Ce document décrit la manière dont Google gère les failles et correctifs de sécurité pour Google Kubernetes Engine (GKE) et GKE Enterprise. Sauf indication contraire, GKE Enterprise inclut les plates-formes GKE et GKE Enterprise.
Responsabilité partagée des correctifs
La réparation est une responsabilité partagée entre Google et le client. Les responsabilités partagées sont différentes en fonction des plates-formes. Pour en savoir plus, consultez les rubriques suivantes sur chaque plate-forme :
Détection des failles
Google a réalisé d'importants investissements dans la conception et le renforcement en matière de sécurité de façon proactive, mais même les systèmes logiciels les mieux conçus peuvent causer des failles. Afin de détecter ces failles et de les corriger avant qu'elles puissent être exploitées, Google a effectué des investissements considérables sur plusieurs aspects.
À des fins de correction, GKE Enterprise est la couche du système d'exploitation (OS) sur laquelle les conteneurs sont exécutés. Les systèmes d'exploitation, Container-Optimized OS ou Ubuntu, sont renforcés et contiennent la quantité minimale de logiciels requis pour exécuter les conteneurs. Les fonctionnalités GKE Enterprise s'exécutent en tant que conteneurs sur les images de base.
Google identifie et corrige les failles et les correctifs manquants comme suit :
Container-Optimized OS : Google analyse les images pour identifier les failles potentielles et les correctifs manquants. L'équipe Container-Optimized OS examine et résout les problèmes.
Ubuntu : Canonical fournit à Google des builds d'OS sur lesquels tous les correctifs de sécurité disponibles sont appliqués.
Google analyse les conteneurs à l'aide de Container Registry Artifact Analysis pour détecter les failles et les correctifs manquants dans les conteneurs gérés par Kubernetes et Google. Si des correctifs sont disponibles, l'outil d'analyse lance automatiquement le processus de correction et de déploiement.
En plus de l'analyse automatisée, Google détecte et corrige les failles inconnues aux scanners de différentes manières.
Google effectue ses propres audits, tests d'intrusion et découverte de failles sur toutes les plates-formes GKE Enterprise. Les équipes spécialisées au sein de Google et les fournisseurs de sécurité tiers de confiance effectuent leurs propres recherches sur les attaques. Google s'est également associé à la Cloud Native Computing Foundation (CNCF) pour fournir une grande partie de l'expertise en organisation et en conseil technique pour l'audit de sécurité Kubernetes.
Google s'implique activement dans la communauté de recherche en sécurité par la biais de plusieurs programmes de fidélité dédiés à la détection des failles. Un programme de fidélité dédié à la détection des failles Google Cloud offre des primes significatives, y compris 133 337 $ pour la plus grande faille dans le cloud détectée chaque année. Pour GKE, il existe un programme qui récompense les chercheurs en sécurité s'ils peuvent briser les contrôles de sécurité. Le programme couvre toutes les dépendances logicielles de GKE.
Google collabore avec des partenaires logiciels Open Source et d'autres secteurs, qui partagent des failles, des recherches en sécurité et des correctifs avant que la version publique de ces failles ne soit publiée. L'objectif de cette collaboration est de corriger des éléments importants de l'infrastructure Internet avant que la faille ne soit annoncée publiquement. Dans certains cas, Google contribue aux failles détectées dans cette communauté. Par exemple, le projet Zero de Google a permis de détecter et de rendre public les failles Spectre et Meltdown. Par ailleurs, l'équipe de sécurité Google Cloud recherche et corrige régulièrement des failles dans la machine virtuelle basée sur Kernel (KVM).
La collaboration sur la sécurité de Google a de nombreux niveaux. Elle arrive parfois par le biais de programmes où les organisations s'inscrivent pour recevoir des notifications préliminaires concernant des failles logicielles pour des produits tels que Kubernetes et . Envoy. La collaboration se fait également de manière informelle en raison de notre engagement auprès de nombreux projets Open Source, tels que le noyau Linux, les environnements d'exécution des conteneurs, la technologie de virtualisation, et bien plus encore.
Pour Kubernetes, Google est un membre fondateur actif du comité de sécurité des produits et a rédigé une grande partie du processus de publication en matière de sécurité. Google est membre de la liste des distributeurs Kubernetes qui reçoivent une notification préalable des failles, et s'est engagé dans le tri, l'application de correctifs, le développement de mesures d'atténuation et la communication de pratiquement toutes les failles de sécurité critiques de Kubernetes. Google a également détecté plusieurs failles de Kubernetes lui-même.
Bien que les failles moins critiques soient découvertes et corrigées en dehors de ces processus, les failles de sécurité les plus critiques sont signalées en mode privé via l'un des canaux répertoriés précédemment. La création précoce de rapports laisse du temps à Google avant que la faille ne devienne publique afin d'étudier son impact sur GKE Enterprise, de développer des correctifs ou des mesures d'atténuation, et de préparer des conseils et des communications pour les clients. Lorsque cela est possible, Google corrige tous les clusters avant la sortie publique de la faille.
Classement des failles
GKE réalise des investissements importants dans le renforcement de la sécurité sur l'intégralité de la pile, y compris les couches du système d'exploitation, du conteneur, de Kubernetes et du réseau, en plus de définir de manière appropriée les valeurs par défaut, les configurations à sécurité renforcée et les composants gérés. Ces efforts combinés permettent de réduire l'impact et la probabilité des failles.
L'équipe de sécurité GKE Enterprise classe les failles en fonction du système de classement des failles Kubernetes. Les classifications tiennent compte de plusieurs facteurs, y compris de la configuration et du renforcement de la sécurité dans GKE et GKE Enterprise. En raison de ces facteurs et des investissements que GKE réalise concernant la sécurité, les classements des failles de GKE et GKE Enterprise peuvent différer des autres sources de classement.
Le tableau suivant décrit les catégories de gravité des failles :
| Gravité | Description |
|---|---|
| Critique | Faille facilement exploitable dans tous les clusters par un pirate informatique non authentifié à distance, qui entraîne un piratage de l'intégralité du système. |
| Élevé | Faille facile à exploiter pour de nombreux clusters qui entraînent une perte de confidentialité, d'intégrité ou de disponibilité. |
| Moyen | Une faille utilisable pour certains clusters où la perte de confidentialité, d'intégrité ou de disponibilité est limitée par des configurations courantes, la difficulté de l'exploitation elle-même, l'accès requis ou l'interaction utilisateur. |
| Faible | Toutes les autres failles. L'exploitation est peu probable, ou les conséquences de l'exploitation sont limitées. |
Consultez les bulletins de sécurité pour obtenir des exemples de failles, de correctifs et d'atténuations, ainsi que leurs notes.
Comment les correctifs sont-ils corrigés ?
La réparation d'une faille implique la mise à niveau vers un nouveau numéro de version GKE ou GKE Enterprise. Les versions de GKE et GKE Enterprise incluent des composants avec versions gérées pour le système d'exploitation, les composants Kubernetes et d'autres conteneurs qui constituent la plate-forme GKE Enterprise. La réparation de certaines failles ne nécessite qu'une mise à niveau d'un plan de contrôle, effectuée automatiquement par Google sur GKE, tandis que d'autres nécessitent à la fois des mises à niveau du plan de contrôle et des nœuds.
Pour maintenir les clusters corrigés et renforcer la sécurité contre les failles de tous niveaux de gravité, nous vous recommandons d'utiliser la mise à niveau automatique des nœuds sur GKE (activée par défaut). Pour les clusters enregistrés dans des canaux de publication, les releases de correctifs sont promues, car elles répondent aux exigences de qualification de chaque canal. Si vous avez besoin d'une version de correctif GKE avant qu'elle n'atteigne le canal de votre cluster, vous pouvez effectuer une mise à niveau manuelle vers la version de correctif si la version de correctif se trouve sur la même version mineure qu'une version mineure. disponible dans la version disponible de votre cluster.
Sur d'autres plates-formes GKE Enterprise, Google recommande de mettre à niveau vos composants GKE Enterprise au moins une fois par mois.
Calendrier des correctifs
L'objectif de Google est de réduire les failles détectées dans un délai approprié en fonction des risques qu'elles représentent. GKE est inclus dans l'agrément d'exploitation provisoire FedRAMP de Google Cloud, ce qui nécessite la correction des failles connues dans des délais spécifiques en fonction de leur niveau de gravité, comme spécifié dans FedRAMP RA-5d. L'agrément d'exploitation provisoire FedRAMP de Google Cloud n'inclut pas GKE sur VMware et GKE sur AWS, mais nous nous efforçons de respecter les mêmes délais de correction sur ces produits.
Communication des failles et des correctifs
Le meilleur moyen d'obtenir des informations actuelles sur les failles et les correctifs de sécurité se trouve dans le flux des bulletins de sécurité pour les produits suivants :
- GKE
- GKE sur VMware
- GKE sur AWS
- GKE sur Azure
- GKE sur solution Bare Metal
Ces bulletins suivent un schéma commun de numérotation des failles Google Cloud, et sont accessibles à partir de la page principale des bulletins Google Cloud et des notes de version de GKE. Chaque page de bulletins de sécurité comporte un flux RSS sur lequel les utilisateurs peuvent s'abonner aux mises à jour.
Les failles de sécurité sont parfois préservées sous embargo pendant une durée limitée. Les embargoes empêchent la publication précoce de failles susceptibles de générer des tentatives d'exploitation dispersées à grande échelle avant de prendre les mesures nécessaires. Dans les situations d'embargo, les notes de version font référence à des "mises à jour de sécurité" jusqu'à la levée du secret. Une fois l'embargo levé, Google met à jour les notes de version afin d'inclure les failles spécifiques.
L'équipe de sécurité GKE Enterprise publie des bulletins de sécurité pour les failles de gravité élevée et critique. Lorsque la réaction du client est requise pour remédier à ces failles critiques, Google contacte les clients par e-mail. Google peut également contacter les clients par le biais de contrats d'assistance via des canaux d'assistance.