워크로드 취약점 스캔 정보

이 페이지에서는 Google Kubernetes Engine(GKE) 보안 상황 대시보드에서 제공되는 워크로드 취약점 스캔 기능에 대해 설명합니다. 이 페이지는 자체 조직의 취약점 감지 솔루션을 구현하려는 보안 관리자를 대상으로 합니다.

워크로드 취약점 스캔은 소프트웨어 배포 수명 주기의 런타임 단계 동안 컨테이너 이미지 및 특정 언어 패키지에서 알려진 취약점을 자동으로 스캔하는, 보안 상황 대시보드에 포함된 일련의 기능들로 구성됩니다. GKE에서 취약점이 감지되면 보안 상황 대시보드에 문제 세부정보가 표시되고 취약점 해결을 위한 실행 가능한 해결 단계가 제공됩니다.

보안 상황 대시보드를 보안 전략에 맞게 적용하는 방법은 광범위한 보안 전략의 일부로 사용을 참조하세요.

취약점 스캔 유형

워크로드 취약점 스캔에는 다음과 같은 기능이 포함됩니다.

  • 컨테이너 운영체제(OS) 취약점 스캔
  • 언어 패키지 취약점 스캔

컨테이너 이미지 또는 언어 패키지에서 취약점이 발견되면 GKE가 Google Cloud 콘솔의 보안 상황 대시보드에 결과를 표시합니다. GKE는 또한 감사 및 추적을 위해 Cloud Logging에 항목을 추가합니다.

컨테이너 OS 취약점 스캔

GKE는 등록된 GKE 클러스터에서 실행되는 컨테이너 이미지를 지속적으로 스캔합니다. GKE는 NIST와 같은 공개 CVE 데이터베이스의 취약점 데이터를 사용합니다. 이미지는 모든 이미지 레지스트리에서 가져올 수 있습니다. OS 버전은 스캔이 지원되어야 합니다. 지원되는 운영체제 목록은 지원되는 Linux 버전을 참조하세요.

자세한 내용은 컨테이너 OS 취약점 스캔 사용 설정을 참조하세요.

언어 패키지 취약점 스캔

GKE는 Go 또는 Maven 패키지와 같은 언어 패키지에서 컨테이너의 알려진 취약점을 지속적으로 스캔합니다. Google은 GitHub Advisory Database와 같은 공개 소스에서 취약점 데이터를 얻습니다. 스캐너는 Artifact Registry 저장소 보호를 위해 개별적으로 구현할 수 있는 Artifact Analysis 스캐너입니다. 워크로드가 실행되는 동안 GKE가 이미지를 스캔하기 때문에 보안 상황 대시보드에서 컨테이너 이미지는 모든 이미지 레지스트리에서 가져올 수 있습니다. Artifact Analysis 스캔에 대한 자세한 내용은 스캔 유형을 참조하세요.

GKE는 워크로드가 컨테이너 이미지에 변경사항을 푸시할 때나 주문형으로만 스캔을 수행하는 대신 언어 패키지에 대해 지속적인 스캔을 제공합니다. 지속적인 스캔을 통해 수정 사항이 제공되는 즉시 새로운 취약점 알림을 받음으로써 검색과 해결에 걸리는 시간을 줄일 수 있습니다.

GKE는 다음 언어 패키지를 스캔합니다.

  • Go
  • Maven
  • Javascript
  • Python

연결된 CVE 번호가 있는 취약점만 보안 상황 대시보드에 표시됩니다.

GKE에서 취약점 스캔 사용 설정

다음과 같이 GKE 클러스터에 대해 취약점 스캔을 사용 설정할 수 있습니다.

등급 사용 설정된 기능 GKE 버전 요구사항
Standard
standard		 컨테이너 OS 취약점 스캔
  • 버전 1.23.5-gke.700 이상 필요
  • 기본적으로 버전 1.27 이상을 실행하는 Autopilot 클러스터에서 사용 설정됩니다.
  • Standard 클러스터에서 기본적으로 사용 중지됩니다.
Advanced vulnerability insights
enterprise
  • 컨테이너 OS 취약점 스캔
  • 언어 패키지 취약점 스캔
  • 버전 1.27 이상 필요
  • Autopilot 및 Standard에서 기본적으로 사용 중지됩니다.

지원 안내는 워크플로에서 알려진 취약점 자동 스캔을 참조하세요.

가격 책정

가격 책정 정보는 GKE 보안 상황 대시보드 가격 책정을 참조하세요.

GKE가 추천하는 작업은 무엇인가요?

보안 상황 대시보드에서 각 취약점은 다음과 같은 세부 정보를 갖습니다.

  • 잠재적 영향, 공격 경로, 심각도와 같은 취약점에 대한 자세한 설명
  • 수정된 패키지 및 버전 번호
  • 공개 CVE 데이터베이스의 관련 항목 링크

실행 가능한 해결 방법이 있는 CVE가 없으면 GKE에서 취약점이 표시되지 않습니다.

보안 상황 대시보드 인터페이스에 대한 개요는 보안 상황 대시보드 정보를 참조하세요.

제한사항

  • GKE는 고유 패키지 및 종속 항목의 스캔을 지원하지 않습니다.
  • GKE는 보안 상황 대시보드에 사용 가능한 수정과 사용 가능한 CVE 번호가 있는 취약점에 대해서만 결과를 표시합니다. Container Registry에서 동일한 컨테이너 이미지를 스캔하면 사용 가능한 수정이 없는 취약점과 같은 더 많은 결과가 표시될 수 있습니다.
  • GKE는 각 워커 노드에서 다음 메모리를 사용하여 워크로드 취약점 스캔을 수행합니다.
    • 컨테이너 OS 스캔: 50MiB
    • Advanced Vulnerability Insights: 100MiB
  • GKE에서 이미지의 패키지 데이터를 포함하는 각 파일의 크기가 다음과 같이 제한됩니다. 크기 제한을 초과하는 파일은 GKE에서 스캔되지 않습니다.
    • 컨테이너 OS 스캔: 30 MiB
    • Advanced Vulnerability Insights: 60MiB
  • Windows Server 컨테이너는 지원되지 않습니다.
  • 워크로드 취약점 스캔은 노드가 1000개 미만인 클러스터에만 사용 가능합니다.
  • GKE는 T2A 머신 유형과 같은 Arm 아키텍처를 사용하는 노드를 스캔하지 않습니다.

  • 보안 상황 대시보드에서는 각 클러스터에 대해 최대 150,000개의 활성 워크로드 취약점 스캔 발견 항목을 지원합니다. 클러스터의 발견 항목 수가 이 최댓값을 초과하면 보안 상황 대시보드에서 해당 클러스터의 취약점 발견 항목 표시가 중지됩니다.

    이 문제를 해결하려면 레지스트리 수준의 스캔 메커니즘을 사용하여 이미지의 취약점을 식별하고 패치를 적용합니다. 또는 새 클러스터에서 워크로드를 일괄적으로 배포하여 취약점을 식별하고 완화할 수 있습니다. 취약점 발견 항목 수가 150,000개 미만이면 보안 상황 대시보드에 클러스터의 발견 항목이 표시되기 시작합니다.

다음 단계