Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro


In questa pagina vengono descritte le funzionalità di analisi delle vulnerabilità dei carichi di lavoro offerte in la dashboard della strategia di sicurezza di Google Kubernetes Engine (GKE). Questa pagina è rivolta agli amministratori della sicurezza che vogliono implementare soluzioni di rilevamento delle vulnerabilità proprietarie.

L'analisi delle vulnerabilità dei carichi di lavoro è un insieme di funzionalità nella dashboard della security posture che analizza automaticamente le vulnerabilità note nelle immagini container e in pacchetti di linguaggio specifici durante la fase di runtime del ciclo di vita del deployment del software. Se GKE rileva vulnerabilità, la dashboard della security posture mostra i dettagli dei problemi e fornisce passaggi di correzione strategici per mitigare le vulnerabilità.

Per informazioni su come la dashboard della postura di sicurezza si inserisce nella tua strategia di sicurezza, consulta Utilizzo all'interno di una strategia di sicurezza più ampia.

Tipi di analisi delle vulnerabilità

L'analisi delle vulnerabilità dei carichi di lavoro include le seguenti funzionalità:

  • Scansione delle vulnerabilità del sistema operativo (OS) del container
  • Analisi delle vulnerabilità dei pacchetti di linguaggi

Se viene rilevata una vulnerabilità nelle immagini container o nei pacchetti di linguaggio, GKE mostra i risultati nella dashboard della security posture nella console Google Cloud. GKE aggiunge anche voci a Cloud Logging per il controllo e la tracciabilità.

Analisi delle vulnerabilità del sistema operativo dei container

GKE esegue continuamente la scansione delle immagini container in esecuzione sui cluster GKE registrati. GKE utilizza i dati sulle vulnerabilità in database CVE pubblici come il NIST. Le immagini possono provenire da qualsiasi registry di immagini. La versione del sistema operativo deve essere supportata per la scansione. Per un elenco dei sistemi operativi supportati, vedi Versioni di Linux supportate.

Per le istruzioni, consulta Attivare la scansione delle vulnerabilità del sistema operativo del container.

Analisi delle vulnerabilità dei pacchetti di linguaggi

GKE analizza continuamente i container per rilevare vulnerabilità note nei pacchetti di linguaggio, ad esempio i pacchetti Go o Maven. Riceviamo i dati sulle vulnerabilità da fonti pubbliche come il GitHub Advisory Database. Lo scanner è lo scanner Artifact Analysis, che puoi utilizzare separatamente implementare per salvaguardare i tuoi repository Artifact Registry. Nella della security posture, le immagini container possono provenire da qualsiasi perché GKE analizza le immagini durante l'esecuzione dei carichi di lavoro. Per informazioni sulla scansione di Artifact Analysis, consulta Tipi di scansione.

GKE esegue l'analisi continua dei pacchetti di linguaggio invece di eseguire l'analisi solo su richiesta o quando i flussi di lavoro inviano modifiche alle immagini dei container. La scansione continua ti assicura di ricevere notifiche su nuovi le vulnerabilità non appena sono disponibili correzioni, il che riduce il tempo l'individuazione e la correzione.

GKE esegue la scansione dei seguenti pacchetti di linguaggi:

  • Vai
  • Maven
  • JavaScript
  • Python

Solo le vulnerabilità a cui è associato un numero CVE vengono visualizzate nel la dashboard della security posture.

Attivare l'analisi delle vulnerabilità in GKE

Puoi abilitare l'analisi delle vulnerabilità per GKE di questi cluster nel seguente modo:

Livello Funzionalità abilitate Requisito della versione GKE
Standard
standard
Analisi delle vulnerabilità del sistema operativo dei container
  • Versione GKE Enterprise: abilitata per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive
  • Versione GKE Standard: abilitata per impostazione predefinita in tutti i nuovi cluster in modalità Autopilot che eseguono la versione 1.27 e successive. Disabilitata per impostazione predefinita in tutte le nuove modalità Standard cluster.
Approfondimenti sulle vulnerabilità
enterprise
  • Analisi delle vulnerabilità del sistema operativo dei container
  • Analisi delle vulnerabilità dei pacchetti di linguaggi
  • Versione GKE Enterprise: abilitata per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive
  • Versione di GKE Standard: disabilitata per impostazione predefinita in tutti i nuovi cluster.

Per le istruzioni di abilitazione, consulta Eseguire automaticamente la scansione dei carichi di lavoro per individuare vulnerabilità note.

Prezzi

Per informazioni sui prezzi, vedi Prezzi della dashboard della strategia di sicurezza di GKE

Quali azioni suggerisce GKE?

Ogni vulnerabilità nella dashboard della posizione di sicurezza contiene informazioni dettagliate, ad esempio:

  • Una descrizione completa della vulnerabilità, compresi impatto potenziale, attacco percorsi e gravità.
  • Pacchetti e numeri di versione corretti.
  • Link alle voci pertinenti nei database pubblici CVE.

GKE non mostra una vulnerabilità se non esiste CVE con una mitigazione fruibile.

Per una panoramica dell'interfaccia della dashboard della security posture, consulta Dashboard della postura di sicurezza.

Limitazioni

  • GKE non supporta la scansione dei pacchetti proprietari e dei relativi delle dipendenze.
  • GKE mostra solo i risultati per le vulnerabilità per le quali è disponibile una correzione e un numero CVE nella dashboard della postura di sicurezza. Potresti vedere più risultati, ad esempio vulnerabilità senza un se analizzi le stesse immagini container in un Container Registry.
  • GKE utilizza la seguente memoria su ogni nodo worker per la scansione delle vulnerabilità dei carichi di lavoro:
    • Scansione del sistema operativo dei container: 50 MiB
    • Advanced Vulnerability Insights: 100 MiB
  • GKE ha le seguenti limitazioni in merito alle dimensioni di ogni file contiene dati del pacchetto nelle immagini. GKE non eseguirà la scansione dei file che superano il limite di dimensioni.
    • Scansione del sistema operativo dei container: 30 MiB
    • Advanced Vulnerability Insights: 60 MiB
  • I container Windows Server non sono supportati.
  • L'analisi delle vulnerabilità dei carichi di lavoro è disponibile solo per i cluster con meno di 1000 nodi.
  • GKE non esegue la scansione dei nodi che utilizzano l'architettura Arm, ad esempio il tipo di macchina T2A.
  • La dashboard della security posture supporta fino a 150.000 risultati dell'analisi delle vulnerabilità dei carichi di lavoro per ogni cluster. Quando il numero per un cluster supera questo limite massimo, la dashboard della security posture non mostra più i risultati di vulnerabilità in un cluster Kubernetes.

    Per risolvere questo problema, utilizza un meccanismo di analisi a livello di registro per a identificare le vulnerabilità nelle immagini e applicare le patch. In alternativa, in un nuovo cluster, esegui il deployment dei carichi di lavoro in batch per identificare e mitigare le vulnerabilità. Quando il numero di risultati relativi alle vulnerabilità è inferiore a 150.000, la dashboard della posizione di sicurezza inizia a mostrare i risultati per il cluster.

Passaggi successivi