Questa pagina mostra come analizzare automaticamente il sistema operativo (OS) dei container e i pacchetti di linguaggio nei carichi di lavoro in esecuzione per individuare vulnerabilità note e ottenere strategie di mitigazione attuabili, se disponibili. L'analisi delle vulnerabilità dei carichi di lavoro fa parte della dashboard della strategia di sicurezza, ovvero un insieme di funzionalità che forniscono informazioni e consigli per migliorare la sicurezza dei cluster e dei carichi di lavoro Google Kubernetes Engine (GKE).
Per saperne di più, consulta Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro.
Prezzi
Per informazioni sui prezzi, consulta i prezzi della dashboard della postura di sicurezza di GKE.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
- Abilita l'API Google Kubernetes Engine. Abilita l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo
gcloud components update
.
Abilitare l'API Container Security.
Per utilizzare Advanced Vulnerability Insights, abilita l'API Container Analysis.
Requisiti
-
Per ottenere le autorizzazioni necessarie per utilizzare l'analisi delle vulnerabilità dei carichi di lavoro, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore Security Posture (
roles/containersecurity.viewer
) per il tuo progetto Google Cloud. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.Questo ruolo predefinito contiene le autorizzazioni necessarie per utilizzare l'analisi delle vulnerabilità dei carichi di lavoro. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per utilizzare l'analisi delle vulnerabilità dei carichi di lavoro sono necessarie le seguenti autorizzazioni:
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
containersecurity.locations.list
-
containersecurity.locations.get
-
containersecurity.clusterSummaries.list
-
containersecurity.findings.list
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
-
- L'analisi delle vulnerabilità del sistema operativo dei container richiede GKE versione 1.23.5-gke.700 o successiva. Advanced Vulnerability Insights richiede GKE versione 1.27 o successiva.
Livelli di analisi delle vulnerabilità dei carichi di lavoro
Puoi attivare l'analisi delle vulnerabilità in livelli, ciascuno dei quali aggiunge funzionalità di analisi come segue. Se utilizzi Google Kubernetes Engine (GKE) Enterprise per gestire gruppi di cluster, puoi anche configurare impostazioni di analisi delle vulnerabilità a livello di parco risorse che si applicano a tutti i cluster membri. Per le istruzioni, consulta Configurare le funzionalità della dashboard della strategia di sicurezza di GKE a livello di parco risorse.
Livello | Funzionalità abilitate | Requisito di versione di GKE |
---|---|---|
Standardstandard |
Analisi delle vulnerabilità del sistema operativo dei container |
|
Approfondimenti avanzati sulle vulnerabilitàenterprise |
|
|
Per ulteriori informazioni su ciascuna funzionalità, consulta Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro.
Abilita l'analisi delle vulnerabilità del sistema operativo dei container
L'analisi delle vulnerabilità del sistema operativo dei container è abilitata per impostazione predefinita nei nuovi cluster Autopilot che eseguono la versione 1.27 e successive. Questa sezione mostra come abilitare questa funzionalità nei nuovi cluster Standard esistenti e nei cluster Autopilot che eseguono versioni precedenti alla 1.27.
Abilita l'analisi del sistema operativo dei container in un nuovo cluster
gcloud
Crea un nuovo cluster GKE utilizzando gcloud CLI:
gcloud container clusters create CLUSTER_NAME \ --location=LOCATION \ --workload-vulnerability-scanning=standard
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del nuovo cluster.LOCATION
: la località di Compute Engine per il cluster.
Console
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Vai a Google Kubernetes Engine- Fai clic su Crea.
- Nella sezione GKE Standard, fai clic su Configura.
- Nel riquadro di navigazione, fai clic su Sicurezza.
- Nella sezione Sicurezza, seleziona la casella di controllo Analisi delle vulnerabilità.
- Seleziona l'opzione Di base.
- Configura altre opzioni per il cluster e fai clic su Crea quando è tutto pronto.
Abilita l'analisi del sistema operativo dei container su un cluster esistente
gcloud
Aggiorna il cluster:
gcloud container clusters update CLUSTER_NAME \ --location=LOCATION \ --workload-vulnerability-scanning=standard
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.LOCATION
: la località di Compute Engine del cluster.
Console
Vai alla pagina Postura di sicurezza nella console Google Cloud.
Vai a Security Posture- Fai clic sulla scheda Impostazioni.
- Nella sezione Cluster abilitati per l'analisi delle vulnerabilità, fai clic su Seleziona cluster.
- Seleziona le caselle di controllo relative ai cluster che vuoi aggiungere.
- Nel menu a discesa Seleziona azione, scegli Imposta su base.
- Fai clic su Applica.
Abilita Advanced Vulnerability Insights
Advanced Vulnerability Insights consente l'analisi continua delle applicazioni in esecuzione per i seguenti tipi di vulnerabilità:
- Vulnerabilità del sistema operativo container
- Vulnerabilità dei pacchetti di linguaggio
Quando abiliti Advanced Vulnerability Insights, la funzionalità di analisi delle vulnerabilità del sistema operativo del container viene abilitata automaticamente e non può essere disabilitata separatamente.
Requisiti
Assicurati di aver abilitato l'API Container Analysis nel tuo progetto.
Abilita l'API Container Analysis
Abilita Advanced Vulnerability Insights in un nuovo cluster
gcloud
Crea un nuovo cluster GKE utilizzando gcloud CLI:
gcloud container clusters create-auto CLUSTER_NAME \ --location=LOCATION \ --workload-vulnerability-scanning=enterprise
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del nuovo cluster.LOCATION
: la località di Compute Engine per il cluster.
Console
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Vai a Google Kubernetes Engine- Fai clic su Crea.
- Nella sezione GKE Autopilot, fai clic su Configura.
- Nel riquadro di navigazione, fai clic su Impostazioni avanzate. Se vuoi creare un cluster Standard, fai clic su Sicurezza.
- Nella sezione Sicurezza, seleziona la casella di controllo Analisi delle vulnerabilità.
- Seleziona l'opzione Avanzate.
- Configura altre opzioni per il cluster e fai clic su Crea quando è tutto pronto.
Abilita Advanced Vulnerability Insights su un cluster esistente
gcloud
Aggiorna il cluster:
gcloud container clusters update CLUSTER_NAME \ --location=LOCATION \ --workload-vulnerability-scanning=enterprise
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.LOCATION
: la località di Compute Engine del cluster.
Console
Vai alla pagina Postura di sicurezza nella console Google Cloud.
Vai a Security Posture- Fai clic sulla scheda Impostazioni.
- Nella sezione Cluster abilitati per l'analisi delle vulnerabilità, fai clic su Seleziona cluster.
- Seleziona le caselle di controllo relative ai cluster che vuoi aggiungere.
- Nel menu a discesa Seleziona azione, scegli Imposta su Avanzate.
- Fai clic su Applica.
Esegui il deployment di un carico di lavoro di test
I seguenti manifest di esempio presentano vulnerabilità note a scopi dimostrativi. In pratica, se sai che un'applicazione è vulnerabile, probabilmente non dovresti eseguirla.
Salva il seguente manifest come
os-vuln-sample.yaml
:apiVersion: apps/v1 kind: Deployment metadata: name: frontend spec: replicas: 1 selector: matchLabels: app: guestbook tier: frontend template: metadata: labels: app: guestbook tier: frontend spec: containers: - name: php-redis image: us-docker.pkg.dev/google-samples/containers/gke/gb-frontend@sha256:dc8de8e0d569d2f828b187528c9317bd6b605c273ac5a282aebe471f630420fc env: - name: GET_HOSTS_FROM value: "dns" resources: requests: cpu: 100m memory: 100Mi ports: - containerPort: 80
Esamina il seguente manifest, che contiene una vulnerabilità Maven nota:
Facoltativamente, recupera le credenziali per il cluster:
gcloud container clusters get-credentials CLUSTER_NAME \ --region=COMPUTE_REGION
Esegui il deployment delle applicazioni nel tuo cluster:
kubectl apply -f os-vuln-sample.yaml kubectl apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/kubernetes-engine-samples/main/security/language-vulns/maven/deployment.yaml
Per testare altre vulnerabilità, prova a eseguire il deployment di versioni precedenti delle immagini, come nginx
, in ambienti di gestione temporanea.
Visualizzare i risultati e intervenire
La scansione iniziale richiede almeno 15 minuti per restituire i risultati, a seconda del numero di carichi di lavoro analizzati. GKE visualizza i risultati nella dashboard della postura di sicurezza e aggiunge automaticamente le voci a Logging.
Visualizza risultati
Per visualizzare una panoramica dei problemi rilevati nei cluster e nei carichi di lavoro del progetto, procedi come segue:
Vai alla pagina Postura di sicurezza nella console Google Cloud.
Fai clic sulla scheda Problemi.
Nel riquadro Problemi di filtro, nella sezione Tipo di problema, seleziona la casella di controllo Vulnerabilità.
Visualizzare i dettagli e i consigli relativi ai problemi
Per visualizzare informazioni dettagliate su una vulnerabilità specifica, fai clic sulla riga contenente il problema.
Il riquadro Problema di vulnerabilità mostra le seguenti informazioni:
- Descrizione: una descrizione del problema che include un numero CVE, se applicabile, e una descrizione dettagliata della vulnerabilità e del suo potenziale impatto.
- Azione consigliata: azioni che puoi intraprendere per risolvere la vulnerabilità, ad esempio versioni fisse dei pacchetti e dove applicare la correzione.
Visualizza i log per i problemi rilevati
GKE aggiunge voci a Logging per ogni problema rilevato.
Vai a Esplora log nella console Google Cloud.
Nel campo Query, specifica la seguente query:
resource.type="k8s_cluster" jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding" jsonPayload.type="FINDING_TYPE_VULNERABILITY"
Fai clic su Esegui query.
Per ricevere notifiche quando GKE aggiunge nuovi risultati a Logging, configura avvisi basati su log per questa query. Per ulteriori informazioni, consulta Configurare gli avvisi basati su log.
Esegui la pulizia
Elimina il carico di lavoro di esempio di cui hai eseguito il deployment:
kubectl delete deployment frontend
Se vuoi, elimina il cluster che hai utilizzato:
gcloud container clusters delete CLUSTER_NAME \ --region=COMPUTE_REGION
Disabilita l'analisi delle vulnerabilità dei carichi di lavoro
Puoi disabilitare l'analisi delle vulnerabilità dei carichi di lavoro utilizzando gcloud CLI o la console Google Cloud.
gcloud
Esegui questo comando:
gcloud container clusters update CLUSTER_NAME \ --region=LOCATION \ --workload-vulnerability-scanning=disabled
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.LOCATION
: la regione o zona di Compute Engine per il cluster.
Console
Vai alla pagina Postura di sicurezza nella console Google Cloud.
Vai a Security Posture- Fai clic sulla scheda Impostazioni.
- Nella sezione Cluster abilitati per l'analisi delle vulnerabilità, fai clic su Seleziona cluster.
- Seleziona le caselle di controllo relative ai cluster che vuoi rimuovere.
- Nel menu a discesa Seleziona azione, scegli Imposta su Disattivato.
- Fai clic su Applica.
Passaggi successivi
- Scopri di più sulla dashboard della postura di sicurezza.
- Scopri come analizzare i carichi di lavoro per rilevare eventuali problemi di configurazione.