Questa pagina descrive l'analisi delle vulnerabilità dei workload, una funzionalità della dashboard della postura di sicurezza di Google Kubernetes Engine (GKE). Questa funzionalità ti aiuta a migliorare la sicurezza dei deployment eseguendo automaticamente la scansione delle vulnerabilità nelle immagini container e nei pacchetti di linguaggio durante il runtime. Puoi visualizzare i problemi di vulnerabilità identificati e le azioni consigliate nella dashboard della postura di sicurezza.
Questa pagina è rivolta agli specialisti della sicurezza e fornisce informazioni per prendere decisioni informate e dettagli sull'utilizzo dell'analisi delle vulnerabilità dei workload durante l'implementazione di una soluzione di rilevamento delle vulnerabilità proprietaria all'interno Google Cloud. Per saperne di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività comuni degli utenti GKE.
Prima di leggere questa pagina, assicurati di conoscere le informazioni su come la dashboard della postura di sicurezza si inserisce nella tua strategia di sicurezza leggendo Utilizzo nell'ambito di una strategia di sicurezza più ampia.
Tipi di analisi delle vulnerabilità
L'analisi delle vulnerabilità dei workload include le seguenti funzionalità:
- Analisi delle vulnerabilità del sistema operativo (SO) dei container
- Analisi delle vulnerabilità dei pacchetti di linguaggio
Se viene rilevata una vulnerabilità nelle immagini container o nei pacchetti di linguaggio, GKE visualizza i risultati nella dashboard della postura di sicurezza in the Google Cloud console. GKE aggiunge anche voci a Cloud Logging per l'audit e la tracciabilità.
Analisi delle vulnerabilità del sistema operativo dei container
GKE esegue continuamente la scansione delle immagini container in esecuzione sui cluster GKE registrati. GKE utilizza i dati sulle vulnerabilità provenienti da database CVE pubblici come NIST. Le immagini possono provenire da qualsiasi registro di immagini. La versione del sistema operativo deve essere supportata per l'analisi. Per un elenco dei sistemi operativi supportati, consulta Versioni di Linux supportate.
Per le istruzioni, consulta Abilitare l'analisi delle vulnerabilità del sistema operativo dei container.
Analisi delle vulnerabilità dei pacchetti di linguaggio
GKE esegue continuamente la scansione dei container per rilevare vulnerabilità note nei pacchetti di linguaggio, come i pacchetti Go o Maven. I dati sulle vulnerabilità vengono recuperati da fonti pubbliche come il database GitHub Advisory. Lo scanner è lo scanner di Artifact Analysis, che puoi implementare separatamente per proteggere i repository di Artifact Registry. Nella dashboard della postura di sicurezza, le immagini container possono provenire da qualsiasi registro di immagini perché GKE esegue la scansione delle immagini durante l'esecuzione dei workload. Per informazioni sull'analisi di Artifact Analysis, consulta Tipi di analisi.
GKE fornisce l'analisi continua dei pacchetti di linguaggio anziché eseguire l'analisi solo on demand o quando i flussi di lavoro eseguono il push delle modifiche alle immagini container. L'analisi continua ti garantisce di ricevere una notifica delle nuove vulnerabilità non appena sono disponibili le correzioni, riducendo così il tempo necessario per il rilevamento e la correzione.
GKE esegue la scansione dei seguenti pacchetti di linguaggio:
- Vai
- Maven
- JavaScript
- Python
Nella dashboard della postura di sicurezza vengono visualizzate solo le vulnerabilità a cui è associato un numero CVE.
Abilitare l'analisi delle vulnerabilità in GKE
Puoi abilitare l'analisi delle vulnerabilità per i cluster GKE nel modo seguente:
| Livello | Funzionalità abilitate | Requisito della versione di GKE |
|---|---|---|
Standardstandard |
Analisi delle vulnerabilità del sistema operativo dei container |
|
Advanced Vulnerability Insightsenterprise |
|
|
Per le istruzioni di abilitazione, consulta Eseguire automaticamente la scansione dei workload per rilevare vulnerabilità note.
Prezzi
Per informazioni sui prezzi, consulta Prezzi della dashboard della postura di sicurezza di GKE
Quali azioni suggerisce GKE?
Ogni vulnerabilità nella dashboard della postura di sicurezza contiene informazioni dettagliate, ad esempio:
- Una descrizione completa della vulnerabilità, inclusi il potenziale impatto, i percorsi di attacco e la gravità.
- Pacchetti e numeri di versione corretti.
- Link alle voci pertinenti nei database CVE pubblici.
GKE non mostra una vulnerabilità se non esiste un CVE corrispondente con una mitigazione strategica.
Per una panoramica dell'interfaccia della dashboard della postura di sicurezza, consulta Informazioni sulla dashboard della postura di sicurezza.
Limitazioni
- GKE non supporta l'analisi dei pacchetti proprietari e delle relative dipendenze.
- GKE visualizza solo i risultati per le vulnerabilità che hanno una correzione disponibile e un numero CVE disponibile nella dashboard della postura di sicurezza. Potresti visualizzare più risultati, ad esempio vulnerabilità senza una correzione disponibile, se esegui la scansione delle stesse immagini container in un registro di container.
- GKE utilizza la seguente memoria su ogni nodo worker per l'analisi delle vulnerabilità dei workload:
- Analisi del sistema operativo dei container: 50 MiB
- Advanced Vulnerability Insights: 100 MiB
- GKE presenta le seguenti limitazioni relative alle dimensioni di ogni file contenente i dati dei pacchetti nelle immagini. GKE non esegue la scansione dei file che superano il limite di dimensioni.
- Analisi del sistema operativo dei container: 30 MiB
- Advanced Vulnerability Insights: 60 MiB
- I container Windows Server non sono supportati.
- L'analisi delle vulnerabilità dei workload è disponibile solo per i cluster con meno di 1000 nodi.
- GKE non esegue la scansione dei nodi che utilizzano l'architettura Arm, ad esempio il tipo di macchina T2A.
La dashboard della postura di sicurezza supporta fino a 150.000 risultati di analisi delle vulnerabilità dei workload attivi per ogni cluster. Quando il numero di risultati per un cluster supera questo massimo, la dashboard della postura di sicurezza smette di mostrare i risultati delle vulnerabilità per quel cluster.
Per risolvere il problema, utilizza un meccanismo di analisi a livello di registro per identificare le vulnerabilità nelle immagini e applicare le patch. In alternativa, in un nuovo cluster, esegui il deployment dei workload in batch per identificare e mitigare le vulnerabilità. Quando il numero di risultati di vulnerabilità è inferiore a 150.000, la dashboard della postura di sicurezza inizia a visualizzare i risultati per il cluster.
Per ogni cluster, il database della postura di sicurezza di GKE tiene traccia di tutti gli oggetti workload di primo livello nell'API Kubernetes. Ad esempio, un deployment che gestisce 20 repliche viene monitorato come un singolo oggetto. Anche un pod statico è un singolo oggetto.
Il database può elaborare fino a 5000 operazioni di eliminazione e creazione di oggetti in una singola transazione. Ad esempio, l'eliminazione di un deployment è una singola operazione e la ricreazione di un pod statico è costituita da due operazioni (eliminazione e creazione). Se il numero di operazioni supera 5000, la dashboard della postura di sicurezza smette di mostrare i risultati per quel cluster.
Se la dashboard non viene aggiornata e di recente hai scalato il numero di workload di primo livello nel cluster, puoi creare una richiesta di assistenza con l'assistenza clienti Google Cloud per reimpostare lo stato del database.
Passaggi successivi
- Abilitare e utilizzare l'analisi delle vulnerabilità dei workload
- Scopri di più sulle altre funzionalità di analisi nella dashboard della postura di sicurezza