מידע על סריקת נקודות חולשה בעומסי עבודה

בדף הזה מתואר בדיקת נקודות חולשה בעומסי עבודה, תכונה של לוח הבקרה של מצב האבטחה ב-Google Kubernetes Engine ‏ (GKE). התכונה הזו עוזרת לשפר את האבטחה של הפריסות שלכם על ידי סריקה אוטומטית של נקודות חולשה בתמונות של הקונטיינרים ובחבילות השפה במהלך זמן הריצה. אפשר לראות את הבעיות שזוהו בנוגע לפגיעות ואת הפעולות המומלצות במרכז הבקרה של מצב האבטחה.

הדף הזה מיועד למומחי אבטחה. הוא כולל מידע שיעזור להם לקבל החלטות מושכלות ופרטים על השימוש בבדיקת נקודות חולשה בעומסי עבודה כשמטמיעים פתרון לזיהוי פגיעויות מצד ראשון ב- Google Cloud. כדי לקבל מידע נוסף על תפקידים נפוצים ועל משימות לדוגמה שאנחנו מתייחסים אליהן ב Google Cloud תוכן, אפשר לעיין במאמר תפקידים נפוצים של משתמשי GKE ומשימות.

לפני שקוראים את הדף הזה, כדאי לקרוא את המאמר שימוש כחלק מאסטרטגיית אבטחה רחבה כדי להבין איך לוח הבקרה של מצב האבטחה משתלב באסטרטגיית האבטחה שלכם.

סוגים של סריקות נקודות חולשה

סריקת נקודות חולשה בעומסי עבודה כוללת את היכולות הבאות:

  • סריקת נקודות חולשה במערכת ההפעלה (OS) של מאגר
  • סריקת נקודות חולשה בחבילת שפה

אם נמצאת פגיעות בקובצי האימג' של הקונטיינרים או בחבילות השפה, התוצאות מוצגות בלוח הבקרה של מצב האבטחה ב Google Cloud מסוף GKE. בנוסף, GKE מוסיף רשומות ל-Cloud Logging לצורך ביקורת ומעקב.

סריקת נקודות חולשה במערכת ההפעלה של הקונטיינר

‫GKE סורק באופן רציף תמונות קונטיינרים שפועלות באשכולות GKE רשומים. ‫GKE משתמש בנתוני פגיעות ממסדי נתונים ציבוריים של CVE, כמו NIST. התמונות יכולות להגיע מכל מאגר תמונות. גרסת מערכת ההפעלה חייבת להיות נתמכת כדי לסרוק. רשימת מערכות ההפעלה הנתמכות מופיעה כאן.

הוראות מפורטות מופיעות במאמר הפעלת בדיקת נקודות חולשה במערכת ההפעלה של קונטיינרים.

סריקת נקודות חולשה בחבילת שפה

‫GKE סורק באופן רציף קונטיינרים כדי לזהות נקודות חולשה ידועות בחבילות שפה, כמו חבילות Go או Maven. אנחנו מקבלים נתונים על פגיעויות ממקורות ציבוריים, כמו מאגר המידע של GitHub Advisory. הסורק הוא סורק Artifact Analysis, שאפשר להטמיע אותו בנפרד כדי להגן על מאגרי Artifact Registry. במרכז הבקרה של מצב האבטחה, קובצי האימג' של הקונטיינרים יכולים להגיע מכל מאגר תמונות, כי GKE סורק את התמונות בזמן שהעומסים פועלים. מידע על סריקת Artifact Analysis זמין במאמר בנושא סוגי סריקה.

ב-GKE מתבצעת סריקה רציפה של חבילות השפה, במקום סריקה לפי דרישה או כששינויים בתהליכי העבודה נדחפים לתמונות הקונטיינר. הסריקה הרציפה מבטיחה שתקבלו הודעה על נקודות חולשה חדשות ברגע שתיקונים יהיו זמינים, וכך תקצרו את הזמן שנדרש לזיהוי ולתיקון.

מערכת GKE סורקת את חבילות השפה הבאות:

  • Go
  • Maven
  • JavaScript
  • Python

במרכז הבקרה של מצב האבטחה מוצגות רק נקודות חולשה שיש להן מספר CVE משויך.

הפעלת בדיקת נקודות חולשה ב-GKE

ניתן להפעיל בדיקת נקודות חולשה באשכולות GKE באופן הבא:

רמה יכולות מופעלות דרישות לגבי גרסת GKE
רגילה
standard		 סריקת נקודות חולשה במערכת ההפעלה של הקונטיינר
  • מהדורת GKE Enterprise: מופעלת כברירת מחדל בכל האשכולות החדשים שפועלים בגרסה 1.27 ואילך
  • GKE Standard edition: מושבת כברירת מחדל בכל האשכולות החדשים.
Advanced vulnerability insights
enterprise
  • סריקת נקודות חולשה במערכת ההפעלה של הקונטיינר
  • סריקת נקודות חולשה בחבילת שפה
  • מהדורת GKE Enterprise: מופעלת כברירת מחדל בכל האשכולות החדשים שפועלים בגרסה 1.27 ואילך
  • GKE Standard edition: מושבת כברירת מחדל בכל האשכולות החדשים.

הוראות להפעלה מופיעות במאמר בנושא סריקה אוטומטית של עומסי עבודה לאיתור פגיעויות מוכרות.

תמחור

למידע על מחירים אפשר לעיין בתמחור של מרכז הבקרה של GKE לניהול אבטחה

אילו פעולות מומלצות ב-GKE?

כל נקודת חולשה בלוח הבקרה של מצב האבטחה כוללת מידע מפורט, כמו:

  • תיאור מלא של הפגיעות, כולל ההשפעה הפוטנציאלית, נתיבי התקפה ורמת החומרה.
  • חבילות קבועות ומספרי גרסאות.
  • קישורים לרשומות הרלוונטיות במסדי נתונים ציבוריים של CVE.

אם אין CVE תואם עם אמצעי להפחתת הסיכון, GKE לא יציג פגיעות.

סקירה כללית על הממשק של לוח הבקרה של מצב האבטחה

מגבלות

  • ‫GKE לא תומך בסריקה של חבילות קנייניות והתלויות שלהן.
  • ב-GKE מוצגות רק תוצאות של נקודות חולשה שיש להן תיקון זמין ומספר CVE זמין בלוח הבקרה של מצב האבטחה. יכול להיות שתראו יותר תוצאות, כמו נקודות חולשה ללא תיקון זמין, אם תסרקו את אותן תמונות של קונטיינרים במאגר קונטיינרים.
  • ב-GKE, הזיכרון הבא משמש בכל צומת worker לסריקת נקודות חולשה בעומסי עבודה:
    • סריקת מערכת הפעלה של קונטיינר: 50 MiB
    • תובנות מתקדמות לגבי פגיעויות: 100 MiB
  • ב-GKE יש את המגבלות הבאות על הגודל של כל קובץ שמכיל נתוני חבילות בתמונות שלכם. מערכת GKE לא תסרוק קבצים שחורגים ממגבלת הגודל.
    • סריקת מערכת הפעלה של קונטיינר: 30 MiB
    • תובנות מתקדמות לגבי פגיעויות: 60 MiB
  • אין תמיכה בקונטיינרים של Windows Server.
  • סריקת פגיעויות בעומסי עבודה זמינה רק לאשכולות עם פחות מ-1,000 צמתים.
  • ‫GKE לא סורק צמתים שמשתמשים בארכיטקטורת Arm, כמו סוג המכונה T2A.

  • לוח הבקרה של מצב האבטחה תומך בעד 150,000 ממצאים של בדיקת נקודות חולשה בעומסי עבודה פעילים לכל אשכול. אם מספר הממצאים באשכול חורג מהמספר המקסימלי הזה, מרכז הבקרה של מצב האבטחה מפסיק להציג ממצאי פגיעות באשכול הזה.

    כדי לפתור את הבעיה, צריך להשתמש במנגנון סריקה ברמת המאגר כדי לזהות נקודות חולשה בתמונות ולהחיל תיקונים. לחלופין, באשכול חדש, אפשר לפרוס את עומסי העבודה בקבוצות כדי לזהות פגיעויות ולצמצם אותן. אם מספר הממצאים לגבי פגיעויות קטן מ-150,000, לוח הבקרה של מצב האבטחה מתחיל להציג ממצאים לגבי האשכול.

  • בכל אשכול, מסד הנתונים של מצב האבטחה ב-GKE עוקב אחרי כל אובייקטי העומס ברמה העליונה ב-Kubernetes API. לדוגמה, פריסת Deployment שמנהלת 20 רפליקות נרשמת כאובייקט יחיד. גם Pod סטטי הוא אובייקט יחיד.

    מסד הנתונים יכול לעבד עד 5,000 פעולות של מחיקה ויצירה של אובייקטים בעסקה אחת. לדוגמה, מחיקת פריסה היא פעולה אחת, ויצירה מחדש של Pod סטטי היא שתי פעולות (מחיקה ויצירה). אם מספר הפעולות חורג מ-5,000, מרכז הבקרה של מצב האבטחה מפסיק להציג ממצאים לגבי האשכול הזה.

    אם לוח הבקרה לא מתעדכן, והגדלתם לאחרונה את מספר עומסי העבודה ברמה העליונה באשכול, תוכלו ליצור בקשת תמיכה ב-Cloud Customer Care כדי לאפס את מצב מסד הנתונים.

המאמרים הבאים