In questa pagina vengono descritte le funzionalità di analisi delle vulnerabilità dei carichi di lavoro offerte in la dashboard della strategia di sicurezza di Google Kubernetes Engine (GKE). Questa pagina è rivolta agli amministratori della sicurezza che vogliono implementare soluzioni di rilevamento delle vulnerabilità proprietarie.
L'analisi delle vulnerabilità dei carichi di lavoro è un insieme di funzionalità nella dashboard della security posture che analizza automaticamente le vulnerabilità note nelle immagini container e in pacchetti di linguaggio specifici durante la fase di runtime del ciclo di vita del deployment del software. Se GKE rileva vulnerabilità, la dashboard della security posture mostra i dettagli dei problemi e fornisce passaggi di correzione strategici per mitigare le vulnerabilità.
Per informazioni su come la dashboard della postura di sicurezza si inserisce nella tua strategia di sicurezza, consulta Utilizzo all'interno di una strategia di sicurezza più ampia.
Tipi di analisi delle vulnerabilità
L'analisi delle vulnerabilità dei carichi di lavoro include le seguenti funzionalità:
- Scansione delle vulnerabilità del sistema operativo (OS) del container
- Analisi delle vulnerabilità dei pacchetti di linguaggi
Se viene rilevata una vulnerabilità nelle immagini container o nei pacchetti di linguaggio, GKE mostra i risultati nella dashboard della security posture nella console Google Cloud. GKE aggiunge anche voci a Cloud Logging per il controllo e la tracciabilità.
Analisi delle vulnerabilità del sistema operativo dei container
GKE esegue continuamente la scansione delle immagini container in esecuzione sui cluster GKE registrati. GKE utilizza i dati sulle vulnerabilità in database CVE pubblici come il NIST. Le immagini possono provenire da qualsiasi registry di immagini. La versione del sistema operativo deve essere supportata per la scansione. Per un elenco dei sistemi operativi supportati, vedi Versioni di Linux supportate.
Per le istruzioni, consulta Attivare la scansione delle vulnerabilità del sistema operativo del container.
Analisi delle vulnerabilità dei pacchetti di linguaggi
GKE analizza continuamente i container per rilevare vulnerabilità note nei pacchetti di linguaggio, ad esempio i pacchetti Go o Maven. Riceviamo i dati sulle vulnerabilità da fonti pubbliche come il GitHub Advisory Database. Lo scanner è lo scanner Artifact Analysis, che puoi utilizzare separatamente implementare per salvaguardare i tuoi repository Artifact Registry. Nella della security posture, le immagini container possono provenire da qualsiasi perché GKE analizza le immagini durante l'esecuzione dei carichi di lavoro. Per informazioni sulla scansione di Artifact Analysis, consulta Tipi di scansione.
GKE esegue l'analisi continua dei pacchetti di linguaggio invece di eseguire l'analisi solo su richiesta o quando i flussi di lavoro inviano modifiche alle immagini dei container. La scansione continua ti assicura di ricevere notifiche su nuovi le vulnerabilità non appena sono disponibili correzioni, il che riduce il tempo l'individuazione e la correzione.
GKE esegue la scansione dei seguenti pacchetti di linguaggi:
- Vai
- Maven
- JavaScript
- Python
Solo le vulnerabilità a cui è associato un numero CVE vengono visualizzate nel la dashboard della security posture.
Attivare l'analisi delle vulnerabilità in GKE
Puoi abilitare l'analisi delle vulnerabilità per GKE di questi cluster nel seguente modo:
Livello | Funzionalità abilitate | Requisito della versione GKE |
---|---|---|
Standardstandard |
Analisi delle vulnerabilità del sistema operativo dei container |
|
Approfondimenti sulle vulnerabilitàenterprise |
|
|
Per le istruzioni di abilitazione, consulta Eseguire automaticamente la scansione dei carichi di lavoro per individuare vulnerabilità note.
Prezzi
Per informazioni sui prezzi, vedi Prezzi della dashboard della strategia di sicurezza di GKE
Quali azioni suggerisce GKE?
Ogni vulnerabilità nella dashboard della posizione di sicurezza contiene informazioni dettagliate, ad esempio:
- Una descrizione completa della vulnerabilità, compresi impatto potenziale, attacco percorsi e gravità.
- Pacchetti e numeri di versione corretti.
- Link alle voci pertinenti nei database pubblici CVE.
GKE non mostra una vulnerabilità se non esiste CVE con una mitigazione fruibile.
Per una panoramica dell'interfaccia della dashboard della security posture, consulta Dashboard della postura di sicurezza.
Limitazioni
- GKE non supporta la scansione dei pacchetti proprietari e dei relativi delle dipendenze.
- GKE mostra solo i risultati per le vulnerabilità per le quali è disponibile una correzione e un numero CVE nella dashboard della postura di sicurezza. Potresti vedere più risultati, ad esempio vulnerabilità senza un se analizzi le stesse immagini container in un Container Registry.
- GKE utilizza la seguente memoria su ogni nodo worker per la scansione delle vulnerabilità dei carichi di lavoro:
- Scansione del sistema operativo dei container: 50 MiB
- Advanced Vulnerability Insights: 100 MiB
- GKE ha le seguenti limitazioni in merito alle dimensioni di ogni file
contiene dati del pacchetto nelle immagini. GKE non eseguirà la scansione dei file che superano il limite di dimensioni.
- Scansione del sistema operativo dei container: 30 MiB
- Advanced Vulnerability Insights: 60 MiB
- I container Windows Server non sono supportati.
- L'analisi delle vulnerabilità dei carichi di lavoro è disponibile solo per i cluster con meno di 1000 nodi.
- GKE non esegue la scansione dei nodi che utilizzano l'architettura Arm, ad esempio il tipo di macchina T2A.
La dashboard della security posture supporta fino a 150.000 risultati dell'analisi delle vulnerabilità dei carichi di lavoro per ogni cluster. Quando il numero per un cluster supera questo limite massimo, la dashboard della security posture non mostra più i risultati di vulnerabilità in un cluster Kubernetes.
Per risolvere questo problema, utilizza un meccanismo di analisi a livello di registro per a identificare le vulnerabilità nelle immagini e applicare le patch. In alternativa, in un nuovo cluster, esegui il deployment dei carichi di lavoro in batch per identificare e mitigare le vulnerabilità. Quando il numero di risultati relativi alle vulnerabilità è inferiore a 150.000, la dashboard della posizione di sicurezza inizia a mostrare i risultati per il cluster.
Passaggi successivi
- Abilitare e utilizzare l'analisi delle vulnerabilità dei carichi di lavoro
- Scopri altre funzionalità di scansione nella dashboard della postura di sicurezza