Se usó la API de Cloud Translation para traducir esta página.

Acerca del análisis de vulnerabilidades de las cargas de trabajo

Autopilot Estándar

En esta página, se describe el análisis de vulnerabilidades de las cargas de trabajo, una función del panel de postura de seguridad de Google Kubernetes Engine (GKE). Esta función te ayuda a mejorar la seguridad de tus implementaciones, ya que busca vulnerabilidades en tus imágenes de contenedor y paquetes de lenguajes de forma automática durante el tiempo de ejecución. Puedes ver los problemas de vulnerabilidad identificados y las acciones recomendadas en el panel de postura de seguridad.

Esta página está dirigida a especialistas en seguridad con información para tomar decisiones fundamentadas y detalles sobre el uso del análisis de vulnerabilidades de las cargas de trabajo cuando se implementa una solución de detección de vulnerabilidades propia en Google Cloud. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Tareas y roles comunes de los usuarios de GKE Enterprise.

Antes de leer esta página, asegúrate de estar familiarizado con la información sobre cómo el panel de postura de seguridad se ajusta a tu estrategia de seguridad. Para ello, lee Uso como parte de una estrategia de seguridad amplia.

Tipos de análisis de vulnerabilidades

El análisis de vulnerabilidades de las cargas de trabajo incluye las siguientes funciones:

Análisis de vulnerabilidades del sistema operativo (SO) de contenedor
Análisis de vulnerabilidades de paquetes de idiomas

Si se encuentra una vulnerabilidad en tus imágenes de contenedor o paquetes de idiomas, GKE muestra los resultados en el panel de postura de seguridad en la consola de Google Cloud. GKE también agrega entradas a Cloud Logging para auditorías y trazabilidad.

Análisis de vulnerabilidades del SO del contenedor

GKE analiza de forma continua las imágenes de contenedor que se ejecutan en clústeres de GKE inscritos. GKE usa datos de vulnerabilidad de bases de datos públicas de CVE, como NIST. Las imágenes pueden provenir de cualquier registro de imágenes. La versión del SO debe ser compatible para el análisis. Para obtener una lista de los sistemas operativos compatibles, consulta Versiones de Linux compatibles.

Para obtener instrucciones, consulta Habilita el análisis de vulnerabilidades del SO del contenedor.

Análisis de vulnerabilidades de paquetes de idiomas

GKE analiza de forma continua los contenedores en busca de vulnerabilidades conocidas en paquetes de idiomas, como paquetes de Go o Maven. Obtenemos datos de vulnerabilidad de fuentes públicas, como la base de datos de asesoría de GitHub. El analizador es el análisis de Artifact Analysis, que puedes implementar por separado para proteger tus repositorios de Artifact Registry. En el panel de postura de seguridad, las imágenes de contenedor pueden provenir de cualquier registro de imágenes, ya que GKE analiza las imágenes mientras se ejecutan las cargas de trabajo. Para obtener información sobre el análisis de Artifact Analysis, consulta Tipos de análisis.

GKE proporciona un análisis continuo de tus paquetes de idiomas en lugar de solo analizar a pedido o cuando tus flujos de trabajo envían cambios a tus imágenes de contenedor. El análisis continuo garantiza que se te notifique sobre las vulnerabilidades nuevas en cuanto estén disponibles las correcciones, lo que reduce el tiempo de descubrimiento y solución.

GKE analiza los siguientes paquetes de idiomas:

Go
Maven
JavaScript
Python

Solo las vulnerabilidades que tienen un número de CVE asociado se muestran en el panel de postura de seguridad.

Habilita el análisis de vulnerabilidades en GKE

Puedes habilitar el análisis de vulnerabilidades para los clústeres de GKE de la siguiente manera:

Nivel	Capacidades habilitadas	Requisito de la versión de GKE
Standard `standard`	Análisis de vulnerabilidades del SO del contenedor	Edición GKE Enterprise: habilitada de forma predeterminada en todos los clústeres nuevos que ejecutan la versión 1.27 y posteriores Edición GKE Standard: habilitada de forma predeterminada en todos los clústeres nuevos en modo Autopilot que ejecutan la versión 1.27 y posteriores. Inhabilitado de forma predeterminada en todos los clústeres del modo Standard.
Advanced vulnerability insights `enterprise`	Análisis de vulnerabilidades del SO del contenedor Análisis de vulnerabilidades de paquetes de idiomas	Edición GKE Enterprise: habilitada de forma predeterminada en todos los clústeres nuevos que ejecutan la versión 1.27 y posteriores Edición GKE Standard: inhabilitada de forma predeterminada en todos los clústeres nuevos.

Para obtener instrucciones de habilitación, consulta Analiza automáticamente las cargas de trabajo en busca de vulnerabilidades conocidas.

Precios

Para obtener información sobre los precios, consulta los precios del panel de postura de seguridad de GKE

¿Qué acciones sugiere GKE?

Cada vulnerabilidad en el panel de postura de seguridad tiene información detallada como la siguiente:

Una descripción completa de la vulnerabilidad, incluido el impacto potencial, las vías de ataque y la gravedad.
Paquetes corregidos y números de versión.
Vínculos a las entradas relevantes en bases de datos públicas de CVE.

GKE no muestra una vulnerabilidad si no hay una CVE correspondiente con una mitigación práctica.

Para obtener una descripción general de la interfaz del panel de postura de seguridad, consulta Acerca del panel de postura de seguridad.

Limitaciones

GKE no admite el análisis de paquetes propios y sus dependencias.
GKE solo muestra resultados para las vulnerabilidades que tienen una corrección disponible y un número de CVE disponible en el panel de postura de seguridad. Es posible que veas más resultados, como vulnerabilidades sin una corrección disponible, si analizas las mismas imágenes de contenedor en un registro de contenedores.
GKE usa la siguiente memoria en cada nodo trabajador para el análisis de vulnerabilidades de las cargas de trabajo:
- Análisis de Container OS: 50 MiB
- Estadísticas avanzadas de vulnerabilidades: 100 MiB
GKE tiene las siguientes limitaciones en cuanto al tamaño de cada archivo que contiene los datos de paquetes en tus imágenes. GKE no analizará los archivos que superen el límite de tamaño.
- Análisis del SO del contenedor: 30 MiB
- Estadísticas avanzadas de vulnerabilidades: 60 MiB
Los contenedores de Windows Server no son compatibles.
El análisis de vulnerabilidades de las cargas de trabajo solo está disponible para clústeres con menos de 1,000 nodos.
GKE no analiza los nodos que usan la arquitectura Arm, como el tipo de máquina T2A.
El panel de postura de seguridad admite hasta 150,000 resultados del análisis de vulnerabilidades de las cargas de trabajo activas para cada clúster. Cuando la cantidad de resultados para un clúster supera este máximo, el panel de postura de seguridad deja de mostrar los resultados de vulnerabilidad para ese clúster.

Para resolver este problema, usa un mecanismo de análisis a nivel del registro para identificar vulnerabilidades en las imágenes y aplicar parches. Como alternativa, en un clúster nuevo, implementa tus cargas de trabajo en lotes para identificar y mitigar las vulnerabilidades. Cuando la cantidad de hallazgos de vulnerabilidad es inferior a 150,000, el panel de estado de seguridad comienza a mostrar los hallazgos del clúster.