Questo documento descrive in che modo Google gestisce le vulnerabilità e le patch di sicurezza per Google Kubernetes Engine (GKE) e GKE Enterprise. Salvo diversa indicazione, GKE Enterprise include le piattaforme GKE e GKE Enterprise.
Questa pagina è dedicata agli esperti di sicurezza che supportano la risoluzione di problemi o vulnerabilità di sicurezza che richiedono assistenza strategica, ad esempio incidenti e problemi riassegnati dall'assistenza. Per scoprire di più sui ruoli comuni e su alcuni esempi di attività a cui facciamo riferimento nei contenuti di Google Cloud, consulta Ruoli e attività comuni degli utenti di GKE Enterprise.
Applicazione di patch alla responsabilità condivisa
L'applicazione di patch è una responsabilità condivisa tra Google e il cliente. Diverso hanno responsabilità condivise diverse. Consulta i seguenti argomenti su ciascuna piattaforma per ulteriori dettagli:
Come rileviamo le vulnerabilità
Google ha fatto grandi investimenti nella progettazione e nella protezione proattiva della sicurezza, ma anche i sistemi software più progettati possono presentare delle vulnerabilità. Per trovare queste vulnerabilità e correggerle prima che possano essere sfruttate, Google ha effettuato investimenti significativi su più fronti.
Ai fini dell'applicazione dei patch, GKE Enterprise è un livello del sistema operativo (OS) con i container in esecuzione al di sopra. I sistemi operativi, Container-Optimized OS o Ubuntu, sono con protezione avanzata e contengono la quantità minima di software necessaria per eseguire i container. Le funzionalità di GKE Enterprise vengono eseguite come container in alto delle immagini di base.
Google identifica e corregge le vulnerabilità e le patch mancanti nei seguenti modi:
Container-Optimized OS: Google scansiona le immagini per identificare potenziali vulnerabilità e patch mancanti. Il team di Container-Optimized OS esamina e risolve i problemi.
Ubuntu: Canonical fornisce a Google build del sistema operativo che hanno tutte patch di sicurezza applicate.
Google esegue la scansione dei container utilizzando Analisi degli artefatti di Container Registry per scoprire le vulnerabilità e le patch mancanti in Kubernetes e containerizzati. Se sono disponibili correzioni, lo scanner avvia automaticamente il processo di applicazione dei patch e di rilascio.
Oltre alla scansione automatica, Google scopre e corregge le vulnerabilità sconosciute agli scanner nei seguenti modi.
Google esegue i propri controlli, test di penetrazione e rilevamento delle vulnerabilità su tutte le piattaforme GKE Enterprise. Team specializzati all'interno di Google e fornitori di soluzioni di sicurezza di terze parti di fiducia conducono la propria ricerca sugli attacchi. Google ha anche collaborato con il CNCF per fornire gran parte dell'organizzazione e delle competenze di consulenza tecnica per il controllo di sicurezza di Kubernetes.
Google collabora attivamente con la community di ricerca sulla sicurezza tramite diversi programmi di premi per le vulnerabilità. Un programma a premi dedicato alle vulnerabilità di Google Cloud ricompense significative inclusi 133.337 $per la migliore vulnerabilità del cloud trovati ogni anno. Per GKE esiste un programma che premia i ricercatori sulla sicurezza se riescono a violare i nostri controlli di sicurezza. Il programma copre tutte le dipendenze software di GKE.
Google collabora con altri partner del settore e del software open source che condividono vulnerabilità, ricerche sulla sicurezza e patch prima del rilascio pubblico della vulnerabilità. L'obiettivo di questa collaborazione è applicare grandi porzioni di l'infrastruttura internet prima che la vulnerabilità venga annunciata al pubblico. In alcuni casi, Google contribuisce con le vulnerabilità rilevate a questa community. Ad esempio, Project Zero di Google ha scoperto e reso pubbliche le vulnerabilità Spectre e Meltdown. Il team di sicurezza di Google Cloud trova e corregge regolarmente anche le vulnerabilità nella VM basata su kernel (KVM).
La collaborazione di Google in materia di sicurezza avviene su molti livelli. A volte avviene in modo formale tramite programmi in cui le organizzazioni si registrano per ricevere notifiche pre-release sulle vulnerabilità del software per prodotti come Kubernetes e Envoy. La collaborazione avviene anche in modo informale grazie al nostro coinvolgimento con molti progetti open source come il kernel di Linux, i runtime dei container, la tecnologia di virtualizzazione e altri.
Per Kubernetes, Google è un membro attivo e fondatore del Comitato di risposta alla sicurezza (SRC) e ha scritto gran parte dei Procedura di rilascio di sicurezza. Google fa parte dell'elenco dei distributori di Kubernetes che riceve una notifica preventiva delle vulnerabilità ed è stato coinvolto nella selezione, nella correzione, nello sviluppo di mitigazioni e nella comunicazione di quasi ogni vulnerabilità di sicurezza grave di Kubernetes. Google ha anche scoperto autonomamente diverse vulnerabilità di Kubernetes.
Sebbene al di fuori di questi vengano individuate e applicate patch alle vulnerabilità meno gravi, di sicurezza, la maggior parte delle vulnerabilità critiche viene segnalata privatamente uno dei canali precedentemente elencati. I primi report danno a Google il tempo prima la vulnerabilità diventa pubblica per studiarne l'impatto su GKE Enterprise, sviluppare patch o mitigazioni e preparare consigli e comunicazioni per clienti. Se possibile, Google applica patch a tutti i cluster prima del rilascio pubblico della vulnerabilità.
Come vengono classificate le vulnerabilità
GKE fa grandi investimenti per il rafforzamento della sicurezza dell'intero stack, tra cui i livelli di sistema operativo, container, Kubernetes e di rete, oltre a impostare valori predefiniti validi, configurazioni con rafforzamento della sicurezza e componenti gestiti. Insieme, questi sforzi contribuiscono a ridurre l'impatto e la probabilità di vulnerabilità.
Il team di sicurezza di GKE Enterprise classifica le vulnerabilità in base alle Punteggio di vulnerabilità di Kubernetes di un sistema operativo completo. Le classificazioni prendono in considerazione molti fattori, tra cui Configurazione e protezione della sicurezza di GKE e GKE Enterprise. A causa di questi fattori e degli investimenti effettuati da GKE nella sicurezza, Le classificazioni delle vulnerabilità di GKE e GKE Enterprise differiscono da altre fonti di classificazione.
La tabella seguente descrive le categorie di gravità della vulnerabilità:
| Gravità | Descrizione |
|---|---|
| Critico | Una vulnerabilità facilmente sfruttabile in tutti i cluster da un utente malintenzionato remoto non autenticato che comporta la compromissione completa del sistema. |
| Alta | Una vulnerabilità facilmente sfruttabile per molti cluster che comporta la perdita di riservatezza, integrità o disponibilità. |
| Medio | Una vulnerabilità sfruttabile per alcuni cluster in cui la perdita di riservatezza, integrità o disponibilità sono limitati dalla configurazioni, difficoltà dell'exploit stesso, accesso richiesto o un'interazione. |
| Bassa | Tutte le altre vulnerabilità. Lo sfruttamento è improbabile o le conseguenze dello sfruttamento sono limitate. |
Consulta i bollettini sulla sicurezza per esempi di vulnerabilità, correzioni e mitigazioni e le relative valutazioni.
Come vengono corrette le vulnerabilità
L'applicazione di una patch a una vulnerabilità comporta l'upgrade a un nuovo numero di versione di GKE o GKE Enterprise. GKE e Le versioni di GKE Enterprise includono componenti sottoposti al controllo delle versioni per il sistema operativo, i componenti di Kubernetes e gli altri container che compongono GKE Enterprise completamente gestita. La correzione di alcune vulnerabilità richiede solo un upgrade del piano di controllo, eseguito automaticamente da Google su GKE, mentre altre richiedono upgrade sia del piano di controllo sia dei nodi.
Per mantenere i cluster con patch e protezione avanzata contro vulnerabilità di ogni gravità, che recommend utilizzando l'upgrade automatico dei nodi su GKE (attiva per impostazione predefinita). Per i cluster registrati nei canali di rilascio, le release delle patch vengono vengano promossi in quanto soddisfano i requisiti di idoneità di ciascun canale. Se hai bisogno di una release di patch GKE prima che raggiunga il canale del tuo cluster, puoi eseguire manualmente l'upgrade alla versione della patch se la release della patch è della stessa versione secondaria di quella disponibile nel canale di rilascio del tuo cluster.
Su altre piattaforme GKE Enterprise, Google consiglia di eseguire l'upgrade dei componenti GKE Enterprise almeno una volta al mese.
Alcuni scanner di sicurezza o i controlli manuali delle versioni potrebbero considerare erroneamente in un componente come runc o containerd manca una specifica sicurezza upstream una nuova patch. GKE applica regolarmente patch ai componenti ed esegue gli upgrade delle versioni dei pacchetti solo se necessario. Ciò significa che i componenti GKE sono funzionalmente simili alle loro controparti a monte anche se il numero di versione del componente GKE non corrisponde al numero di versione a monte. Per maggiori dettagli su un CVE specifico, consulta Bollettini sulla sicurezza di GKE.
Cronologia dell'applicazione delle patch
L'obiettivo di Google è mitigare le vulnerabilità rilevate entro un periodo di tempo e appropriati per i rischi che rappresentano. GKE è incluso ATO provvisorio FedRAMP di Google Cloud che richiede di risolvere le vulnerabilità note all'interno di intervalli di tempo in base al loro livello di gravità come specificato nel controllo RA-5(d) di il "Riepilogo delle attività di monitoraggio continuo e Materiali da produrre" nella sezione Guida alla strategia di monitoraggio continuo del FedRAMP. L'ATO provvisoria FedRAMP di Google Cloud non include Google Distributed Cloud e GKE su AWS, ma puntiamo agli stessi periodi di tempo per la correzione su questi prodotti.
Come vengono comunicate vulnerabilità e patch
La migliore fonte di informazioni attuali su vulnerabilità e sicurezza Le patch si trovano nel feed dei bollettini sulla sicurezza per i seguenti prodotti:
- GKE
- Google Distributed Cloud
- GKE su AWS
- GKE su Azure
- Google Distributed Cloud
Questi bollettini seguono uno schema di numerazione delle vulnerabilità comune di Google Cloud e sono collegato dalla pagina principale dei bollettini Google Cloud e le note di rilascio di GKE. Ogni pagina dei bollettini sulla sicurezza ha un feed RSS a cui gli utenti possono iscriversi per ricevere gli aggiornamenti.
A volte le vulnerabilità vengono mantenute private sotto embargo per un periodo di tempo limitato. Gli embarghi aiutano a prevenire la pubblicazione anticipata di vulnerabilità che potrebbero comportare e diffusi tentativi di sfruttamento prima di poter intervenire per risolverli. Nella situazioni di embargo, le note di rilascio si riferiscono agli "aggiornamenti della sicurezza" fino al l'embargo è stato revocato. Una volta rimosso l'embargo, Google aggiorna le note di rilascio per includere le vulnerabilità specifiche.
Il team di sicurezza di GKE Enterprise pubblica bollettini sulla sicurezza per le vulnerabilità con gravità elevata e critica. Quando è richiesta un'azione da parte del cliente per risolvere queste vulnerabilità di gravità elevata e critica, Google contatta i clienti via email. Inoltre, Google potrebbe anche contattare i clienti con contratti di assistenza tramite i canali di assistenza.