Informationen zum Scannen auf Sicherheitslücken

Auf dieser Seite werden die Funktionen zum Scannen auf Sicherheitslücken bei Arbeitslasten beschrieben, die im GKE-Sicherheitsdashboard (Google Kubernetes Engine) angeboten werden. Diese Seite richtet sich an Sicherheitsadministratoren, die eigene Lösungen zur Sicherheitslückenerkennung implementieren möchten.

Das Scannen auf Sicherheitslücken bei Arbeitslasten umfasst eine Reihe von Funktionen im Sicherheitsstatus-Dashboard, die während der Laufzeitphase des Softwarebereitstellungszyklus automatisch nach bekannten Sicherheitslücken in Ihren Container-Images und in bestimmten Sprachpaketen scannen. Wenn GKE Sicherheitslücken erkennt, werden im Sicherheitsstatus-Dashboard Details zu den Problemen angezeigt und Maßnahmen vorgeschlagen, um die Sicherheitslücken zu verringern.

Informationen dazu, wie das Sicherheitsstatus-Dashboard in Ihre Sicherheitsstrategie passt, finden Sie unter Nutzung als Teil einer umfassenden Sicherheitsstrategie.

Arten des Scannens auf Sicherheitslücken

Das Scannen von Arbeitslasten auf Sicherheitslücken umfasst die folgenden Funktionen:

  • Scannen auf Sicherheitslücken im Container-Betriebssystem
  • Scannen auf Sicherheitslücken in Sprachpaketen

Wenn in Ihren Container-Images oder Sprachpaketen eine Sicherheitslücke gefunden wird, zeigt GKE die Ergebnisse im Sicherheitsstatus-Dashboard in der Google Cloud Console an. GKE fügt auch Einträge für Prüfung und Rückverfolgbarkeit zu Cloud Logging hinzu.

Scannen auf Sicherheitslücken in Container OS

GKE scannt kontinuierlich Container-Images, die in registrierten GKE-Clustern ausgeführt werden. GKE verwendet Daten zu Sicherheitslücken aus öffentlichen CVE-Datenbanken wie NIST. Die Images können aus einer beliebigen Image-Registry stammen. Die Betriebssystemversion muss für den Scan unterstützt werden. Eine Liste der unterstützten Betriebssysteme finden Sie unter Unterstützte Linux-Versionen.

Eine Anleitung finden Sie unter Scannen auf Sicherheitslücken in Container Betriebssystemen aktivieren.

Scannen auf Sicherheitslücken in Sprachpaketen

GKE prüft Container fortlaufend auf bekannte Sicherheitslücken in Sprachpaketen wie Go- oder Maven-Paketen. Wir erhalten Daten zu Sicherheitslücken aus öffentlichen Quellen wie der GitHub Advisory Database. Der Scanner ist der Artefaktanalyse-Scanner, den Sie separat implementieren können, um Ihre Artifact Registry-Repositories zu schützen. Im Sicherheitsstatus-Dashboard können die Container-Images aus einer beliebigen Image-Registry stammen, da GKE die Images während der Ausführung der Arbeitslasten scannt. Informationen zum Scannen mit der Artefaktanalyse finden Sie unter Scantypen.

GKE bietet kontinuierliches Scannen Ihrer Sprachpakete, anstatt nur bei Bedarf oder dann, wenn Ihre Workflows Änderungen an Ihren Container-Images übertragen, zu scannen. Kontinuierliches Scannen sorgt dafür, dass Sie über neue Sicherheitslücken informiert werden, sobald Korrekturen verfügbar sind. Dadurch wird die Zeit für die Erkennung und Behebung verkürzt.

GKE scannt die folgenden Sprachpakete:

  • Einfach loslegen (Go)
  • Maven
  • JavaScript
  • Python

Im Sicherheitsstatus-Dashboard werden nur Sicherheitslücken angezeigt, denen eine CVE-Nummer zugeordnet ist.

Scannen auf Sicherheitslücken in GKE aktivieren

So können Sie das Scannen auf Sicherheitslücken für GKE-Cluster aktivieren:

Stufe Aktivierte Funktionen GKE-Versionsanforderung
Standard
standard		 Scannen auf Sicherheitslücken im Container-Betriebssystem
  • Erfordert Version 1.23.5-gke.700 oder höher
  • Standardmäßig in Autopilot-Clustern mit Version 1.27 oder höher aktiviert
  • Standardmäßig in Standard-Clustern deaktiviert
Advanced Vulnerability Insights
enterprise
  • Scannen auf Sicherheitslücken im Container-Betriebssystem
  • Scannen auf Sicherheitslücken in Sprachpaketen
  • Erfordert Version 1.27 oder höher
  • Standardmäßig in Autopilot und Standard deaktiviert

Eine Aktivierungsanleitung finden Sie unter Arbeitslasten automatisch auf bekannte Sicherheitslücken scannen.

Preise

Preisinformationen finden Sie unter Preise für das GKE-Sicherheitsstatus-Dashboard.

Welche Aktionen schlägt GKE vor?

Jede Sicherheitslücke im Sicherheitsstatus-Dashboard enthält detaillierte Informationen wie die folgenden:

  • Eine vollständige Beschreibung der Sicherheitslücke, einschließlich möglicher Auswirkungen, Angriffsvektoren und Schweregrad.
  • Feste Pakete und Versionsnummern.
  • Links zu den relevanten Einträgen in öffentlichen CVE-Datenbanken.

GKE zeigt eine Sicherheitslücke nicht an, wenn kein entsprechendes CVE mit umsetzbaren Abhilfemaßnahmen vorliegt.

Eine Übersicht über die Benutzeroberfläche des Sicherheitsstatus-Dashboards finden Sie unter Informationen zum Sicherheitsstatus-Dashboard.

Beschränkungen

  • GKE unterstützt nicht das Scannen von proprietären Paketen und deren Abhängigkeiten.
  • GKE zeigt nur Ergebnisse für Sicherheitslücken an, für die eine entsprechende Korrektur und eine verfügbare CVE-Nummer im Sicherheitsstatus-Dashboard vorhanden sind. Möglicherweise werden weitere Ergebnisse wie Sicherheitslücken ohne verfügbare Korrektur angezeigt, wenn Sie dieselben Container-Images in einer Container Registry scannen.
  • GKE verwendet auf jedem Worker-Knoten den folgenden Arbeitsspeicher für das Scannen von Arbeitslasten auf Sicherheitslücken:
    • Container-Betriebssystem-Scans: 50 MiB
    • Advanced Vulnerability Insights: 100 MiB
  • GKE hat folgende Einschränkungen hinsichtlich der Größe jeder Datei, die Paketdaten in Ihren Images enthält. GKE scannt keine Dateien, die die Größenbeschränkung überschreiten.
    • Container-Betriebssystem-Scans: 30 MiB
    • Advanced Vulnerability Insights: 60 MiB
  • Windows Server-Container werden nicht unterstützt.
  • Das Scannen von Arbeitslasten auf Sicherheitslücken ist nur für Cluster mit weniger als 1.000 Knoten verfügbar.
  • GKE scannt keine Knoten, die die Arm-Architektur verwenden, z. B. den Maschinentyp T2A.

  • Das Sicherheitsstatus-Dashboard unterstützt bis zu 150.000 aktive Ergebnisse vom Scannen von Arbeitslasten auf Sicherheitslücken für jeden Cluster. Wenn die Anzahl der Ergebnisse für einen Cluster diesen Höchstwert überschreitet, werden im Sicherheitsstatus-Dashboard keine Ergebnisse zu Sicherheitslücken für diesen Cluster mehr angezeigt.

    Verwenden Sie einen Scanmechanismus auf Registry-Ebene, um Sicherheitslücken in Images zu identifizieren und Patches anzuwenden, um dieses Problem zu beheben. Alternativ können Sie Ihre Arbeitslasten in einem neuen Cluster in Batches bereitstellen, um Sicherheitslücken zu identifizieren und zu minimieren. Wenn die Anzahl der Ergebnisse zu Sicherheitslücken weniger als 150.000 beträgt, zeigt das Sicherheitsstatus-Dashboard Ergebnisse für den Cluster an.

Nächste Schritte