本页面介绍了 Google Kubernetes Engine (GKE) 安全状况信息中心内提供的工作负载漏洞扫描功能。本页面适用于希望实施第一方漏洞检测解决方案的安全管理员。
工作负载漏洞扫描是安全状况信息中心内的一组功能,可在软件交付生命周期运行时阶段自动扫描容器映像和特定语言包中的已知漏洞。如果 GKE 检测到漏洞,则安全状况信息中心会显示问题的详细信息,并提供切实可行的修复步骤来缓解漏洞。
如需了解安全状况信息中心如何融入您的安全策略,请参阅作为广泛安全策略的一部分的使用。
漏洞扫描类型
工作负载漏洞扫描具有以下功能:
- 容器操作系统 (OS) 漏洞扫描
- 语言包漏洞扫描
如果在容器映像或语言包中发现漏洞,则 GKE 会在 Google Cloud 控制台的安全状况信息中心内显示结果。GKE 还会向 Cloud Logging 添加条目以进行审核和实现可追溯性。
容器操作系统漏洞扫描
GKE 会持续扫描在已注册的 GKE 集群上运行的容器映像。GKE 使用来自公共 CVE 数据库(例如 NIST)的漏洞数据。这些映像可以来自任何映像注册表。操作系统版本必须支持扫描。如需查看支持的操作系统列表,请参阅支持的 Linux 版本。
如需查看相关说明,请参阅启用容器操作系统漏洞扫描。
语言包漏洞扫描
GKE 会持续扫描容器以查找语言包(例如 Go 或 Maven 语言包)中的已知漏洞。我们从 GitHub 咨询数据库等公共来源获取漏洞数据。此扫描工具是 Artifact Analysis 扫描工具,您可以单独实现以保护您的 Artifact Registry 制品库。在安全状况信息中心内,容器映像可以来自任何映像注册表,因为 GKE 会在工作负载运行时扫描映像。如需了解 Artifact Analysis 扫描,请参阅扫描类型。
GKE 会持续扫描语言包,而不仅仅是按需扫描,或者在工作流将更改推送到容器映像时进行扫描。持续扫描可确保在有修复可用时您会立即收到新漏洞通知,从而缩短发现和修复时间。
GKE 会扫描以下语言包:
- Go
- Maven
- JavaScript
- Python
安全状况信息中心内仅会显示具有关联 CVE 编号的漏洞。
在 GKE 中启用漏洞扫描
您可以为 GKE 集群启用漏洞扫描,如下所示:
| 层级 | 已启用的功能 | GKE 版本要求 |
|---|---|---|
标准standard |
容器操作系统漏洞扫描 |
|
Advanced Vulnerability Insightsenterprise |
|
|
如需查看启用说明,请参阅自动扫描工作负载以查找已知漏洞。
价格
如需了解价格信息,请参阅 GKE 安全状况信息中心价格
GKE 建议哪些操作?
安全状况信息中心内的每个漏洞都有详细信息,例如:
- 漏洞的完整说明,包括潜在影响、攻击路径和严重程度。
- 已修复软件包和版本号。
- 指向公共 CVE 数据库中相关条目的链接。
如果没有包含切实可行的缓解措施的相应 CVE,则 GKE 不会显示漏洞。
如需大致了解安全状况信息中心界面,请参阅安全状况信息中心简介。
限制
- GKE 不支持扫描专有软件包及其依赖项。
- GKE 仅会在安全状况信息中心内显示具有可用修复和可用 CVE 编号的漏洞结果。如果您在容器注册表中扫描相同的容器映像,则可能会看到更多结果,例如没有可用修复的漏洞。
- GKE 在每个工作器节点上使用以下内存进行工作负载漏洞扫描:
- 容器操作系统扫描:50 MiB
- 高级漏洞数据分析:100 MiB
- GKE 对映像中包含软件包数据的每个文件的大小有以下限制。GKE 不会扫描超出大小限制的文件。
- 容器操作系统扫描:30 MiB
- 高级漏洞数据分析:60 MiB
- 不支持 Windows Server 容器。
- 工作负载漏洞扫描仅适用于节点少于 1,000 个的集群。
- GKE 不会扫描使用 Arm 架构(例如 T2A 机器类型)的节点。
安全状况信息中心支持每个集群最多 150,000 个活跃的工作负载漏洞扫描发现结果。当集群的发现结果数量超过此上限时,安全状况信息中心会停止显示该集群的漏洞发现结果。
如需解决此问题,请在注册表级层使用扫描机制来识别映像中的漏洞并应用补丁。或者,您也可以在新集群中批量部署工作负载,以识别和缓解漏洞。当漏洞发现结果数量少于 150,000 时,安全状况信息中心会开始显示集群的发现结果。