Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro

Autopilot . . Standard

In questa pagina vengono descritte le funzionalità di analisi delle vulnerabilità dei carichi di lavoro offerte in la dashboard della strategia di sicurezza di Google Kubernetes Engine (GKE). Questa pagina è destinato agli amministratori della sicurezza che vogliono implementare i di rilevamento delle vulnerabilità.

L'analisi delle vulnerabilità dei carichi di lavoro è un insieme di funzionalità dashboard della security posture che analizza automaticamente le vulnerabilità note nelle immagini container in pacchetti di linguaggio specifici durante la fase di runtime del software ciclo di vita della distribuzione. Se GKE rileva delle vulnerabilità, la dashboard della security posture visualizza i dettagli dei problemi e fornisce azioni correttive strategiche per mitigare le vulnerabilità.

Per informazioni su come la dashboard della strategia di sicurezza si inserisce strategia di sicurezza, consulta Utilizzo nell'ambito di un'ampia strategia di sicurezza.

Tipi di analisi delle vulnerabilità

L'analisi delle vulnerabilità dei carichi di lavoro include le seguenti funzionalità:

Analisi delle vulnerabilità del sistema operativo dei container
Analisi delle vulnerabilità dei pacchetti di linguaggi

Se viene rilevata una vulnerabilità nelle immagini container o nei pacchetti di linguaggio, GKE visualizza i risultati nella dashboard della security posture in la console Google Cloud. Inoltre GKE aggiunge voci a Cloud Logging per attività di controllo e rintracciabilità.

Analisi delle vulnerabilità del sistema operativo dei container

GKE esegue la scansione continua delle immagini container in esecuzione cluster GKE. GKE utilizza i dati sulle vulnerabilità in database CVE pubblici come il NIST. Le immagini possono provenire da qualsiasi registro di immagini. La versione del sistema operativo deve essere supportata per la scansione. Per un elenco dei sistemi operativi supportati, vedi Versioni di Linux supportate.

Per istruzioni, vedi Abilita l'analisi delle vulnerabilità del sistema operativo dei container.

Analisi delle vulnerabilità dei pacchetti di linguaggi

GKE esegue una scansione continua dei container per individuare vulnerabilità note come i pacchetti Go o Maven. Riceviamo dati sulle vulnerabilità da fonti pubbliche come Database consultivo GitHub. Lo scanner è lo scanner Artifact Analysis, che puoi utilizzare separatamente implementare per salvaguardare i tuoi repository Artifact Registry. Nella Security posture, le immagini container possono provenire da qualsiasi perché GKE analizza le immagini durante l'esecuzione dei carichi di lavoro. Per informazioni sulla scansione di Artifact Analysis, consulta Tipi di analisi.

GKE offre una scansione continua dei pacchetti di linguaggio. anziché analizzare solo on demand o quando i flussi di lavoro applicano modifiche immagini container. La scansione continua ti assicura di ricevere notifiche su nuovi le vulnerabilità non appena sono disponibili correzioni, il che riduce il tempo l'individuazione e la correzione.

GKE analizza i seguenti pacchetti di linguaggio:

Vai
Maven
JavaScript
Python

Solo le vulnerabilità a cui è associato un numero CVE vengono visualizzate nel la dashboard della security posture.

Abilita l'analisi delle vulnerabilità in GKE

Puoi abilitare l'analisi delle vulnerabilità per GKE di questi cluster nel seguente modo:

Livello	Funzionalità abilitate	Requisito di versione GKE
Standard `standard`	Analisi delle vulnerabilità del sistema operativo dei container	Versione di GKE Enterprise: abilitata per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive Versione di GKE Standard: abilitata per impostazione predefinita in tutti i nuovi cluster in modalità Autopilot che eseguono la versione 1.27 in un secondo momento. Disabilitata per impostazione predefinita in tutte le nuove modalità Standard cluster.
Approfondimenti avanzati sulle vulnerabilità `enterprise`	Analisi delle vulnerabilità del sistema operativo dei container Analisi delle vulnerabilità dei pacchetti di linguaggi	Versione di GKE Enterprise: abilitata per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive Versione di GKE Standard: disabilitata per impostazione predefinita in tutti i nuovi cluster.

Per istruzioni sull'abilitazione, vedi Analizza automaticamente i carichi di lavoro per rilevare le vulnerabilità note.

Prezzi

Per informazioni sui prezzi, vedi Prezzi della dashboard della strategia di sicurezza di GKE

Quali azioni suggerisce GKE?

Ogni vulnerabilità nella dashboard della security posture contiene informazioni dettagliate ad esempio:

Una descrizione completa della vulnerabilità, compresi impatto potenziale, attacco percorsi e gravità.
Pacchetti e numeri di versione corretti.
Link alle voci pertinenti nei database CVE pubblici.

GKE non mostra una vulnerabilità se non esiste CVE con una mitigazione fruibile.

Per una panoramica dell'interfaccia della dashboard della security posture, consulta Dashboard della postura di sicurezza.

Limitazioni

GKE non supporta la scansione dei pacchetti proprietari e delle relative delle dipendenze.
GKE mostra solo i risultati per le vulnerabilità con un e un numero CVE disponibile nella dashboard della security posture. Potresti vedere più risultati, ad esempio vulnerabilità senza un se analizzi le stesse immagini container in un Container Registry.
GKE utilizza la seguente memoria su ogni nodo worker analisi delle vulnerabilità dei carichi di lavoro:
- Scansione del sistema operativo dei container: 50 MiB
- Advanced Vulnerability Insights: 100 MiB
GKE prevede le seguenti limitazioni in merito alle dimensioni di ogni file contiene dati del pacchetto nelle immagini. GKE non analizzerà i file per superare il limite di dimensioni.
- Scansione del sistema operativo dei container: 30 MiB
- Advanced Vulnerability Insights: 60 MiB
I container Windows Server non sono supportati.
L'analisi delle vulnerabilità dei carichi di lavoro è disponibile solo per i cluster con meno di 1000 nodi.
GKE non analizza i nodi che utilizzano l'architettura Arm, come Tipo di macchina T2A.
La dashboard della security posture supporta fino a 150.000 risultati dell'analisi delle vulnerabilità dei carichi di lavoro per ogni cluster. Quando il numero per un cluster supera questo limite massimo, la dashboard della security posture non mostra più i risultati di vulnerabilità in un cluster Kubernetes.

Per risolvere questo problema, utilizza un meccanismo di analisi a livello di registro per a identificare le vulnerabilità nelle immagini e applicare le patch. In alternativa, in una nuova esegui il deployment dei carichi di lavoro in batch per identificare e mitigare le vulnerabilità. Quando il numero di risultati relativi alle vulnerabilità è inferiore a 150.000, la dashboard della security posture inizia a visualizzare i risultati in un cluster Kubernetes.