte memória em cada nó de trabalho para a verificação de vulnerabilidades da carga de trabalho:
    • Verificação do SO do contêiner: 50 MiB
    • Advanced Vulnerability Insights: 100 MiB
  • O GKE tem as seguintes limitações quanto ao tamanho de cada arquivo que contém dados de pacote nas imagens. O GKE não verificará arquivos que excedam o limite de tamanho.
    • Verificação do SO do contêiner: 30 MiB
    • Advanced Vulnerability Insights: 60 MiB
  • Os contêineres do Windows Server não são compatíveis.
  • A verificação de vulnerabilidades da carga de trabalho está disponível apenas para clusters com menos de mil nós.
  • O GKE não verifica nós que usam a arquitetura Arm, como o tipo de máquina T2A.
  • O painel de postura de segurança oferece suporte para até 150.000 descobertas de verificação de vulnerabilidades de carga de trabalho ativa para cada cluster. Quando o número de descobertas de um cluster excede esse máximo, o painel de postura de segurança para de mostrar as descobertas de vulnerabilidade desse cluster.

    Para resolver esse problema, use um mecanismo de verificação no nível de registro para identificar vulnerabilidades em imagens e aplicar patches. Como alternativa, em um novo cluster, implante suas cargas de trabalho em lotes para identificar e mitigar vulnerabilidades. Quando o número de descobertas de vulnerabilidade é menor que 150.000, o painel de postura de segurança começa a exibir descobertas do cluster.

A seguir