Questo documento descrive come Google gestisce le vulnerabilità e le patch di sicurezza per Google Kubernetes Engine (GKE) e GKE Enterprise. Salvo dove diversamente indicato, GKE Enterprise include sia le piattaforme GKE che GKE Enterprise.
Applicazione di patch a responsabilità condivisa
L'applicazione di patch è una responsabilità condivisa tra Google e il cliente. Ogni piattaforma ha responsabilità diverse. Per maggiori dettagli, consulta i seguenti argomenti su ciascuna piattaforma:
Come scopriamo le vulnerabilità
Google ha fatto investimenti considerevoli nella progettazione e nella protezione proattivi della sicurezza, ma anche i sistemi software migliori progettati possono presentare delle vulnerabilità. Al fine di individuare le vulnerabilità e applicare le patch prima che possano essere sfruttate, Google ha fatto investimenti significativi su più fronti.
Per l'applicazione delle patch, GKE Enterprise è un livello del sistema operativo (OS) con container in esecuzione. I sistemi operativi, Container-Optimized OS o Ubuntu, sono protetti e contengono la quantità minima di software necessaria per eseguire i container. Le funzionalità di GKE Enterprise vengono eseguite come container sopra le immagini di base.
Google identifica e corregge le vulnerabilità e le patch mancanti nei seguenti modi:
Container-Optimized OS: Google analizza le immagini per identificare potenziali vulnerabilità e patch mancanti. Il team Container-Optimized OS esamina e risolve i problemi.
Ubuntu: Canonical fornisce a Google build del sistema operativo a cui sono state applicate tutte le patch di sicurezza disponibili.
Google analizza i container utilizzando Artifact Analysis di Container Registry per rilevare vulnerabilità e patch mancanti nei container Kubernetes e gestiti da Google. Se sono disponibili correzioni, lo scanner avvia automaticamente il processo di applicazione delle patch e di rilascio.
Oltre all'analisi automatica, Google rileva e corregge vulnerabilità sconosciute agli scanner nei modi indicati di seguito.
Google esegue controlli, test di penetrazione e rilevamento delle vulnerabilità su tutte le piattaforme GKE Enterprise. Team specializzati di Google e fornitori di sicurezza di terze parti affidabili conducono ricerche sugli attacchi. Google ha anche collaborato con il CNCF per fornire gran parte dell'organizzazione e della competenza di consulenza tecnica per il audit di sicurezza di Kubernetes.
Google collabora attivamente con la comunità di ricerca sulla sicurezza attraverso programmi a premi multipli sulle vulnerabilità. Un programma a premi dedicato alle vulnerabilità di Google Cloud offre ricompense significative, tra cui 133.337 $per la migliore vulnerabilità del cloud trovata ogni anno. Per GKE, esiste un programma che premia i ricercatori di sicurezza se sono in grado di violare i nostri controlli di sicurezza. Il programma copre tutte le dipendenze software di GKE.
Google collabora con altri partner del settore e software open source che condividono vulnerabilità, ricerca sulla sicurezza e patch prima del rilascio pubblico della vulnerabilità. L'obiettivo di questa collaborazione è applicare patch a grandi porzioni dell'infrastruttura Internet prima che la vulnerabilità venga annunciata al pubblico. In alcuni casi, Google contribuisce alle vulnerabilità trovate in questa community. Ad esempio, Project Zero di Google ha rilevato e pubblicizzato le vulnerabilità Spectre e Meltdown. Inoltre, il team per la sicurezza di Google Cloud trova e corregge regolarmente vulnerabilità nella macchina virtuale (KVM) basata su kernel.
La collaborazione di Google in materia di sicurezza si svolge a molti livelli. A volte accade formalmente tramite programmi in cui le organizzazioni si registrano per ricevere notifiche pre-release sulle vulnerabilità del software per prodotti come Kubernetes e Envoy. La collaborazione avviene anche in modo informale grazie al nostro coinvolgimento con molti progetti open source come il kernel Linux, i runtime dei container, la tecnologia di virtualizzazione e altri.
Per Kubernetes, Google è membro attivo e fondatore del Security Response Committee (SRC) e ha scritto gran parte del Processo di rilascio della sicurezza. Google è membro dell'elenco dei distributori di Kubernetes, che riceve notifiche preventive sulle vulnerabilità ed è coinvolta nella valutazione, nell'applicazione delle patch, nello sviluppo della mitigazione e nella comunicazione di quasi ogni grave vulnerabilità di sicurezza di Kubernetes. Google ha anche scoperto diverse vulnerabilità di Kubernetes .
Mentre le vulnerabilità meno gravi vengono scoperte e applicate con patch al di fuori di questi processi, la maggior parte delle vulnerabilità di sicurezza più critiche vengono segnalate privatamente tramite uno dei canali elencati in precedenza. Prima che la vulnerabilità diventi pubblica, i primi report lasciano a Google il tempo necessario per studiare gli effetti su GKE Enterprise, sviluppare patch o mitigazioni e preparare consulenze e comunicazioni per i clienti. Se possibile, Google corregge tutti i cluster prima del rilascio pubblico della vulnerabilità.
Come vengono classificate le vulnerabilità
GKE fa grandi investimenti nella protezione della sicurezza dell'intero stack, inclusi i livelli di sistema operativo, container, Kubernetes e di rete, oltre a definire valori predefiniti validi, configurazioni con protezione avanzata e componenti gestiti. Insieme, questi sforzi aiutano a ridurre l'impatto e la probabilità delle vulnerabilità.
Il team per la sicurezza di GKE Enterprise classifica le vulnerabilità in base al sistema di punteggio di vulnerabilità di Kubernetes. Le classificazioni tengono conto di molti fattori, tra cui la configurazione di GKE e GKE Enterprise e la protezione della sicurezza. A causa di questi fattori e degli investimenti effettuati da GKE nella sicurezza, le classificazioni delle vulnerabilità di GKE e GKE Enterprise potrebbero differire da altre origini di classificazione.
La tabella seguente descrive le categorie di gravità della vulnerabilità:
| Gravità | Description |
|---|---|
| Critico | Una vulnerabilità facilmente sfruttabile in tutti i cluster da un utente malintenzionato remoto non autenticato che porta a una compromissione completa del sistema. |
| Alta | Una vulnerabilità facilmente sfruttabile per molti cluster che comporta la perdita di riservatezza, integrità o disponibilità. |
| Media | Una vulnerabilità sfruttabile per alcuni cluster in cui la perdita di riservatezza, integrità o disponibilità è limitata da configurazioni comuni, difficoltà dell'exploit stesso, accesso richiesto o interazione dell'utente. |
| Bassi | Tutte le altre vulnerabilità. Lo sfruttamento è improbabile oppure le conseguenze dello sfruttamento sono limitate. |
Consulta i bollettini sulla sicurezza per scoprire, ad esempio, vulnerabilità, correzioni e mitigazioni e relative valutazioni.
Come viene applicata la patch alle vulnerabilità
L'applicazione di patch a una vulnerabilità comporta l'upgrade a un nuovo numero di versione di GKE o GKE Enterprise. Le versioni GKE e GKE Enterprise includono componenti con controllo delle versioni per il sistema operativo, componenti Kubernetes e altri container che compongono la piattaforma GKE Enterprise. La correzione di alcune vulnerabilità richiede solo un upgrade del piano di controllo, eseguito automaticamente da Google su GKE, mentre altre richiedono upgrade sia del piano di controllo sia dei nodi.
Per mantenere i cluster sottoposti a patch e protetti contro le vulnerabilità di tutte le gravità, consigliamo di utilizzare l'upgrade automatico dei nodi su GKE (attivo per impostazione predefinita). Per i cluster registrati nei canali di rilascio, le release delle patch vengono promosse in base ai requisiti di idoneità di ciascun canale. Se hai bisogno di una release della patch di GKE prima che raggiunga il canale del tuo cluster, puoi eseguire manualmente l'upgrade alla versione della patch se la release della patch è sulla stessa versione secondaria disponibile nel canale di rilascio del cluster.
In altre piattaforme GKE Enterprise, Google consiglia di eseguire l'upgrade dei componenti GKE Enterprise almeno una volta al mese.
Alcuni scanner di sicurezza o controlli manuali delle versioni potrebbero presupporre erroneamente che a un componente come runc o containerd manchi una patch di sicurezza upstream specifica. GKE applica regolarmente delle patch ai componenti ed esegue upgrade dei pacchetti quando necessario, il che significa che i componenti GKE sono funzionalmente simili alle controparti upstream. Per maggiori dettagli su una specifica CVE, consulta i Bollettini sulla sicurezza di GKE.
Cronologia delle patch
L'obiettivo di Google è mitigare le vulnerabilità rilevate entro un periodo di tempo appropriato per i rischi che rappresentano. GKE è incluso nell'ATO provvisorio di FedRAMP di Google Cloud, il che richiede la correzione delle vulnerabilità note entro intervalli di tempo specifici in base al loro livello di gravità specificato in FedRAMP RA-5d. L'ATO provvisorio di FedRAMP di Google Cloud non include GKE su VMware e GKE su AWS, ma puntiamo agli stessi tempi di correzione per questi prodotti.
Come vengono comunicate le vulnerabilità e le patch
La migliore fonte di informazioni aggiornate su vulnerabilità e patch di sicurezza è il feed dei bollettini sulla sicurezza per i seguenti prodotti:
- GKE
- GKE su VMware
- GKE su AWS
- GKE su Azure
- GKE su Bare Metal
Questi bollettini seguono uno schema di numerazione delle vulnerabilità comune di Google Cloud e sono collegati dalla pagina principale dei bollettini di Google Cloud e dalle note di rilascio di GKE. Ogni pagina dei bollettini sulla sicurezza ha un feed RSS tramite il quale gli utenti possono iscriversi per ricevere gli aggiornamenti.
A volte le vulnerabilità vengono mantenute private sotto embargo per un periodo di tempo limitato. L'embargo aiuta a prevenire la pubblicazione anticipata di vulnerabilità che potrebbero portare a tentativi di sfruttamento diffusi prima di intraprendere azioni per risolverli. In situazioni di embargo, le note di rilascio fanno riferimento agli "aggiornamenti della sicurezza" fino alla revoca dell'embargo. Dopo la rimozione dell'embargo, gli aggiornamenti Google rilasciano note per includere le vulnerabilità specifiche.
Il team per la sicurezza di GKE Enterprise pubblica bollettini sulla sicurezza per le vulnerabilità con gravità alta e critica. Quando è necessario un intervento da parte del cliente per risolvere queste vulnerabilità elevate e critiche, Google contatta i clienti via email. Inoltre, Google potrebbe contattare i clienti con contratti di assistenza tramite canali di assistenza.