Cette page décrit les fonctionnalités d'analyse des failles des charges de travail proposées dans le tableau de bord de stratégie de sécurité de Google Kubernetes Engine (GKE). Cette page est destinée aux administrateurs de sécurité qui souhaitent mettre en œuvre des solutions de détection des failles propriétaires.
L'analyse des failles des charges de travail est un ensemble de fonctionnalités du tableau de bord de stratégie de sécurité qui analyse automatiquement les failles connues dans vos images de conteneurs et dans des packages de langages spécifiques pendant la phase d'environnement d'exécution du cycle de vie de la livraison de logiciels. Si GKE détecte des failles, le tableau de bord de stratégie de sécurité affiche les détails des problèmes et fournit des mesures correctives exploitables pour les atténuer.
Pour en savoir plus sur l'intégration du tableau de bord de stratégie de sécurité dans votre stratégie de sécurité, consultez la section Utilisation dans le cadre d'une stratégie de sécurité globale.
Types d'analyse de failles
L'analyse des failles des charges de travail inclut les fonctionnalités suivantes :
- Analyse des failles du Container OS
- Analyse des failles des packages de langages
Si une faille est détectée dans vos images de conteneur ou vos packages de langages, GKE affiche les résultats dans le tableau de bord de stratégie de sécurité dans la console Google Cloud. GKE ajoute également des entrées à Cloud Logging pour le traçage et l'audit.
Analyse des failles de Container OS
GKE analyse en continu les images de conteneurs qui s'exécutent sur des clusters GKE enregistrés. GKE utilise des données de failles provenant de bases de données CVE publiques telles que NIST. Les images peuvent provenir de n'importe quel registre d'images. La version du système d'exploitation doit être compatible avec l'analyse. Pour obtenir la liste des systèmes d'exploitation compatibles, consultez la page Versions Linux compatibles.
Pour obtenir des instructions, consultez la section Activer l'analyse des failles de Container OS.
Analyse des failles des packages de langages
GKE analyse en permanence les conteneurs à la recherche de failles connues dans les packages de langages tels que Go ou Maven. Nous obtenons des données sur les failles à partir de sources publiques telles que la base de données Advisory GitHub. L'outil d'analyse est Artifact Analysis, que vous pouvez mettre en œuvre séparément pour protéger vos dépôts Artifact Registry. Dans le tableau de bord de stratégie de sécurité, les images de conteneur peuvent provenir de n'importe quel registre d'images, car GKE analyse les images pendant l'exécution des charges de travail. Pour en savoir plus sur l'analyse Artifact Analysis, consultez la page Types d'analyse.
GKE fournit une analyse continue de vos packages de langages au lieu de procéder à une analyse à la demande ou lorsque vos workflows exécutent des modifications sur vos images de conteneurs. L'analyse continue vous permet de recevoir des notifications en cas de nouvelles failles dès que des correctifs sont disponibles, ce qui réduit le temps de détection et de résolution.
GKE analyse les packages de langages suivants :
- Go
- Maven
- JavaScript
- Python
Seules les failles auxquelles un numéro CVE est associé s'affichent dans le tableau de bord de stratégie de sécurité.
Activer l'analyse des failles dans GKE
Vous pouvez activer l'analyse des failles pour les clusters GKE comme suit :
Niveau | Fonctionnalités activées | Exigence de version GKE |
---|---|---|
Standardstandard |
Analyse des failles de Container OS |
|
Advanced Vulnerability Insightsenterprise |
|
|
Pour obtenir des instructions d'activation, consultez la section Rechercher automatiquement les failles connues dans les charges de travail.
Tarifs
Pour en savoir plus sur la tarification, consultez la page Tarifs du tableau de bord de stratégie de sécurité GKE.
Quelles actions sont suggérées par GKE ?
Chaque faille du tableau de bord de stratégie de sécurité contient des informations détaillées, telles que :
- Une description complète de la faille, y compris son impact potentiel, les chemins d'attaque et la gravité.
- Des packages corrigés et des numéros de version.
- Des liens vers les entrées pertinentes dans les bases de données CVE publiques.
GKE n'affiche pas de faille s'il n'existe pas de CVE correspondante avec une atténuation exploitables.
Pour obtenir une présentation de l'interface du tableau de bord de stratégie de sécurité, consultez la section À propos du tableau de bord de stratégie de sécurité.
Limites
- GKE n'est pas compatible avec l'analyse des packages propriétaires et de leurs dépendances.
- GKE n'affiche que les résultats des failles disposant d'un correctif disponible et d'un numéro CVE dans le tableau de bord de stratégie de sécurité. Vous pouvez obtenir plus de résultats, tels que des failles sans correction disponible, si vous analysez les mêmes images de conteneurs dans un registre de conteneurs.
- GKE utilise la mémoire suivante sur chaque nœud de calcul pour l'analyse des failles des charges de travail :
- Analyse de Container OS : 50 Mio
- Insights sur les failles avancés : 100 Mio
- GKE impose les limites suivantes pour la taille de chaque fichier contenant des données de package dans vos images. GKE n'analyse pas les fichiers qui dépassent la taille maximale.
- Analyse de Container OS : 30 Mio
- Insights sur les failles avancés : 60 Mio
- Les conteneurs Windows Server ne sont pas compatibles.
- L'analyse des failles des charges de travail n'est disponible que pour les clusters de moins de 1 000 nœuds.
- GKE n'analyse pas les nœuds qui utilisent l'architecture Arm, telle que le type de machine T2A.
Le tableau de bord de stratégie de sécurité accepte jusqu'à 150 000 résultats d'analyse des failles de charge de travail active pour chaque cluster. Lorsque le nombre de résultats pour un cluster dépasse ce maximum, le tableau de bord de stratégie de sécurité cesse d'afficher les résultats d'analyse des failles pour ce cluster.
Pour résoudre ce problème, utilisez un mécanisme d'analyse au niveau du registre pour identifier les failles dans les images et appliquer des correctifs. Dans un nouveau cluster, vous pouvez également déployer vos charges de travail par lots pour identifier et limiter les failles. Lorsque le nombre de résultats d'analyse des failles est inférieur à 150 000, le tableau de bord de stratégie de sécurité commence à afficher les résultats pour le cluster.
Étapes suivantes
- Activer et utiliser l'analyse des failles des charges de travail
- Découvrez d'autres fonctionnalités d'analyse dans le tableau de bord de stratégie de sécurité.