Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro

Questa pagina descrive le funzionalità di analisi delle vulnerabilità dei carichi di lavoro offerte nella dashboard della postura di sicurezza di Google Kubernetes Engine (GKE). Questa pagina è rivolta agli amministratori della sicurezza che vogliono implementare soluzioni proprietarie per il rilevamento delle vulnerabilità.

L'analisi delle vulnerabilità dei carichi di lavoro è un insieme di funzionalità nella dashboard della postura di sicurezza che analizza automaticamente le vulnerabilità note nelle immagini container e in pacchetti di linguaggio specifici durante la fase di runtime del ciclo di vita di distribuzione del software. Se GKE rileva delle vulnerabilità, la dashboard della postura di sicurezza mostra i dettagli dei problemi e fornisce procedure di correzione attuabili per mitigare le vulnerabilità.

Per informazioni su come la dashboard della postura di sicurezza si inserisce nella strategia di sicurezza, consulta Utilizzo come parte di un'ampia strategia di sicurezza.

Tipi di analisi delle vulnerabilità

L'analisi delle vulnerabilità dei carichi di lavoro include le seguenti funzionalità:

  • Analisi delle vulnerabilità dei sistemi operativi dei container
  • Analisi delle vulnerabilità dei pacchetti di linguaggio

Se viene rilevata una vulnerabilità nelle immagini container o nei pacchetti di linguaggio, GKE visualizza i risultati nella dashboard della postura di sicurezza nella console Google Cloud. Inoltre, GKE aggiunge voci a Cloud Logging per controlli e tracciabilità.

Analisi delle vulnerabilità del sistema operativo dei container

GKE esegue un'analisi continua delle immagini container in esecuzione su cluster GKE registrati. GKE utilizza dati sulle vulnerabilità provenienti da database CVE pubblici come NIST. Le immagini possono provenire da qualsiasi registro di immagini. La versione del sistema operativo deve essere supportata per l'analisi. Per un elenco dei sistemi operativi supportati, vedi Versioni Linux supportate.

Per le istruzioni, consulta Abilitare l'analisi delle vulnerabilità del sistema operativo dei container.

Analisi delle vulnerabilità dei pacchetti di linguaggio

GKE esegue una scansione continua dei container per individuare le vulnerabilità note nei pacchetti di linguaggio, come i pacchetti Go o Maven. Riceviamo dati sulle vulnerabilità da fonti pubbliche come GitHub Advisory Database. Lo scanner è lo scanner Artifact Analysis, che puoi implementare separatamente per salvaguardare i tuoi repository Artifact Registry. Nella dashboard della postura di sicurezza, le immagini container possono provenire da qualsiasi registro di immagini perché GKE analizza le immagini durante l'esecuzione dei carichi di lavoro. Per informazioni sulla scansione di Artifact Analysis, consulta Tipi di scansione.

GKE offre una scansione continua dei pacchetti di linguaggio, anziché solo la scansione on demand o quando i flussi di lavoro eseguono il push delle modifiche alle immagini container. La scansione continua garantisce di ricevere una notifica delle nuove vulnerabilità non appena saranno disponibili correzioni, riducendo così i tempi di rilevamento e correzione.

GKE esegue la scansione dei seguenti pacchetti di linguaggio:

  • Go
  • Maven
  • JavaScript
  • Python

Nella dashboard della postura di sicurezza vengono visualizzate solo le vulnerabilità a cui è associato un numero CVE.

Abilita l'analisi delle vulnerabilità in GKE

Puoi abilitare l'analisi delle vulnerabilità per i cluster GKE come segue:

Livello Funzionalità abilitate Requisito di versione di GKE
Standard
standard		 Analisi delle vulnerabilità del sistema operativo dei container
  • Richiede la versione 1.23.5-gke.700 o successive
  • Abilitato per impostazione predefinita nei cluster Autopilot che eseguono la versione 1.27 o successive
  • Disabilitati per impostazione predefinita nei cluster Standard
Approfondimenti avanzati sulle vulnerabilità
enterprise
  • Analisi delle vulnerabilità del sistema operativo dei container
  • Analisi delle vulnerabilità dei pacchetti di linguaggio
  • Richiede la versione 1.27 o successive
  • Disabilitata per impostazione predefinita in Autopilot e Standard

Per le istruzioni per l'abilitazione, consulta Eseguire automaticamente la scansione dei carichi di lavoro per rilevare le vulnerabilità note.

Prezzi

Per informazioni sui prezzi, consulta Prezzi della dashboard della postura di sicurezza di GKE

Quali azioni suggerisce GKE?

Ogni vulnerabilità nella dashboard della postura di sicurezza contiene informazioni dettagliate quali:

  • Una descrizione completa della vulnerabilità, incluso impatto potenziale, percorsi di attacco e gravità.
  • Pacchetti fissi e numeri di versione.
  • Link alle voci pertinenti nei database CVE pubblici.

GKE non mostra una vulnerabilità se non esiste una CVE corrispondente con una mitigazione fruibile.

Per una panoramica dell'interfaccia della dashboard della postura di sicurezza, consulta Informazioni sulla dashboard della postura di sicurezza.

Limitazioni

  • GKE non supporta l'analisi dei pacchetti proprietari e delle relative dipendenze.
  • GKE mostra solo i risultati per le vulnerabilità con una correzione disponibile e un numero CVE disponibile nella dashboard della postura di sicurezza. Se esegui la scansione delle stesse immagini container in un Container Registry, potresti vedere altri risultati, ad esempio vulnerabilità senza una correzione disponibile.
  • GKE utilizza la seguente memoria su ciascun nodo worker per l'analisi delle vulnerabilità del carico di lavoro:
    • Scansione del sistema operativo dei container: 50 MiB
    • Advanced Vulnerability Insights: 100 MiB
  • GKE prevede le seguenti limitazioni sulle dimensioni di ogni file che contiene i dati del pacchetto nelle tue immagini. GKE non analizza i file che superano il limite di dimensioni.
    • Scansione del sistema operativo dei container: 30 MiB
    • Advanced Vulnerability Insights: 60 MiB
  • I container Windows Server non sono supportati.
  • L'analisi delle vulnerabilità dei carichi di lavoro è disponibile solo per i cluster con meno di 1000 nodi.
  • GKE non esegue la scansione dei nodi che utilizzano l'architettura ARM, come il tipo di macchina T2A.

  • La dashboard della postura di sicurezza supporta fino a 150.000 risultati dell'analisi delle vulnerabilità del carico di lavoro attivi per ogni cluster. Quando il numero di risultati per un cluster supera questo valore massimo, la dashboard della postura di sicurezza smette di mostrare i risultati relativi alle vulnerabilità per il cluster in questione.

    Per risolvere il problema, utilizza un meccanismo di scansione a livello di registro per identificare le vulnerabilità nelle immagini e applicare le patch. In alternativa, in un nuovo cluster, esegui il deployment dei carichi di lavoro in batch per identificare e mitigare le vulnerabilità. Quando il numero di risultati di vulnerabilità è inferiore a 150.000, la dashboard della postura di sicurezza inizia a mostrare i risultati per il cluster.

Passaggi successivi