Questo documento descrive come Google gestisce vulnerabilità e patch di sicurezza per Google Kubernetes Engine (GKE) e GKE Enterprise. Salvo dove diversamente indicato, GKE Enterprise include sia le piattaforme GKE che GKE Enterprise.
Applicazione di patch alla responsabilità condivisa
L'applicazione di patch è una responsabilità condivisa tra Google e il cliente. Le diverse piattaforme hanno responsabilità condivise diverse. Per ulteriori dettagli, consulta i seguenti argomenti su ciascuna piattaforma:
Come scopriamo le vulnerabilità
Google ha fatto grandi investimenti nella progettazione e nella protezione proattivi della sicurezza, ma anche i sistemi software più progettati possono presentare vulnerabilità. Per individuare queste vulnerabilità e sistemarle prima che possano essere sfruttate, Google ha effettuato investimenti significativi su più fronti.
Ai fini dell'applicazione di patch, GKE Enterprise è un livello del sistema operativo con container in esecuzione al piano. I sistemi operativi, Container-Optimized OS o Ubuntu, sono protetti e contengono la quantità minima di software necessaria per eseguire i container. Le funzionalità GKE Enterprise vengono eseguite come container sopra le immagini di base.
Google identifica e corregge vulnerabilità e patch mancanti nei seguenti modi:
Container-Optimized OS: Google analizza le immagini per identificare potenziali vulnerabilità e patch mancanti. Il team Container-Optimized OS esamina e risolve i problemi.
Ubuntu: Canonical fornisce a Google build di sistemi operativi a cui sono state applicate tutte le patch di sicurezza disponibili.
Google analizza i container utilizzando Container Registry Artifact Analysis per scoprire vulnerabilità e patch mancanti nei container Kubernetes e gestiti da Google. Se ci sono correzioni disponibili, lo scanner inizia automaticamente il processo di applicazione patch e rilascio.
Oltre alla scansione automatica, Google rileva e corregge vulnerabilità sconosciute agli scanner nei modi indicati di seguito.
Google esegue controlli, test di penetrazione e rilevamento delle vulnerabilità su tutte le piattaforme GKE Enterprise. Team specializzati di Google e fornitori di sicurezza di terze parti affidabili conducono ricerche sugli attacchi. Google ha anche collaborato con il CNCF per fornire gran parte dell'organizzazione e delle competenze di consulenza tecnica per il audit sulla sicurezza di Kubernetes.
Google collabora attivamente con la community di ricerca sulla sicurezza attraverso programmi a premi multipli sulle vulnerabilità. Un programma a premi per le vulnerabilità di Google Cloud dedicato offre ricompense significative, inclusi 133.337 $per la migliore vulnerabilità del cloud trovata ogni anno. Per GKE, esiste un programma che premia i ricercatori che si occupano di sicurezza se sono in grado di violare i nostri controlli di sicurezza. Il programma copre tutte le dipendenze software di GKE.
Google collabora con altri partner del settore e del software open source che condividono vulnerabilità, ricerche di sicurezza e patch prima del rilascio pubblico della vulnerabilità. L'obiettivo di questa collaborazione è quello di sistemare grandi porzioni dell'infrastruttura internet prima che la vulnerabilità venga annunciata al pubblico. In alcuni casi, Google contribuisce alle vulnerabilità trovate in questa community. Ad esempio, Project Zero di Google ha rilevato e pubblicizzato le vulnerabilità Spectre e Meltdown. Il team per la sicurezza di Google Cloud individua e corregge regolarmente le vulnerabilità nella macchina virtuale basata su kernel (KVM).
La collaborazione di Google in materia di sicurezza avviene a molti livelli. A volte accade formalmente tramite programmi in cui le organizzazioni si registrano per ricevere notifiche pre-release sulle vulnerabilità del software per prodotti come Kubernetes ed Envoy. La collaborazione avviene anche in modo informale grazie al nostro impegno con molti progetti open source come il kernel Linux, i runtime dei container, la tecnologia di virtualizzazione e altri.
Per Kubernetes, Google è membro attivo e fondatore del Security Response Committee (SRC) e ha scritto gran parte del Processo di rilascio della sicurezza. Google è membro dell'Elenco dei distributori di Kubernetes, che riceve notifiche preventive delle vulnerabilità ed è coinvolta nella classificazione, nell'applicazione di patch, nello sviluppo della mitigazione e nella comunicazione di quasi ogni grave vulnerabilità della sicurezza di Kubernetes. Google ha anche rilevato diverse vulnerabilità Kubernetes da noi.
Sebbene le vulnerabilità meno gravi vengano scoperte e applicate con patch al di fuori di questi processi, la maggior parte delle vulnerabilità di sicurezza critiche viene segnalata privatamente tramite uno dei canali elencati in precedenza. Prima che la vulnerabilità diventi pubblica, i primi report danno a Google il tempo di effettuare ricerche sull'impatto che ha su GKE Enterprise, sviluppare patch o mitigazioni e preparare consigli e comunicazioni per i clienti. Se possibile, Google applica patch a tutti i cluster prima del rilascio pubblico della vulnerabilità.
Come vengono classificate le vulnerabilità
GKE fa grandi investimenti nella protezione dell'intero stack, inclusi i livelli di sistema operativo, container, Kubernetes e rete, oltre a impostare valori predefiniti validi, configurazioni con protezione avanzata e componenti gestiti. Insieme, questi sforzi aiutano a ridurre l'impatto e la probabilità delle vulnerabilità.
Il team di sicurezza di GKE Enterprise classifica le vulnerabilità in base al sistema di punteggio di vulnerabilità di Kubernetes. Le classificazioni tengono conto di molti fattori, tra cui la configurazione di GKE e GKE Enterprise e la protezione della sicurezza. A causa di questi fattori e degli investimenti effettuati da GKE nella sicurezza, le classificazioni delle vulnerabilità di GKE e GKE Enterprise potrebbero differire da altre origini di classificazione.
La tabella seguente descrive le categorie di gravità della vulnerabilità:
| Gravità | Description |
|---|---|
| Critico | Una vulnerabilità facilmente sfruttabile in tutti i cluster da un utente malintenzionato remoto non autenticato che porta alla compromissione completa del sistema. |
| Alta | Una vulnerabilità facilmente sfruttabile per molti cluster che comporta la perdita di riservatezza, integrità o disponibilità. |
| Media | Una vulnerabilità sfruttabile per alcuni cluster in cui la perdita di riservatezza, integrità o disponibilità è limitata da configurazioni comuni, difficoltà dell'exploit stesso, accesso richiesto o interazione dell'utente. |
| Bassa | Tutte le altre vulnerabilità. Lo sfruttamento è improbabile oppure le conseguenze dello sfruttamento sono limitate. |
Consulta i bollettini sulla sicurezza per scoprire esempi di vulnerabilità, correzioni, mitigazioni e relative valutazioni.
Come vengono applicate le patch alle vulnerabilità
L'applicazione di patch a una vulnerabilità comporta l'upgrade a un nuovo numero di versione di GKE o GKE Enterprise. Le versioni GKE e GKE Enterprise includono componenti con controllo delle versioni per il sistema operativo, componenti Kubernetes e altri container che compongono la piattaforma GKE Enterprise. La correzione di alcune vulnerabilità richiede solo un upgrade del piano di controllo, eseguito automaticamente da Google su GKE, mentre altre richiedono sia upgrade del piano di controllo sia dei nodi.
Per mantenere i cluster sottoposti a patch e protetti contro le vulnerabilità di tutte le gravità, consigliamo di utilizzare l'upgrade automatico dei nodi su GKE (attivo per impostazione predefinita). Per i cluster registrati nei canali di rilascio, le release delle patch vengono promosse in base ai requisiti di qualifica di ciascun canale. Se hai bisogno di una release patch di GKE prima che raggiunga il canale del tuo cluster, puoi eseguire manualmente l'upgrade alla versione della patch se la release secondaria è sulla stessa versione secondaria disponibile nel canale di rilascio del tuo cluster.
Su altre piattaforme GKE Enterprise, Google consiglia di eseguire l'upgrade dei componenti GKE Enterprise almeno una volta al mese.
Sequenza temporale delle patch
L'obiettivo di Google è mitigare le vulnerabilità rilevate entro un periodo di tempo appropriato per i rischi che rappresentano. GKE è incluso nell'ATO provvisorio di FedRAMP di Google Cloud, che richiede il ripristino delle vulnerabilità note entro intervalli di tempo specifici in base al loro livello di gravità specificato in FedRAMP RA-5d. L'ATO provvisorio di FedRAMP di Google Cloud non include GKE su VMware e GKE su AWS, ma puntiamo agli stessi periodi di tempo per la correzione di questi prodotti.
Come vengono comunicate vulnerabilità e patch
La migliore fonte di informazioni aggiornate su vulnerabilità e patch di sicurezza è il feed dei bollettini sulla sicurezza per i seguenti prodotti:
- GKE
- GKE su VMware
- GKE su AWS
- GKE su Azure
- GKE su Bare Metal
Questi bollettini seguono uno schema di numerazione delle vulnerabilità comune di Google Cloud e sono collegati dalla pagina principale dei bollettini di Google Cloud e dalle note di rilascio di GKE. Ogni pagina dei bollettini sulla sicurezza ha un feed RSS a cui gli utenti possono iscriversi per ricevere gli aggiornamenti.
A volte le vulnerabilità sono mantenute private sotto embargo per un periodo di tempo limitato. L'embargo aiuta a prevenire la pubblicazione tempestiva di vulnerabilità che potrebbero portare a tentativi di sfruttamento diffusi prima di poter adottare misure per risolverli. In situazioni di embargo, le note di rilascio fanno riferimento agli "aggiornamenti della sicurezza" fino alla revoca dell'embargo. Una volta abolito l'embargo, gli aggiornamenti di Google rilasciano note di rilascio per includere le vulnerabilità specifiche.
Il team per la sicurezza di GKE Enterprise pubblica bollettini sulla sicurezza per le vulnerabilità con gravità alta e critica. Quando è necessario l'intervento del cliente per risolvere queste vulnerabilità Alta e Critica, Google contatta i clienti via email. Inoltre, Google potrebbe contattare i clienti con contratti di assistenza anche tramite canali di assistenza.