Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sull'analisi delle vulnerabilità dei workload

Autopilot Standard

Questa pagina descrive l'analisi delle vulnerabilità dei workload, una funzionalità della dashboard della security posture di Google Kubernetes Engine (GKE). Questa funzionalità ti aiuta a migliorare la sicurezza dei tuoi deployment analizzando automaticamente le vulnerabilità nelle immagini container e nei pacchetti di linguaggio durante l'esecuzione. Puoi visualizzare i problemi relativi alle vulnerabilità identificate e le azioni consigliate nella dashboard della security posture.

Questa pagina è rivolta agli esperti di sicurezza e contiene informazioni per prendere decisioni consapevoli e dettagli sull'utilizzo della scansione delle vulnerabilità del carico di lavoro quando si implementa una soluzione di rilevamento delle vulnerabilità proprietaria in Google Cloud. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività utente comuni di GKE Enterprise.

Prima di leggere questa pagina, assicurati di conoscere le informazioni su come la dashboard della posizione di sicurezza si inserisce nella tua strategia di sicurezza leggendo Utilizzo nell'ambito di una strategia di sicurezza più ampia.

Tipi di analisi delle vulnerabilità

L'analisi delle vulnerabilità dei workload include le seguenti funzionalità:

Analisi delle vulnerabilità del sistema operativo (OS) del container
Analisi delle vulnerabilità dei pacchetti di lingua

Se viene rilevata una vulnerabilità nelle immagini container o nei pacchetti di linguaggio, GKE mostra i risultati nella dashboard della security posture nella console Google Cloud. GKE aggiunge anche voci a Cloud Logging per il controllo e la tracciabilità.

Analisi delle vulnerabilità del sistema operativo del container

GKE esegue continuamente la scansione delle immagini container in esecuzione sui cluster GKE registrati. GKE utilizza i dati sulle vulnerabilità provenienti da database CVE pubblici come NIST. Le immagini possono provenire da qualsiasi registry di immagini. La versione del sistema operativo deve essere supportata per la scansione. Per un elenco dei sistemi operativi supportati, consulta Versioni di Linux supportate.

Per le istruzioni, consulta Attivare la scansione delle vulnerabilità del sistema operativo del container.

Analisi delle vulnerabilità dei pacchetti di lingua

GKE analizza continuamente i container per rilevare vulnerabilità note nei pacchetti di linguaggio, come i pacchetti Go o Maven. Riceviamo i dati sulle vulnerabilità da fonti pubbliche come il GitHub Advisory Database. Lo scanner è lo scanner di Artifact Analysis, che puoi implementare separatamente per proteggere i tuoi repository Artifact Registry. Nella dashboard della posizione di sicurezza, le immagini dei container possono provenire da qualsiasi registry di immagini perché GKE le analizza durante l'esecuzione dei workload. Per informazioni sulla scansione di Artifact Analysis, consulta Tipi di scansione.

GKE esegue l'analisi continua dei pacchetti di linguaggio invece di eseguire l'analisi solo su richiesta o quando i flussi di lavoro inviano modifiche alle immagini dei container. La scansione continua ti assicura di ricevere una notifica delle nuove vulnerabilità non appena sono disponibili le correzioni, il che riduce i tempi di rilevamento e correzione.

GKE esegue la scansione dei seguenti pacchetti di linguaggi:

Vai
Maven
JavaScript
Python

Nella dashboard della posizione di sicurezza vengono visualizzate solo le vulnerabilità a cui è associato un numero CVE.

Attivare l'analisi delle vulnerabilità in GKE

Puoi attivare l'analisi delle vulnerabilità per i cluster GKE come segue:

Livello	Funzionalità abilitate	Requisito della versione GKE
Standard `standard`	Analisi delle vulnerabilità del sistema operativo del container	Versione GKE Enterprise: abilitata per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive Versione GKE Standard: abilitata per impostazione predefinita in tutti i nuovi cluster in modalità Autopilot che eseguono la versione 1.27 e successive. Disattivato per impostazione predefinita in tutti i nuovi cluster in modalità standard.
Approfondimenti sulle vulnerabilità `enterprise`	Analisi delle vulnerabilità del sistema operativo del container Analisi delle vulnerabilità dei pacchetti di lingua	Versione GKE Enterprise: abilitata per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive Edizione GKE Standard: disabilitata per impostazione predefinita in tutti i nuovi cluster.

Per le istruzioni di attivazione, consulta Eseguire automaticamente la scansione dei workload per rilevare vulnerabilità note.

Prezzi

Per informazioni sui prezzi, consulta Prezzi della dashboard della postura di sicurezza di GKE

Quali azioni suggerisce GKE?

Ogni vulnerabilità nella dashboard della posizione di sicurezza contiene informazioni dettagliate, ad esempio:

Una descrizione completa della vulnerabilità, inclusi potenziale impatto, percorsi di attacco e gravità.
Pacchetti e numeri di versione corretti.
Link alle voci pertinenti nei database pubblici CVE.

GKE non mostra una vulnerabilità se non esiste una CVE corrispondente con una mitigazione attuabile.

Per una panoramica dell'interfaccia della dashboard della postura di sicurezza, consulta Informazioni sulla dashboard della postura di sicurezza.

Limitazioni

GKE non supporta la scansione dei pacchetti proprietari e delle relative dipendenze.
GKE mostra solo i risultati per le vulnerabilità per le quali è disponibile una correzione e un numero CVE nella dashboard della postura di sicurezza. Potresti visualizzare più risultati, ad esempio vulnerabilità senza una correzione disponibile, se esegui la scansione delle stesse immagini container in un registry dei container.
GKE utilizza la seguente memoria su ogni nodo worker per analisi delle vulnerabilità dei carichi di lavoro:
- Scansione del sistema operativo del contenitore: 50 MiB
- Advanced Vulnerability Insights: 100 MiB
GKE ha le seguenti limitazioni relative alle dimensioni di ogni file che contiene i dati del pacchetto nelle immagini. GKE non esegue la scansione dei file che superano il limite di dimensioni.
- Scansione del sistema operativo del contenitore: 30 MiB
- Advanced Vulnerability Insights: 60 MiB
I container Windows Server non sono supportati.
L'analisi delle vulnerabilità dei carichi di lavoro è disponibile solo per i cluster con meno di 1000 nodi.
GKE non esegue la scansione dei nodi che utilizzano l'architettura Arm, ad esempio il tipo di macchina T2A.
La dashboard sulla postura di sicurezza supporta fino a 150.000 risultati attivi dell'analisi delle vulnerabilità dei carichi di lavoro per ogni cluster. Quando il numero di risultati per un cluster supera questo valore massimo, la dashboard della posizione di sicurezza smette di mostrare i risultati relativi alle vulnerabilità per quel cluster.

Per risolvere il problema, utilizza un meccanismo di scansione a livello di registry per identificare le vulnerabilità nelle immagini e applicare le patch. In alternativa, in un nuovo cluster, esegui il deployment dei carichi di lavoro in batch per identificare e mitigare le vulnerabilità. Quando il numero di risultati relativi alle vulnerabilità è inferiore a 150.000, la dashboard della posizione di sicurezza inizia a mostrare i risultati per il cluster.