Applicazione delle patch di sicurezza
Questo documento descrive come Google gestisce le vulnerabilità e le patch di sicurezza per Google Kubernetes Engine (GKE) e GKE Enterprise. Salvo dove diversamente indicato, GKE Enterprise include sia le piattaforme GKE che GKE Enterprise.
Applicazione di patch alla responsabilità condivisa
L'applicazione di patch è una responsabilità condivisa tra Google e il cliente. Ogni piattaforma ha responsabilità condivise diverse. Per ulteriori dettagli, consulta i seguenti argomenti su ciascuna piattaforma:
Come rileviamo le vulnerabilità
Google ha fatto grandi investimenti nella progettazione e nella protezione proattiva della sicurezza, ma anche i sistemi software più progettati possono presentare delle vulnerabilità. Per individuare queste vulnerabilità e applicarle alle patch prima che possano essere sfruttate, Google ha effettuato investimenti significativi su più fronti.
Ai fini dell'applicazione di patch, GKE Enterprise è un livello del sistema operativo con i container in esecuzione. I sistemi operativi, Container-Optimized OS o Ubuntu, sono protetti e contengono la quantità minima di software necessaria per eseguire i container. Le funzionalità di GKE Enterprise vengono eseguite come container sopra le immagini di base.
Google identifica e corregge le vulnerabilità e le patch mancanti nei seguenti modi:
Container-Optimized OS: Google analizza le immagini per identificare potenziali vulnerabilità e patch mancanti. Il team Container-Optimized OS esamina e risolve i problemi.
Ubuntu: Canonical fornisce a Google build del sistema operativo a cui sono applicate tutte le patch di sicurezza disponibili.
Google analizza i container utilizzando Container Registry Artifact Analysis per scoprire vulnerabilità e patch mancanti nei container Kubernetes e gestiti da Google. Se sono disponibili correzioni, lo scanner avvia automaticamente il processo di patch e rilascio.
Oltre alla scansione automatica, Google rileva e corregge le vulnerabilità sconosciute agli scanner nei modi indicati di seguito.
Google esegue i propri controlli, test di penetrazione e rilevamento delle vulnerabilità su tutte le piattaforme GKE Enterprise. Team specializzati di Google e fornitori di servizi di sicurezza di terze parti conducono ricerche sugli attacchi. Google ha inoltre collaborato con la CNCF per fornire gran parte dell'organizzazione e delle competenze di consulenza tecnica per il controllo di sicurezza di Kubernetes.
Google collabora attivamente con la comunità di ricerca sulla sicurezza tramite diversi programmi di ricompensa per le vulnerabilità. Un programma a premi dedicato per le vulnerabilità di Google Cloud offre importanti ricompense, tra cui 133.337 $per la migliore vulnerabilità del cloud individuata ogni anno. Per GKE, c'è un programma che premia i ricercatori della sicurezza se sono in grado di violare i nostri controlli di sicurezza. Il programma copre tutte le dipendenze software di GKE.
Google collabora con altri partner software open source e del settore che condividono vulnerabilità, ricerche sulla sicurezza e patch prima del rilascio pubblico della vulnerabilità. L'obiettivo di questa collaborazione è patchare grandi porzioni dell'infrastruttura internet prima che la vulnerabilità venga annunciata al pubblico. In alcuni casi, Google contribuisce alle vulnerabilità trovate in questa community. Ad esempio, Project Zero di Google ha scoperto e pubblicizzato le vulnerabilità di Spectre e Meltdown. Inoltre, il team per la sicurezza di Google Cloud individua e corregge regolarmente le vulnerabilità nella macchina virtuale (KVM) basata su kernel.
La collaborazione di Google in materia di sicurezza avviene su molti livelli. A volte si verifica formalmente tramite programmi in cui le organizzazioni si registrano per ricevere notifiche pre-release sulle vulnerabilità del software per prodotti come Kubernetes ed Envoy. La collaborazione avviene anche in modo informale grazie al nostro impegno con molti progetti open source come il kernel Linux, i runtime dei container, la tecnologia di virtualizzazione e altri.
Per Kubernetes, Google è un membro attivo e fondatore del Security Response Committee (SRC) e ha scritto gran parte del processo del rilascio di sicurezza. Google è membro dell'elenco dei distributori di Kubernetes che riceve previa notifica delle vulnerabilità ed è stata coinvolta nella classificazione, nell'applicazione di patch, nello sviluppo della mitigazione e nella comunicazione di quasi tutte le vulnerabilità di sicurezza gravi di Kubernetes. Google ha anche scoperto diverse vulnerabilità Kubernetes tutta.
Sebbene le vulnerabilità meno gravi vengano rilevate e applicate le patch al di fuori di questi processi, la maggior parte delle vulnerabilità di sicurezza critiche viene segnalata privatamente tramite uno dei canali elencati in precedenza. Prima che la vulnerabilità divenga pubblica, i report tempestivi consentono a Google di studiare come influisce su GKE Enterprise, sviluppare patch o mitigazioni e preparare consigli e comunicazioni per i clienti. Quando possibile, Google corregge tutti i cluster prima del rilascio pubblico della vulnerabilità.
Come vengono classificate le vulnerabilità
GKE effettua ingenti investimenti nella protezione dell'intero stack, inclusi i livelli sistema operativo, container, Kubernetes e di rete, oltre a definire valori predefiniti validi, configurazioni protette dalla sicurezza e componenti gestiti. L'insieme di questi sforzi consente di ridurre l'impatto e la probabilità di vulnerabilità.
Il team di sicurezza di GKE Enterprise classifica le vulnerabilità in base al sistema Punteggio di vulnerabilità di Kubernetes. Le classificazioni prendono in considerazione molti fattori, tra cui la configurazione di GKE e GKE Enterprise e il rafforzamento della sicurezza. A causa di questi fattori e degli investimenti effettuati da GKE nella sicurezza, le classificazioni delle vulnerabilità di GKE e GKE Enterprise potrebbero differire da altre origini di classificazione.
La tabella seguente descrive le categorie di gravità della vulnerabilità:
| Gravità | Descrizione |
|---|---|
| Critico | Una vulnerabilità facilmente sfruttabile in tutti i cluster da un utente malintenzionato remoto non autenticato, che porta alla compromissione completa del sistema. |
| Alta | Una vulnerabilità facilmente sfruttabile per molti cluster che porta alla perdita di riservatezza, integrità o disponibilità. |
| Medio | Vulnerabilità sfruttabile per alcuni cluster in cui la perdita di riservatezza, integrità o disponibilità è limitata da configurazioni comuni, difficoltà dell'exploit stesso, accesso richiesto o interazione dell'utente. |
| Bassa | Tutte le altre vulnerabilità. È improbabile che lo sfruttamento o le conseguenze dello sfruttamento siano limitate. |
Consulta i bollettini sulla sicurezza per conoscere alcuni esempi di vulnerabilità, correzioni e mitigazioni e le relative classificazioni.
Come vengono applicate le patch alle vulnerabilità
L'applicazione di patch a una vulnerabilità comporta l'upgrade a un nuovo numero di versione di GKE o GKE Enterprise. Le versioni GKE e GKE Enterprise includono i componenti con controllo delle versioni per il sistema operativo, i componenti Kubernetes e altri container che compongono la piattaforma GKE Enterprise. La correzione di alcune vulnerabilità richiede solo un upgrade del piano di controllo, eseguito automaticamente da Google su GKE, mentre altre richiedono upgrade del piano di controllo e dei nodi.
Per mantenere i cluster protetti e con patch contro vulnerabilità di qualsiasi gravità, ti consigliamo di utilizzare l'upgrade automatico dei nodi su GKE (attivo per impostazione predefinita). Per i cluster registrati nei canali di rilascio, le release delle patch vengono promosse in quanto soddisfano i requisiti di idoneità di ciascun canale. Se hai bisogno di una release di patch di GKE prima che raggiunga il canale del tuo cluster, puoi eseguire manualmente l'upgrade alla versione della patch se la release della patch ha la stessa versione secondaria di quella disponibile nel canale di rilascio del cluster.
Su altre piattaforme GKE Enterprise, Google consiglia di eseguire l'upgrade dei componenti GKE Enterprise almeno una volta al mese.
Alcuni scanner di sicurezza o controlli manuali della versione potrebbero dedurre erroneamente che in un componente come runc o containerd manca una specifica patch di sicurezza upstream. GKE applica regolarmente patch ai componenti ed esegue upgrade dei pacchetti quando necessario, il che significa che i componenti GKE sono funzionalmente simili alle controparti upstream. Per maggiori dettagli su un CVE specifico, consulta i bollettini sulla sicurezza di GKE.
Cronologia dell'applicazione delle patch
L'obiettivo di Google è mitigare le vulnerabilità rilevate entro un periodo di tempo appropriato per i rischi che rappresentano. GKE è incluso nell'ATO provvisorio FedRAMP di Google Cloud, che richiede la correzione delle vulnerabilità note entro tempi specifici in base al relativo livello di gravità, come specificato in FedRAMP RA-5d. L'ATO provvisorio FedRAMP di Google Cloud non include GKE su VMware e GKE su AWS, ma puntiamo a rispettare gli stessi periodi di tempo per la correzione per questi prodotti.
Come vengono comunicate vulnerabilità e patch
La migliore fonte di informazioni aggiornate su vulnerabilità e patch di sicurezza è nel feed dei bollettini sulla sicurezza per i seguenti prodotti:
- GKE
- GKE su VMware
- GKE su AWS
- GKE su Azure
- GKE su Bare Metal
Questi bollettini seguono uno schema di numerazione delle vulnerabilità comune di Google Cloud e sono collegati dalla pagina principale dei bollettini Google Cloud e dalle note di rilascio di GKE. Ogni pagina dei bollettini sulla sicurezza ha un feed RSS a cui gli utenti possono iscriversi per ricevere aggiornamenti.
A volte le vulnerabilità vengono mantenute private e sotto embargo per un periodo di tempo limitato. Gli embarghi aiutano a prevenire la pubblicazione tempestiva di vulnerabilità che potrebbero portare a diffusori tentativi di sfruttamento prima che sia possibile intraprendere azioni per risolverli. In situazioni di embargo, le note di rilascio fanno riferimento agli "aggiornamenti della sicurezza" fino a quando l'embargo non viene rimosso. Una volta revocato l'embargo, Google aggiorna le note di rilascio in modo da includere le vulnerabilità specifiche.
Il team per la sicurezza di GKE Enterprise pubblica bollettini sulla sicurezza per le vulnerabilità con gravità alta e critica. Quando è necessaria un'azione da parte del cliente per affrontare queste vulnerabilità di livello elevato e critico, Google contatta i clienti via email. Inoltre, Google potrebbe anche contattare i clienti con contratti di assistenza tramite canali di assistenza.