Halaman ini menjelaskan pemindaian kerentanan beban kerja, fitur dasbor postur keamanan Google Kubernetes Engine (GKE). Fitur ini membantu Anda meningkatkan keamanan deployment dengan otomatis memindai kerentanan dalam image penampung dan paket bahasa selama runtime. Anda dapat melihat masalah kerentanan yang diidentifikasi dan tindakan yang direkomendasikan di dasbor postur keamanan.
Halaman ini ditujukan bagi spesialis Keamanan dengan informasi untuk membuat keputusan yang tepat dan detail tentang penggunaan pemindaian kerentanan workload saat menerapkan solusi deteksi kerentanan pihak pertama dalam Google Cloud. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud , lihat Peran dan tugas pengguna GKE Enterprise umum.
Sebelum membaca halaman ini, pastikan Anda memahami informasi tentang kesesuaian dasbor postur keamanan dengan strategi keamanan Anda dengan membaca Penggunaan sebagai bagian dari strategi keamanan yang luas.
Jenis pemindaian kerentanan
Pemindaian kerentanan beban kerja mencakup kemampuan berikut:
- Pemindaian kerentanan sistem operasi (OS) Container
- Pemindaian kerentanan paket bahasa
Jika kerentanan ditemukan di image container atau paket bahasa Anda, GKE akan menampilkan hasilnya di dasbor postur keamanan di Konsol Google Cloud. GKE juga menambahkan entri ke Cloud Logging untuk pengauditan dan keterlacakan.
Pemindaian kerentanan container OS
GKE terus memindai image container yang berjalan di cluster GKE yang terdaftar. GKE menggunakan data kerentanan dari database CVE publik seperti NIST. Image dapat berasal dari registry image apa pun. Versi OS harus didukung untuk pemindaian. Untuk daftar sistem operasi yang didukung, lihat Versi Linux yang didukung.
Untuk mengetahui petunjuknya, lihat Mengaktifkan pemindaian kerentanan container OS.
Pemindaian kerentanan paket bahasa
GKE terus memindai container untuk menemukan kerentanan yang umum dalam paket bahasa, seperti paket Go atau Maven. Kami mendapatkan data kerentanan dari sumber publik seperti GitHub Advisory Database. Pemindai ini adalah pemindai Artifact Analysis, yang dapat Anda terapkan secara terpisah untuk melindungi repositori Artifact Registry. Di dasbor postur keamanan, image container dapat berasal dari registry image apa pun karena GKE memindai image saat beban kerja berjalan. Untuk mengetahui informasi tentang pemindaian Artifact Analysis, lihat Jenis pemindaian.
GKE menyediakan pemindaian berkelanjutan untuk paket bahasa Anda, bukan hanya memindai secara on demand atau saat alur kerja Anda mengirim perubahan ke image container Anda. Pemindaian berkelanjutan memastikan Anda diberi tahu tentang kerentanan baru segera setelah perbaikan tersedia, sehingga mengurangi waktu untuk penemuan dan perbaikan.
GKE memindai paket bahasa berikut:
- Go
- Maven
- JavaScript
- Python
Hanya kerentanan yang memiliki nomor CVE terkait yang ditampilkan di dasbor postur keamanan.
Mengaktifkan pemindaian kerentanan di GKE
Anda dapat mengaktifkan pemindaian kerentanan untuk cluster GKE sebagai berikut:
| Tingkat | Kemampuan yang diaktifkan | Persyaratan versi GKE |
|---|---|---|
Standardstandard |
Pemindaian kerentanan container OS |
|
Insight kerentanan lanjutanenterprise |
|
|
Untuk mengetahui petunjuk pengaktifan, lihat bagian Memindai beban kerja secara otomatis untuk mencari kerentanan yang umum.
Harga
Untuk mengetahui informasi harga, lihat Harga dasbor postur keamanan GKE
Tindakan apa yang disarankan GKE?
Setiap kerentanan di dasbor postur keamanan memiliki informasi mendetail seperti berikut:
- Deskripsi lengkap kerentanan, termasuk potensi dampak, jalur serangan, dan tingkat keparahan.
- Paket dan nomor versi telah diperbaiki.
- Link ke entri yang relevan dalam database CVE publik.
GKE tidak menunjukkan kerentanan jika tidak ada CVE yang sesuai dengan mitigasi yang dapat ditindaklanjuti.
Untuk ringkasan antarmuka dasbor postur keamanan, lihat Tentang dasbor postur keamanan.
Batasan
- GKE tidak mendukung pemindaian paket eksklusif dan dependensinya.
- GKE hanya menampilkan hasil kerentanan yang memiliki perbaikan yang tersedia dan nomor CVE yang tersedia di dasbor postur keamanan. Anda mungkin melihat lebih banyak hasil, seperti kerentanan tanpa perbaikan yang tersedia, jika Anda memindai image container yang sama dalam container registry.
- GKE menggunakan memori berikut pada setiap node pekerja untuk pemindaian kerentanan beban kerja:
- Pemindaian Container OS: 50 MiB
- Insight kerentanan lanjutan: 100 MiB
- GKE memiliki batasan berikut terkait ukuran setiap file yang berisi data paket dalam gambar Anda. GKE tidak akan memindai file
yang melebihi batas ukuran.
- Pemindaian Container OS: 30 MiB
- Insight kerentanan lanjutan: 60 MiB
- Penampung Windows Server tidak didukung.
- Pemindaian kerentanan beban kerja hanya tersedia untuk cluster dengan node kurang dari 1000.
- GKE tidak memindai node yang menggunakan arsitektur Arm, seperti jenis mesin T2A.
Dasbor postur keamanan mendukung hingga 150.000 temuan pemindaian kerentanan beban kerja aktif untuk setiap cluster. Jika jumlah temuan untuk cluster melebihi batas maksimum ini, dasbor postur keamanan akan berhenti menampilkan temuan kerentanan untuk cluster tersebut.
Untuk mengatasi masalah ini, gunakan mekanisme pemindaian di tingkat registry untuk mengidentifikasi kerentanan dalam image dan menerapkan patch. Atau, di cluster baru, deploy workload Anda dalam batch untuk mengidentifikasi dan mengurangi kerentanan. Jika jumlah temuan kerentanan kurang dari 150.000, dasbor postur keamanan akan mulai menampilkan temuan untuk cluster.
Langkah selanjutnya
- Mengaktifkan dan menggunakan pemindaian kerentanan beban kerja
- Pelajari kemampuan pemindaian lainnya di dasbor postur keamanan