Questo documento descrive come Google gestisce le vulnerabilità e le patch di sicurezza per Google Kubernetes Engine (GKE) e GKE Enterprise. Tranne dove diversamente Come detto in precedenza, GKE Enterprise include sia GKE sia GKE Enterprise piattaforme di terze parti.
Applicazione di patch alla responsabilità condivisa
L'applicazione di patch è una responsabilità condivisa tra Google e il cliente. Diverso hanno responsabilità condivise diverse. Consulta i seguenti argomenti su ciascuna piattaforma per ulteriori dettagli:
Come rileviamo le vulnerabilità
Google ha fatto grandi investimenti nella progettazione e nella protezione proattiva della sicurezza, ma anche i sistemi software più progettati possono presentare delle vulnerabilità. Per trovare queste vulnerabilità e applicarle patch prima che possano essere sfruttate, Google ha ha fatto investimenti significativi su più fronti.
Ai fini dell'applicazione di patch, GKE Enterprise è un livello del sistema operativo con di container in esecuzione. I sistemi operativi, Container-Optimized OS o Ubuntu, sono protetti e contengono la quantità minima di software necessarie per eseguire i container. Le funzionalità di GKE Enterprise vengono eseguite come container in alto delle immagini di base.
Google identifica e corregge le vulnerabilità e le patch mancanti nei seguenti modi:
Container-Optimized OS: Google scansiona le immagini per identificare potenziali vulnerabilità e patch mancanti. Il team di Container-Optimized OS esamina e risolve i problemi.
Ubuntu: Canonical fornisce a Google build del sistema operativo che hanno tutte patch di sicurezza applicate.
Google esegue la scansione dei container utilizzando Analisi degli artefatti di Container Registry per scoprire le vulnerabilità e le patch mancanti in Kubernetes e containers. Se sono disponibili correzioni, lo scanner avvia automaticamente di patch e rilascio di patch.
Oltre alla scansione automatica, Google rileva e corregge le vulnerabilità sconosciuto agli scanner nei modi indicati di seguito.
Google esegue i propri controlli, test di penetrazione e rilevamento delle vulnerabilità su tutte le piattaforme GKE Enterprise. Team specializzati all'interno di Google e fornitori di servizi di sicurezza di terze parti affidabili conducono le proprie ricerche sugli attacchi. Google ha ha collaborato anche con il CNCF a fornire gran parte dell'esperienza organizzativa e di consulenza tecnica ai Controllo di sicurezza di Kubernetes.
Google interagisce attivamente con la comunità di ricerca sulla sicurezza tramite più programmi di riconoscimento vulnerabilità. Un programma a premi dedicato alle vulnerabilità di Google Cloud ricompense significative inclusi 133.337 $per la migliore vulnerabilità del cloud trovati ogni anno. Per GKE, esiste un programma che premia ricercatori di sicurezza, se sono in grado violare i nostri controlli di sicurezza. Il programma copre tutte le dipendenze software di GKE.
Google collabora con altri partner software open source e del settore che condividere vulnerabilità, ricerca sulla sicurezza e patch prima del rilascio pubblico della vulnerabilità. L'obiettivo di questa collaborazione è applicare grandi porzioni di l'infrastruttura internet prima che la vulnerabilità venga annunciata al pubblico. Nel alcuni casi, Google contribuisce alle vulnerabilità trovate in questa comunità. Per Project Zero di Google ha scoperto e pubblicizzato il Spectre e Meltdown le vulnerabilità. Inoltre, il team addetto alla sicurezza di Google Cloud trova correzioni vulnerabilità nella macchina virtuale (KVM) basata su kernel.
La collaborazione di Google in materia di sicurezza avviene su molti livelli. A volte si verifica formalmente tramite programmi in cui le organizzazioni si iscrivono per ricevere pre-release le notifiche sulle vulnerabilità del software per prodotti quali Kubernetes e Envoy. La collaborazione avviene anche in modo informale grazie al nostro impegno con molti progetti open source come kernel Linux, runtime dei container, tecnologie di virtualizzazione e altro.
Per Kubernetes, Google è un membro attivo e fondatore del Comitato di risposta alla sicurezza (SRC) e ha scritto gran parte dei Procedura di rilascio di sicurezza. Google è membro del Elenco dei distributori Kubernetes che riceve previa notifica delle vulnerabilità e che è stato coinvolto in il triage, l'applicazione di patch, lo sviluppo per la mitigazione e la comunicazione ogni grave vulnerabilità di sicurezza di Kubernetes. Google ha scoperto inoltre Kubernetes vulnerabilità noi.
Sebbene al di fuori di questi vengano individuate e applicate patch alle vulnerabilità meno gravi, di sicurezza, la maggior parte delle vulnerabilità critiche viene segnalata privatamente uno dei canali precedentemente elencati. I primi report danno a Google il tempo prima la vulnerabilità diventa pubblica per studiarne l'impatto su GKE Enterprise, sviluppare patch o mitigazioni e preparare consigli e comunicazioni per clienti. Quando possibile, Google applica le patch a tutti i cluster prima del rilascio pubblico della vulnerabilità.
Come vengono classificate le vulnerabilità
GKE fa grandi investimenti nella protezione dell'intero stack tra cui il sistema operativo, il container, Kubernetes e i livelli di rete, oltre a impostare buoni valori predefiniti, configurazioni rafforzate dalla sicurezza e componenti gestiti. Combinazione, questi sforzi aiutano a ridurre l'impatto e la probabilità di vulnerabilità.
Il team di sicurezza di GKE Enterprise classifica le vulnerabilità in base alle Punteggio di vulnerabilità di Kubernetes di un sistema operativo completo. Le classificazioni prendono in considerazione molti fattori, tra cui Configurazione e protezione della sicurezza di GKE e GKE Enterprise. Dati questi fattori e gli investimenti di GKE nella sicurezza, Le classificazioni delle vulnerabilità di GKE e GKE Enterprise differiscono da altre fonti di classificazione.
La tabella seguente descrive le categorie di gravità della vulnerabilità:
| Gravità | Descrizione |
|---|---|
| Critico | Una vulnerabilità facilmente sfruttabile in tutti i cluster da un un aggressore remoto non autenticato che porta alla compromissione completa del sistema. |
| Alta | Una vulnerabilità facilmente sfruttabile per molti cluster che porta a Perdita di riservatezza, integrità o disponibilità. |
| Medio | Una vulnerabilità sfruttabile per alcuni cluster in cui la perdita di riservatezza, integrità o disponibilità sono limitati dalla configurazioni, difficoltà dell'exploit stesso, accesso richiesto o un'interazione. |
| Bassa | Tutte le altre vulnerabilità. È improbabile che lo sfruttamento o le conseguenze di di sfruttamento sono limitati. |
Consulta le bollettini sulla sicurezza per esempi di vulnerabilità, correzioni e mitigazioni e le relative valutazioni.
Come vengono applicate le patch alle vulnerabilità
L'applicazione di patch a una vulnerabilità comporta l'upgrade a una nuova Numero di versione di GKE o GKE Enterprise. GKE e Le versioni di GKE Enterprise includono componenti sottoposti al controllo delle versioni per il sistema operativo, i componenti di Kubernetes e gli altri container che compongono GKE Enterprise completamente gestita. La correzione di alcune vulnerabilità richiede solo un upgrade del piano di controllo, eseguite automaticamente da Google su GKE, mentre altri richiedono sia degli upgrade del piano di controllo che dei nodi.
Per mantenere i cluster con patch e protezione avanzata contro vulnerabilità di ogni gravità, che consigliamo utilizzando l'upgrade automatico dei nodi su GKE (attiva per impostazione predefinita). Per i cluster registrati nei canali di rilascio, le release delle patch vengono vengano promossi in quanto soddisfano i requisiti di idoneità di ciascun canale. Se hai bisogno di una patch GKE prima che raggiunga il canale del cluster, puoi eseguire l'upgrade manuale alla versione della patch se la release della patch è la stessa come versione secondaria disponibile nel canale di rilascio del cluster.
Su altre piattaforme GKE Enterprise, Google consiglia di eseguire l'upgrade i componenti di GKE Enterprise almeno una volta al mese.
Alcuni scanner di sicurezza o i controlli manuali delle versioni potrebbero considerare erroneamente in un componente come runc o containerd manca una specifica sicurezza upstream una patch. GKE applica regolarmente le patch ai componenti ed esegue di upgrade quando richiesto, il che significa che i componenti GKE sono simili dal punto di vista funzionale alle controparti upstream, anche se la versione del componente GKE non corrisponde alla versione upstream numero. Per maggiori dettagli su un CVE specifico, consulta Bollettini sulla sicurezza di GKE.
Cronologia dell'applicazione delle patch
L'obiettivo di Google è mitigare le vulnerabilità rilevate entro un periodo di tempo e appropriati per i rischi che rappresentano. GKE è incluso ATO provvisorio FedRAMP di Google Cloud che richiede di risolvere le vulnerabilità note all'interno di periodi di tempo in base al relativo livello di gravità, Specificato in FedRAMP RA-5d. L'ATO provvisorio FedRAMP di Google Cloud non include Google Distributed Cloud e GKE su AWS, ma puntiamo a rispettare gli stessi tempi di correzione per questi prodotti.
Come vengono comunicate vulnerabilità e patch
La migliore fonte di informazioni attuali su vulnerabilità e sicurezza Le patch si trovano nel feed dei bollettini sulla sicurezza per i seguenti prodotti:
- GKE
- Google Distributed Cloud
- GKE su AWS
- GKE su Azure
- Google Distributed Cloud
Questi bollettini seguono uno schema di numerazione delle vulnerabilità comune di Google Cloud e sono collegato dalla pagina principale dei bollettini Google Cloud e le note di rilascio di GKE. Ogni pagina dei bollettini sulla sicurezza ha un feed RSS a cui gli utenti possono iscriversi per ricevere aggiornamenti.
A volte le vulnerabilità vengono mantenute private e sotto embargo per un periodo di tempo limitato. Gli embarghi aiutano a prevenire la pubblicazione anticipata di vulnerabilità che potrebbero comportare e diffusi tentativi di sfruttamento prima di poter intervenire per risolverli. Nel situazioni di embargo, le note di rilascio si riferiscono agli "aggiornamenti della sicurezza" fino al l'embargo è stato revocato. In seguito alla revoca dell'embargo, gli aggiornamenti Google rilasciano note per includere le vulnerabilità specifiche.
Il team di sicurezza di GKE Enterprise pubblica bollettini sulla sicurezza per le vulnerabilità con gravità alta e critica. Quando è necessario un intervento del cliente per risolvere queste vulnerabilità di livello elevato e critico, Google contatta i clienti email. Inoltre, Google potrebbe anche contattare i clienti con contratti di assistenza tramite i canali di assistenza.