Acerca del análisis de vulnerabilidades de las cargas de trabajo


En esta página, se describen las capacidades de análisis de vulnerabilidades de las cargas de trabajo que se ofrecen en el panel de postura de seguridad de Google Kubernetes Engine (GKE). Esta página está dirigida a los administradores de seguridad que deseen implementar soluciones de detección de vulnerabilidades propias.

El análisis de vulnerabilidades de las cargas de trabajo es un conjunto de capacidades en el panel de postura de seguridad que analiza de forma automática las vulnerabilidades conocidas en tus imágenes de contenedor y en paquetes de idiomas específicos durante el entorno de ejecución. del ciclo de vida de la entrega de software. Si GKE detecta vulnerabilidades, el panel de postura de seguridad muestra detalles sobre los problemas y proporciona pasos de solución prácticos para mitigar las vulnerabilidades.

Para obtener información sobre cómo el panel de postura de seguridad se ajusta a tu estrategia de seguridad, consulta Uso como parte de una estrategia de seguridad amplia.

Tipos de análisis de vulnerabilidades

El análisis de vulnerabilidades de las cargas de trabajo incluye las siguientes funciones:

  • Análisis de vulnerabilidades del sistema operativo (SO) de contenedor
  • Análisis de vulnerabilidades de paquetes de idiomas

Si se encuentra una vulnerabilidad en tus imágenes de contenedor o paquetes de idiomas, GKE muestra los resultados en el panel de postura de seguridad en la consola de Google Cloud. GKE también agrega entradas a Cloud Logging para auditorías y trazabilidad.

Análisis de vulnerabilidades del SO del contenedor

GKE analiza de forma continua las imágenes de contenedor que se ejecutan en clústeres de GKE inscritos. GKE usa datos de vulnerabilidad de bases de datos públicas de CVE, como NIST. Las imágenes pueden provenir de cualquier registro de imágenes. La versión del SO debe ser compatible para el análisis. Para obtener una lista de los sistemas operativos compatibles, consulta Versiones de Linux compatibles.

Para obtener instrucciones, consulta Habilita el análisis de vulnerabilidades del SO del contenedor.

Análisis de vulnerabilidades de paquetes de idiomas

GKE analiza de forma continua los contenedores en busca de vulnerabilidades conocidas en paquetes de idiomas, como paquetes de Go o Maven. Obtenemos datos de vulnerabilidad de fuentes públicas, como la base de datos de asesoría de GitHub. El analizador es el análisis de Artifact Analysis, que puedes implementar por separado para proteger tus repositorios de Artifact Registry. En el panel de postura de seguridad, las imágenes de contenedor pueden provenir de cualquier registro de imágenes, ya que GKE analiza las imágenes mientras se ejecutan las cargas de trabajo. Para obtener información sobre el análisis de Artifact Analysis, consulta Tipos de análisis.

GKE proporciona un análisis continuo de tus paquetes de idiomas en lugar de solo analizar a pedido o cuando tus flujos de trabajo envían cambios a tus imágenes de contenedor. El análisis continuo garantiza que se te notifique sobre las vulnerabilidades nuevas en cuanto estén disponibles las correcciones, lo que reduce el tiempo de descubrimiento y solución.

GKE analiza los siguientes paquetes de idiomas:

  • Go
  • Maven
  • JavaScript
  • Python

Solo las vulnerabilidades que tienen un número de CVE asociado se muestran en el panel de postura de seguridad.

Habilita el análisis de vulnerabilidades en GKE

Puedes habilitar el análisis de vulnerabilidades para los clústeres de GKE de la siguiente manera:

Nivel Capacidades habilitadas Requisito de la versión de GKE
Standard
standard
Análisis de vulnerabilidades del SO del contenedor
  • Se requiere la versión 1.23.5-gke.700 o posterior
  • Habilitado de forma predeterminada en clústeres Autopilot que ejecutan la versión 1.27 o posterior
  • Está inhabilitado de forma predeterminada en los clústeres estándar.
Advanced vulnerability insights
enterprise
  • Análisis de vulnerabilidades del SO del contenedor
  • Análisis de vulnerabilidades de paquetes de idiomas
  • Se requiere la versión 1.27 o una posterior
  • Está inhabilitado de forma predeterminada en Autopilot y Standard.

Para obtener instrucciones de habilitación, consulta Analiza automáticamente las cargas de trabajo en busca de vulnerabilidades conocidas.

Precios

Para obtener información sobre los precios, consulta los precios del panel de postura de seguridad de GKE

¿Qué acciones sugiere GKE?

Cada vulnerabilidad en el panel de postura de seguridad tiene información detallada como la siguiente:

  • Una descripción completa de la vulnerabilidad, incluido el impacto potencial, las vías de ataque y la gravedad.
  • Paquetes corregidos y números de versión.
  • Vínculos a las entradas relevantes en bases de datos públicas de CVE.

GKE no muestra una vulnerabilidad si no hay una CVE correspondiente con una mitigación práctica.

Para obtener una descripción general de la interfaz del panel de postura de seguridad, consulta Acerca del panel de postura de seguridad.

Limitaciones

  • GKE no admite el análisis de paquetes propios y sus dependencias.
  • GKE solo muestra resultados para las vulnerabilidades que tienen una corrección disponible y un número de CVE disponible en el panel de postura de seguridad. Es posible que veas más resultados, como vulnerabilidades sin una corrección disponible, si analizas las mismas imágenes de contenedor en un registro de contenedores.
  • GKE usa la siguiente memoria en cada nodo trabajador para el análisis de vulnerabilidades de las cargas de trabajo:
    • Análisis de Container OS: 50 MiB
    • Estadísticas avanzadas de vulnerabilidades: 100 MiB
  • GKE tiene las siguientes limitaciones en cuanto al tamaño de cada archivo que contiene los datos de paquetes en tus imágenes. GKE no analizará los archivos que superen el límite de tamaño.
    • Análisis del SO del contenedor: 30 MiB
    • Estadísticas avanzadas de vulnerabilidades: 60 MiB
  • Los contenedores de Windows Server no son compatibles.
  • El análisis de vulnerabilidades de las cargas de trabajo solo está disponible para clústeres con menos de 1,000 nodos.
  • GKE no analiza los nodos que usan la arquitectura Arm, como el tipo de máquina T2A.
  • El panel de postura de seguridad admite hasta 150,000 resultados del análisis de vulnerabilidades de las cargas de trabajo activas para cada clúster. Cuando la cantidad de resultados de un clúster excede este máximo, el panel de postura de seguridad deja de mostrar los resultados de vulnerabilidad para ese clúster.

    Para resolver este problema, usa un mecanismo de análisis a nivel de registro a fin de identificar vulnerabilidades en las imágenes y aplicar parches. Como alternativa, en un clúster nuevo, implementa tus cargas de trabajo en lotes para identificar y mitigar las vulnerabilidades. Cuando la cantidad de resultados de vulnerabilidad es inferior a 150,000, el panel de postura de seguridad comienza a mostrar resultados para el clúster.

¿Qué sigue?