Tentang pemindaian kerentanan beban kerja


Halaman ini menjelaskan kemampuan pemindaian kerentanan beban kerja yang ditawarkan di dasbor postur keamanan Google Kubernetes Engine (GKE). Halaman ini ditujukan bagi administrator keamanan yang ingin menerapkan solusi deteksi kerentanan pihak pertama.

Pemindaian kerentanan beban kerja adalah sekumpulan kemampuan di dasbor postur keamanan yang otomatis memindai kerentanan yang diketahui dalam image container dan dalam paket bahasa tertentu selama runtime dari siklus proses pengiriman software. Jika GKE mendeteksi kerentanan, dasbor postur keamanan akan menampilkan detail masalah dan memberikan langkah-langkah perbaikan yang dapat ditindaklanjuti untuk mengurangi kerentanan.

Untuk mengetahui informasi tentang kesesuaian dasbor postur keamanan dengan strategi keamanan Anda, lihat Penggunaan sebagai bagian dari garis besar strategi keamanan .

Jenis pemindaian kerentanan

Pemindaian kerentanan beban kerja mencakup kemampuan berikut:

  • Pemindaian kerentanan sistem operasi (OS) Container
  • Pemindaian kerentanan paket bahasa

Jika kerentanan ditemukan di image container atau paket bahasa Anda, GKE akan menampilkan hasilnya di dasbor postur keamanan di Konsol Google Cloud. GKE juga menambahkan entri ke Cloud Logging untuk pengauditan dan keterlacakan.

Pemindaian kerentanan container OS

GKE terus memindai image container yang berjalan di cluster GKE yang terdaftar. GKE menggunakan data kerentanan dari database CVE publik seperti NIST. Image dapat berasal dari registry image apa pun. Versi OS harus didukung untuk pemindaian. Untuk daftar sistem operasi yang didukung, lihat Versi Linux yang didukung.

Untuk mengetahui petunjuknya, lihat Mengaktifkan pemindaian kerentanan container OS.

Pemindaian kerentanan paket bahasa

GKE terus memindai container untuk menemukan kerentanan yang umum dalam paket bahasa, seperti paket Go atau Maven. Kami mendapatkan data kerentanan dari sumber publik seperti GitHub Advisory Database. Pemindai ini adalah pemindai Artifact Analysis, yang dapat Anda terapkan secara terpisah untuk melindungi repositori Artifact Registry. Di dasbor postur keamanan, image container dapat berasal dari registry image apa pun karena GKE memindai image saat beban kerja berjalan. Untuk mengetahui informasi tentang pemindaian Artifact Analysis, lihat Jenis pemindaian.

GKE menyediakan pemindaian berkelanjutan untuk paket bahasa Anda, bukan hanya memindai secara on demand atau saat alur kerja Anda mengirim perubahan ke image container Anda. Pemindaian berkelanjutan memastikan Anda diberi tahu tentang kerentanan baru segera setelah perbaikan tersedia, sehingga mengurangi waktu untuk penemuan dan perbaikan.

GKE memindai paket bahasa berikut:

  • Go
  • Maven
  • JavaScript
  • Python

Hanya kerentanan yang memiliki nomor CVE terkait yang ditampilkan di dasbor postur keamanan.

Mengaktifkan pemindaian kerentanan di GKE

Anda dapat mengaktifkan pemindaian kerentanan untuk cluster GKE sebagai berikut:

Tingkat Kemampuan yang diaktifkan Persyaratan versi GKE
Standard
standard
Pemindaian kerentanan container OS
  • GKE edisi Enterprise: Diaktifkan secara default di semua cluster baru yang menjalankan versi 1.27 dan yang lebih baru
  • Edisi GKE Standard: Diaktifkan secara default di semua cluster mode Autopilot baru yang menjalankan versi 1.27 dan yang lebih baru. Dinonaktifkan secara default di semua cluster mode Standar baru.
Insight kerentanan lanjutan
enterprise
  • Pemindaian kerentanan container OS
  • Pemindaian kerentanan paket bahasa
  • GKE edisi Enterprise: Diaktifkan secara default di semua cluster baru yang menjalankan versi 1.27 dan yang lebih baru
  • GKE Standard edition: Dinonaktifkan secara default di semua cluster baru.

Untuk mengetahui petunjuk pengaktifan, lihat bagian Memindai beban kerja secara otomatis untuk mencari kerentanan yang umum.

Harga

Untuk mengetahui informasi harga, lihat Harga dasbor postur keamanan GKE

Tindakan apa yang disarankan GKE?

Setiap kerentanan di dasbor postur keamanan memiliki informasi mendetail seperti berikut:

  • Deskripsi lengkap kerentanan, termasuk potensi dampak, jalur serangan, dan tingkat keparahan.
  • Paket dan nomor versi telah diperbaiki.
  • Link ke entri yang relevan dalam database CVE publik.

GKE tidak menunjukkan kerentanan jika tidak ada CVE yang sesuai dengan mitigasi yang dapat ditindaklanjuti.

Untuk ringkasan antarmuka dasbor postur keamanan, lihat Tentang dasbor postur keamanan.

Batasan

  • GKE tidak mendukung pemindaian paket eksklusif dan dependensinya.
  • GKE hanya menampilkan hasil kerentanan yang memiliki perbaikan yang tersedia dan nomor CVE yang tersedia di dasbor postur keamanan. Anda mungkin melihat lebih banyak hasil, seperti kerentanan tanpa perbaikan yang tersedia, jika Anda memindai image container yang sama dalam container registry.
  • GKE menggunakan memori berikut pada setiap node pekerja untuk pemindaian kerentanan beban kerja:
    • Pemindaian Container OS: 50 MiB
    • Insight kerentanan lanjutan: 100 MiB
  • GKE memiliki batasan berikut terkait ukuran setiap file yang berisi data paket dalam gambar Anda. GKE tidak akan memindai file yang melebihi batas ukuran.
    • Pemindaian Container OS: 30 MiB
    • Insight kerentanan lanjutan: 60 MiB
  • Penampung Windows Server tidak didukung.
  • Pemindaian kerentanan beban kerja hanya tersedia untuk cluster dengan node kurang dari 1000.
  • GKE tidak memindai node yang menggunakan arsitektur Arm, seperti jenis mesin T2A.
  • Dasbor postur keamanan mendukung hingga 150.000 temuan pemindaian kerentanan beban kerja aktif untuk setiap cluster. Jika jumlah temuan untuk cluster melebihi batas maksimum ini, dasbor postur keamanan akan berhenti menampilkan temuan kerentanan untuk cluster tersebut.

    Untuk mengatasi masalah ini, gunakan mekanisme pemindaian di tingkat registry untuk mengidentifikasi kerentanan dalam image dan menerapkan patch. Atau, di cluster baru, deploy workload Anda dalam batch untuk mengidentifikasi dan mengurangi kerentanan. Jika jumlah temuan kerentanan kurang dari 150.000, dasbor postur keamanan akan mulai menampilkan temuan untuk cluster.

Langkah selanjutnya