Sicherheitspatches

In diesem Dokument wird beschrieben, wie Google Sicherheitslücken und Patches für Google Kubernetes Engine (GKE) und GKE Enterprise verwaltet. Sofern nicht anders angegeben, umfasst GKE Enterprise sowohl GKE- als auch GKE Enterprise-Plattformen.

Diese Seite richtet sich an Sicherheitsexperten, die bei der Behebung von Sicherheitsproblemen oder Sicherheitslücken unterstützen, für die strategische Unterstützung erforderlich ist, z. B. Vorfälle und Probleme, die vom Support eskaliert wurden. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud-Inhalten verweisen, finden Sie unter Häufig verwendete GKE Enterprise-Nutzerrollen und -Aufgaben.

Geteilte Verantwortung für Patches

Das Patchen ist eine geteilte Verantwortung zwischen Google und dem Kunden. Verschiedene Plattformen haben unterschiedliche geteilte Verantwortlichkeiten. Weitere Informationen zu den einzelnen Plattformen finden Sie unter:

So erkennen wir Sicherheitslücken

Google hat große Investitionen in proaktives Sicherheitsdesign und Härtung durchgeführt. Doch selbst die besten Softwaresysteme können Sicherheitslücken haben. Um diese Sicherheitslücken zu finden und zu patchen, bevor sie ausgenutzt werden können, hat Google erhebliche in mehrere Bereiche investiert.

Zu Patchzwecken ist GKE Enterprise eine Betriebssystemebene, auf der Container ausgeführt werden. Die Betriebssysteme, Container-Optimized OS oder Ubuntu, sind gehärtet und enthalten die Software, die mindestens für die Ausführung von Containern erforderlich ist. Die GKE Enterprise-Features werden als Container auf den Basis-Images ausgeführt.

Google erkennt und behebt Sicherheitslücken und fehlende Patches auf folgende Weise:

  • Container-Optimized OS: Google scannt Images, um potenzielle Sicherheitslücken und fehlende Patches zu ermitteln. Das Team für Container-Optimized OS prüft und behebt Probleme.

  • Ubuntu: Canonical stellt Google Betriebssystem-Builds zur Verfügung, auf denen alle verfügbaren Sicherheitspatches angewendet sind.

Google scannt Container mit Container Registry-Artefaktanalyse, um Sicherheitslücken und fehlende Patches in Kubernetes- und von Google verwalteten Containern zu ermitteln. Wenn Fehlerkorrekturen verfügbar sind, startet der Scanner automatisch den Patch- und Releaseprozess.

Zusätzlich zu automatisierten Scans erkennt Google Sicherheitslücken, die Scannern unbekannt sind, und behebt sie so:

Google führt Audits, Penetrationstests und Sicherheitslückenerkennung auf allen GKE Enterprise-Plattformen durch. Spezialisierte Teams innerhalb von Google und vertrauenswürdigen Drittanbietern von Sicherheitslösungen führen eigene Angriffsuntersuchungen durch. Google arbeitet auch mit der CNCF zusammen, um einen großen Teil der Organisation und des technischen Fachwissens für das Kubernetes-Sicherheits-Audit bereitzustellen.

Google interagiert aktiv über mehrere Prämienprogramme zu Sicherheitslücken mit der Sicherheitsforschungs-Community. Ein dediziertes Google Cloud-Programm zu Sicherheitslücken bietet erhebliche Vorteile, unter anderem 133.337 $ für die bedeutendste Cloud-Sicherheitslücke des Jahres. Für GKE gibt es ein Programm, das Sicherheitsforscher belohnt, wenn sie unsere Sicherheitsvorkehrungen überwinden können. Das Programm deckt alle GKE-Softwareabhängigkeiten ab.

Google arbeitet mit anderen Branchen- und Open-Source-Softwarepartnern zusammen, die Sicherheitslücken, Sicherheitsforschung und Patches vor der Veröffentlichung der Sicherheitslücke teilen. Das Ziel dieser Zusammenarbeit besteht darin, große Teile der Internetinfrastruktur zu patchen, bevor die Sicherheitslücke öffentlich bekannt gegeben wird. In manchen Fällen informiert Google diese Community über Sicherheitslücken. Beispielsweise hat Project Zero von Google die Sicherheitslücken Spectre und Meltdown entdeckt und veröffentlicht. Das Google Cloud-Sicherheitsteam sucht und behebt auch Sicherheitslücken in der kernel-basierten virtuellen Maschine (KVM).

Die Sicherheitszusammenarbeit von Google findet auf vielen Ebenen statt. Gelegentlich geschieht dies über Programme, bei denen Organisationen sich anmelden, um Vorabbenachrichtigungen über Software-Sicherheitslücken für Produkte wie Kubernetes und Envoy zu empfangen. Die Zusammenarbeit erfolgt auch informell durch unsere Beteiligung an vielen Open-Source-Projekten wie dem Linux-Kernel, den Containerlaufzeiten, der Virtualisierungstechnologie und anderen.

Für Kubernetes ist Google ein aktives Gründungsmitglied des Security Response Committee (SRC), das einen Großteil des Sicherheitsrelease-Prozesses geschrieben hat. Google ist Mitglied der Liste der Kubernetes-Vertriebspartner, die im Voraus Benachrichtigungen zu Sicherheitslücken erhalten, und war an der Prüfung, dem Patchen, den Maßnahmen zur Risikominderung und der Kommunikation bei nahezu allen schwere Kubernetes-Sicherheitslücken beteiligt. Google hat auch mehrere Sicherheitslücken von Kubernetes selbst entdeckt.

Außerhalb dieser Prozesse werden weniger schwerwiegende Sicherheitslücken erkannt und gepatcht. Die meisten Sicherheitslücken werden über einen der zuvor aufgeführten Kanäle privat gemeldet. Die frühzeitige Berichterstattung gibt Google genügend Zeit, bevor die Sicherheitslücke veröffentlicht wird, zu erfahren, wie sie sich auf GKE Enterprise auswirkt, Patches oder Abhilfemaßnahmen zu entwickeln und Beratung und Kommunikation für Kunden vorzubereiten. Wenn möglich, patcht Google alle Cluster vor der Veröffentlichung der Sicherheitslücke.

Klassifizierung von Sicherheitslücken

GKE investiert viel in die Sicherheit des gesamten Stacks ein, einschließlich Betriebssystem-, Container-, Kubernetes- und Netzwerkebenen, zusätzlich zum Festlegen geeigneter Standardeinstellungen, sicherheitsoptimierter Konfigurationen und verwalteter Komponenten. In Kombination werden diese Anstrengungen dazu beitragen, die Auswirkungen und die Wahrscheinlichkeit von Sicherheitslücken zu reduzieren.

Das GKE Enterprise-Sicherheitsteam klassifiziert Sicherheitslücken gemäß dem Kubernetes-System zur Sicherheitslückenbewertung. Bei Klassifizierungen werden viele Faktoren berücksichtigt, unter anderem die GKE- und GKE Enterprise-Konfiguration sowie die Härtung der Sicherheit. Aufgrund dieser Faktoren und der Investitionen, die GKE in die Sicherheit tätigt, können sich die Klassifizierungen von GKE und GKE Enterprise von anderen Klassifizierungsquellen unterscheiden.

In der folgenden Tabelle werden die Schweregrade von Sicherheitslücken beschrieben:

Schweregrad Beschreibung
Kritisch Eine Sicherheitslücke, die in allen Clustern leicht ausnutzbar ist durch einen nicht authentifizierten Remote-Angreifer, der zu einem vollständigen Systemmissbrauch führt.
Hoch Eine Sicherheitslücke, die für viele Cluster ausgenutzt werden kann, was zum Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit führt.
Mittel Eine Sicherheitslücke, die für einige Cluster genutzt werden kann, bei denen der Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit durch allgemeine Konfigurationen, der Schwere des Exploits, den erforderlichen Zugriff oder die Nutzerinteraktion beeinträchtigt wird.
Gering Alle anderen Sicherheitslücken. Die Ausnutzung ist unwahrscheinlich oder die Konsequenzen der Ausnutzung sind begrenzt.

In den Sicherheitsbulletins finden Sie Beispiele für Sicherheitslücken, Fehlerbehebungen und Risikominderungen sowie deren Bewertungen.

Sicherheitslücken patchen

Beim Patchen einer Sicherheitslücke muss ein Upgrade auf eine neue GKE- oder GKE Enterprise-Versionsnummer durchgeführt werden. GKE- und GKE Enterprise-Versionen enthalten versionierte Komponenten für das Betriebssystem, Kubernetes-Komponenten und andere Container, aus denen die GKE Enterprise-Plattform besteht. Das Beheben einiger Sicherheitslücken erfordert nur ein Upgrade der Steuerungsebene, das automatisch von Google in GKE durchgeführt wird, während für andere sowohl Steuerungsebenen- als auch Knotenupgrades erforderlich sind.

Damit Cluster immer gepatcht und vor Sicherheitslücken geschützt bleiben, empfehlen wir die Verwendung von automatischem Knotenupgrade in GKE (standardmäßig aktiviert). Bei Clustern, die für Release-Versionen registriert sind, werden Patch-Releases hochgestuft, wenn sie die Qualifikationsanforderungen der jeweiligen Kanäle erfüllen. Wenn Sie einen GKE-Patch-Release benötigen, bevor er den Kanal Ihres Clusters erreicht, können Sie ein manuelles Upgrade auf die Patch-Version ausführen, falls die Patch-Version des Release auf der gleichen Nebenversion wie der im Releasekanal Ihres Clusters verfügbaren Nebenversion basiert.

Auf anderen GKE Enterprise-Plattformen empfiehlt Google, die GKE Enterprise-Komponenten mindestens einmal pro Monat zu aktualisieren.

Einige Sicherheitsscanner oder manuelle Versionsüberprüfungen gehen möglicherweise fälschlicherweise davon aus, dass für eine Komponente wie runc oder containerd ein bestimmter Upstream-Sicherheits-Patch fehlt. In GKE werden Komponenten regelmäßig gepatcht und nur bei Bedarf Paketversionen aktualisiert. Das bedeutet, dass GKE-Komponenten funktional mit ihren Upstream-Entsprechungen vergleichbar sind, auch wenn die Versionsnummer der GKE-Komponente nicht mit der Upstream-Versionsnummer übereinstimmt. Details zu einer bestimmten CVE finden Sie in den GKE-Sicherheitsbulletins.

Zeitpläne für Patches

Das Ziel von Google ist es, erkannte Sicherheitslücken innerhalb eines Zeitraums zu minimieren, der für damit verbundene Risiken angemessen ist. GKE ist in der vorläufigen FedRAMP ATO von Google Cloud enthalten. Dies erfordert, dass bekannte Sicherheitslücken innerhalb bestimmter Zeiträume entsprechend ihres Schweregrades behoben werden, wie unter RA-5(d) in der Tabelle „Summary of Continuous Monitoring Activities & Deliverables“ (Zusammenfassung der Aktivitäten und Ergebnisse des kontinuierlichen Monitorings) im Leitfaden zur FedRAMP-Strategie für kontinuierliches Monitoring angegeben. Die vorläufige FedRAMP ATO von Google Cloud umfasst Google Distributed Cloud und GKE on AWS nicht. Wir bemühen uns jedoch, dieselben Zeiträume für Problembehebungen bei diesen Produkten zu erreichen.

So wird über Sicherheitslücken und Patches informiert

Die beste Quelle für aktuelle Informationen zu Sicherheitslücken und Sicherheitspatches finden Sie in den Sicherheitsbulletin-Feeds der folgenden Produkte:

  • GKE
  • Google Distributed Cloud
  • GKE on AWS
  • GKE on Azure
  • Google Distributed Cloud

Diese Bulletins folgen einem gängigen Schema zur Sicherheitslückennummer für Google Cloud und sind über die Hauptseite der Google Cloud-Bulletins und die GKE-Versionshinweise verknüpft. Jede Sicherheitsbulletin-Seite verfügt über einen RSS-Feed, über den Nutzer Updates abonnieren können.

Sicherheitslücken werden manchmal für einen begrenzten Zeitraum privat gehalten und mit einem "Embargo" belegt. Embargos unterstützen bei der Verhinderung der frühzeitige Veröffentlichung von Sicherheitslücken, die zu ausgedehnte Angriffen führen können, bevor gegensteuernde Maßnahmen ergriffen werden können. In Embargo-Fällen sprechen die Versionshinweise von "Sicherheitsupdates", bis die Embargo aufgehoben wurde. Nachdem die Embargo aufgehoben wurde, aktualisiert Google Versionshinweise, um die jeweiligen Sicherheitslücken aufzunehmen

Das Sicherheitsteam von GKE Enterprise veröffentlicht Sicherheitsbulletins für Sicherheitslücken mit hohem und kritischem Schweregrad. Wenn Kunden Maßnahmen ergreifen müssen, um diese hohen und kritischen Sicherheitslücken zu adressieren, kontaktiert Google Kunden per E-Mail. Darüber hinaus kann Google Kunden mit Supportverträgen auch über Supportkanäle kontaktieren.