ワークロードの脆弱性スキャンについて

Autopilot Standard

このページでは、Google Kubernetes Engine（GKE）セキュリティポスチャーダッシュボードの機能であるワークロード脆弱性スキャンについて説明します。この機能は、ランタイム中にコンテナイメージと言語パッケージの脆弱性を自動的にスキャンすることで、デプロイのセキュリティを強化します。検出された脆弱性の問題と推奨されるアクションは、セキュリティポスチャーダッシュボードで確認できます。

このページは、 Google Cloudにファーストパーティの脆弱性検出ソリューションを実装する際に、適切な判断を行うための情報と、ワークロードの脆弱性スキャンの使用方法に関する情報を必要とするセキュリティ担当者を対象としています。 Google Cloud のコンテンツで使用されている一般的なロールとタスクの例の詳細については、一般的な GKE Enterprise ユーザーロールとタスクをご覧ください。

このページを読む前に、広範なセキュリティ戦略の一環としての使用で、セキュリティポスチャーダッシュボードが自社のセキュリティ戦略にどのように適合するかについて確認してください。

脆弱性スキャンの種類

ワークロードの脆弱性スキャンには、次の機能があります。

コンテナオペレーティングシステム（OS）の脆弱性スキャン
言語パッケージの脆弱性スキャン

コンテナイメージや言語パッケージに脆弱性が見つかると、GKE は、その結果を Google Cloud コンソールのセキュリティポスチャーダッシュボードに表示します。また、GKE は監査とトレーサビリティのために Cloud Logging にもエントリを追加します。

コンテナ OS の脆弱性スキャン

GKE は、登録済みの GKE クラスタで実行されるコンテナイメージを継続的にスキャンします。GKE は、NIST などの公開 CVE データベースからの脆弱性データを使用します。イメージは、任意のイメージレジストリから取得できます。OS のバージョンは、スキャンに対応している必要があります。サポート対象のオペレーティングシステムの一覧については、サポートされている Linux のバージョンをご覧ください。

手順については、コンテナ OS の脆弱性スキャンを有効にするをご覧ください。

言語パッケージの脆弱性スキャン

GKE は、言語パッケージ（Go パッケージや Maven パッケージなど）の既知の脆弱性を検査するためにコンテナを継続的にスキャンします。脆弱性データは、GitHub Advisory Database などの公開ソースから入手します。このスキャナは、Artifact Registry リポジトリを保護するために個別に実装できる Artifact Analysis のスキャナです。セキュリティポスチャーダッシュボードでは、ワークロードの実行中に GKE がイメージをスキャンするため、コンテナイメージは任意のイメージレジストリから取得できます。Artifact Analysis スキャンの詳細については、スキャンの種類をご覧ください。

GKE では、オンデマンドやワークフローがコンテナイメージに変更を push したタイミングのみのスキャンではなく、言語パッケージの継続的なスキャンを行います。継続的なスキャンにより、修正が可能になり次第、新しい脆弱性に関する通知を受けます。これにより、検出と修復にかかる時間を短縮できます。

GKE は、次の言語パッケージをスキャンします。

Go
Maven
JavaScript
Python

セキュリティポスチャーダッシュボードには、関連する CVE 番号がある脆弱性のみが表示されます。

GKE で脆弱性スキャンを有効にする

GKE クラスタの脆弱性スキャンは、次の内容に基づいて有効にできます。

ティア	使用可能な機能	GKE バージョンの要件
Standard `standard`	コンテナ OS の脆弱性スキャン	GKE Enterprise エディション: バージョン 1.27 以降を実行しているすべての新しいクラスタでデフォルトで有効になっています。 GKE Standard エディション: すべての新しいクラスタでデフォルトで無効になっています。
Advanced Vulnerability Insights `enterprise`	コンテナ OS の脆弱性スキャン言語パッケージの脆弱性スキャン	GKE Enterprise エディション: バージョン 1.27 以降を実行しているすべての新しいクラスタでデフォルトで有効になっています。 GKE Standard エディション: すべての新しいクラスタでデフォルトで無効になっています。

有効化の手順については、ワークロードの既知の脆弱性を自動的にスキャンするをご覧ください。

料金

料金情報については、GKE セキュリティポスチャーダッシュボードの料金をご覧ください。

GKE により提案されるアクション

セキュリティポスチャーダッシュボードの各脆弱性には、次のような詳細情報が表示されます。

脆弱性の詳細な説明（潜在的な影響、攻撃経路、重大度など）。
修正対象のパッケージとバージョン番号。
公開 CVE データベースにある関連エントリへのリンク。

GKE では、対処可能な緩和策を持つ対応する CVE がない場合、脆弱性は表示されません。

セキュリティポスチャーダッシュボードのインターフェースの概要については、セキュリティポスチャーダッシュボードについてをご覧ください。

制限事項

GKE では、独自パッケージのスキャンとその依存関係のスキャンはサポートされていません。
GKE では、セキュリティポスチャーダッシュボードに、修正が可能であり利用可能な CVE 番号がある脆弱性の結果のみが表示されます。Container Registry で同じコンテナイメージをスキャンすると、修正できない脆弱性など、より多くの結果が表示される場合があります。
GKE は、ワークロードの脆弱性スキャンに各ワーカーノードで次のメモリを使用します。
- コンテナ OS スキャン: 50 MiB
- Advanced Vulnerability Insights: 100 MiB
GKE では、イメージにパッケージデータを含む各ファイルのサイズに次の制限があります。GKE では、サイズの上限を超えるファイルはスキャンされません。
- コンテナ OS スキャン: 30 MiB
- Advanced Vulnerability Insights: 60 MiB
Windows Server コンテナはサポートされていません。
ワークロードの脆弱性スキャンは、ノード数が 1,000 未満のクラスタでのみ使用できます。
GKE では、Arm アーキテクチャ（T2A マシンタイプなど）を使用するノードはスキャンされません。
セキュリティポスチャーダッシュボードは、クラスタごとに最大 150,000 件の有効なワークロードの脆弱性スキャン結果をサポートしています。クラスタの検出結果数がこの上限を超えると、セキュリティポスチャーダッシュボードはそのクラスタの脆弱性検出結果を表示しなくなります。

この問題を解決するには、レジストリレベルでスキャンメカニズムを使用して、イメージの脆弱性を特定し、パッチを適用します。または、新しいクラスタでワークロードをバッチでデプロイして、脆弱性を特定し、軽減します。脆弱性の検出数が 150,000 未満の場合、セキュリティポスチャーダッシュボードにクラスタの検出結果が表示されます。