Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro

Autopilot Standard

Questa pagina descrive le funzionalità di analisi delle vulnerabilità dei carichi di lavoro offerte nella dashboard della strategia di sicurezza di Google Kubernetes Engine (GKE). Questa pagina è destinata agli amministratori della sicurezza che vogliono implementare soluzioni proprietarie di rilevamento delle vulnerabilità.

L'analisi delle vulnerabilità dei carichi di lavoro è un insieme di funzionalità della dashboard della postura di sicurezza che analizza automaticamente le vulnerabilità note nelle immagini container e in pacchetti di linguaggio specifici durante la fase di runtime del ciclo di vita della distribuzione del software. Se GKE rileva delle vulnerabilità, la dashboard della strategia di sicurezza mostra i dettagli dei problemi e fornisce azioni correttive per mitigare le vulnerabilità.

Per informazioni su come la dashboard della strategia di sicurezza si inserisce nella tua strategia di sicurezza, consulta Utilizzo di una strategia di sicurezza ampia.

Tipi di analisi delle vulnerabilità

L'analisi delle vulnerabilità dei carichi di lavoro include le seguenti funzionalità:

Analisi delle vulnerabilità del sistema operativo dei container
Analisi delle vulnerabilità dei pacchetti di linguaggi

Se viene rilevata una vulnerabilità nelle immagini container o nei pacchetti di linguaggio, GKE visualizza i risultati nella dashboard della security posture della console Google Cloud. Inoltre, GKE aggiunge a Cloud Logging le voci per il controllo e la tracciabilità.

Analisi delle vulnerabilità del sistema operativo dei container

GKE esegue la scansione continua delle immagini container in esecuzione su cluster GKE registrati. GKE utilizza i dati sulle vulnerabilità provenienti da database CVE pubblici come il NIST. Le immagini possono provenire da qualsiasi registro di immagini. La versione del sistema operativo deve essere supportata per la scansione. Per un elenco dei sistemi operativi supportati, vedi Versioni di Linux supportate.

Per le istruzioni, consulta Abilitare l'analisi delle vulnerabilità del sistema operativo dei container.

Analisi delle vulnerabilità dei pacchetti di linguaggi

GKE esegue una scansione continua dei container per verificare la presenza di vulnerabilità note nei pacchetti di linguaggio, come Go o Maven. I dati sulle vulnerabilità provengono da fonti pubbliche come il GitHub Advisory Database. Lo scanner è lo scanner Artifact Analysis, che puoi implementare separatamente per salvaguardare i tuoi repository Artifact Registry. Nella dashboard della postura di sicurezza, le immagini container possono provenire da qualsiasi registro di immagini, perché GKE analizza le immagini durante l'esecuzione dei carichi di lavoro. Per informazioni sulla scansione di Artifact Analysis, consulta Tipi di analisi.

GKE offre un'analisi continua dei pacchetti di linguaggio invece di quella solo on demand o quando i flussi di lavoro eseguono il push delle modifiche alle immagini container. L'analisi continua ti consente di ricevere una notifica relativa alle nuove vulnerabilità non appena sono disponibili correzioni, il che riduce i tempi di rilevamento e correzione.

GKE analizza i seguenti pacchetti di linguaggio:

Go
Maven
JavaScript
Python

Nella dashboard della security posture vengono visualizzate solo le vulnerabilità a cui è associato un numero CVE.

Abilita l'analisi delle vulnerabilità in GKE

Puoi abilitare l'analisi delle vulnerabilità per i cluster GKE nel seguente modo:

Livello	Funzionalità abilitate	Requisito di versione GKE
Standard `standard`	Analisi delle vulnerabilità del sistema operativo dei container	Versione di GKE Enterprise: abilitata per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive Versione di GKE Standard: abilitata per impostazione predefinita in tutti i nuovi cluster in modalità Autopilot che eseguono la versione 1.27 e successive. Disabilitato per impostazione predefinita in tutti i nuovi cluster in modalità Standard.
Approfondimenti avanzati sulle vulnerabilità `enterprise`	Analisi delle vulnerabilità del sistema operativo dei container Analisi delle vulnerabilità dei pacchetti di linguaggi	Versione di GKE Enterprise: abilitata per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive Versione di GKE Standard: disabilitata per impostazione predefinita in tutti i nuovi cluster.

Per le istruzioni di abilitazione, consulta Eseguire automaticamente la scansione dei carichi di lavoro per verificare la presenza di vulnerabilità note.

Prezzi

Per informazioni sui prezzi, consulta i prezzi delle dashboard della strategia di sicurezza di GKE

Quali azioni suggerisce GKE?

Ogni vulnerabilità nella dashboard della security posture contiene informazioni dettagliate come le seguenti:

Una descrizione completa della vulnerabilità, inclusi impatto potenziale, percorsi di attacco e gravità.
Pacchetti e numeri di versione corretti.
Link alle voci pertinenti nei database CVE pubblici.

GKE non mostra una vulnerabilità se non esiste una CVE corrispondente con una mitigazione utilizzabile.

Per una panoramica dell'interfaccia della dashboard della postura di sicurezza, consulta Informazioni sulla dashboard della postura di sicurezza.

Limitazioni

GKE non supporta la scansione dei pacchetti proprietari e delle relative dipendenze.
GKE visualizza solo i risultati per le vulnerabilità per cui è disponibile una correzione e un numero CVE. Se analizzi le stesse immagini container in un Container Registry, potresti vedere più risultati, ad esempio vulnerabilità senza una correzione disponibile.
GKE utilizza la seguente memoria su ogni nodo worker per l'analisi delle vulnerabilità dei carichi di lavoro:
- Scansione del sistema operativo dei container: 50 MiB
- Advanced Vulnerability Insights: 100 MiB
GKE prevede le seguenti limitazioni per le dimensioni di ogni file che contiene dati dei pacchetti nelle immagini. GKE non analizzerà i file che superano il limite di dimensione.
- Scansione del sistema operativo dei container: 30 MiB
- Advanced Vulnerability Insights: 60 MiB
I container Windows Server non sono supportati.
L'analisi delle vulnerabilità dei carichi di lavoro è disponibile solo per i cluster con meno di 1000 nodi.
GKE non analizza i nodi che utilizzano l'architettura Arm, come il tipo di macchina T2A.
La dashboard della security posture supporta fino a 150.000 risultati attivi dell'analisi delle vulnerabilità dei carichi di lavoro per ogni cluster. Quando il numero di risultati per un cluster supera questo limite massimo, la dashboard della postura di sicurezza smette di mostrare i risultati di vulnerabilità per il cluster.

Per risolvere il problema, utilizzare un meccanismo di analisi a livello di registro per identificare le vulnerabilità nelle immagini e applicare le patch. In alternativa, in un nuovo cluster, esegui il deployment dei carichi di lavoro in batch per identificare e mitigare le vulnerabilità. Quando il numero di risultati di vulnerabilità è inferiore a 150.000, la dashboard della postura di sicurezza inizia a visualizzare i risultati per il cluster.