סריקה אוטומטית של עומסי עבודה כדי לזהות נקודות חולשה ידועות

בדף הזה מוסבר איך להתחיל לעבוד עם מרכז הבקרה של מצב האבטחה כדי לזהות נקודות חולשה. כדאי לבדוק את הדרישות, לבחור מבין הרמות הזמינות וללמוד איך להפעיל סריקה של נקודות חולשה, לפרוס עומס עבודה לבדיקה, לראות את התוצאות וההמלצות ולהשבית את הסריקה.

הדף הזה מיועד למומחי אבטחה שמנטרים אשכולות כדי לזהות בעיות אבטחה. מידע נוסף על תפקידים נפוצים ומשימות לדוגמה שאנחנו מתייחסים אליהם בGoogle Cloud תוכן, זמין במאמר תפקידים נפוצים של משתמשי GKE ומשימות.

לפני שקוראים את הדף הזה, חשוב לוודא שמכירים את הסקירה הכללית של סריקת פגיעויות בעומסי עבודה.

תמחור

למידע על מחירים אפשר לעיין בתמחור של לוח הבקרה 'מצב האבטחה של GKE'.

לפני שמתחילים

לפני שמתחילים, חשוב לוודא שביצעתם את הפעולות הבאות:

  • מפעילים את ממשק Google Kubernetes Engine API.
  • הפעלת Google Kubernetes Engine API
  • כדי להשתמש ב-CLI של Google Cloud למשימה הזו, צריך להתקין ואז להפעיל את gcloud CLI. אם התקנתם בעבר את ה-CLI של gcloud, מריצים את הפקודה gcloud components update כדי לקבל את הגרסה העדכנית. יכול להיות שגרסאות קודמות של ה-CLI של gcloud לא יתמכו בהרצת הפקודות שמופיעות במסמך הזה.

דרישות

  • כדי לקבל את ההרשאות שנדרשות לשימוש בסריקת פגיעויות בעומסי עבודה, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Security Posture Viewer (roles/containersecurity.viewer) בפרויקט Google Cloud . להסבר על מתן תפקידים, קראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

    זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות לשימוש בסריקת פגיעויות של עומסי עבודה. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

    ההרשאות הנדרשות

    כדי להשתמש בסריקת פגיעויות בעומסי עבודה, נדרשות ההרשאות הבאות:

    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • containersecurity.locations.list
    • containersecurity.locations.get
    • containersecurity.clusterSummaries.list
    • containersecurity.findings.list

    יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

  • כדי להשתמש בתובנות מתקדמות לגבי נקודות חולשה, צריך להשתמש ב-GKE בגרסה 1.27 ואילך.

רמות של סריקת נקודות חולשה בעומסי עבודה

אתם מפעילים בדיקת נקודות חולשה ברמות שונות, וכל רמה מוסיפה יכולות סריקה באופן הבא. אם אתם משתמשים ב-Google Kubernetes Engine (GKE) במהדורת Enterprise כדי לנהל קבוצות של אשכולות, אתם יכולים גם להגדיר הגדרות לסריקת נקודות חולשה ברמת הקבוצה, שיחולו על כל האשכולות החברים. הוראות מפורטות זמינות במאמר הגדרה של תכונות מרכז הבקרה לאבטחה של GKE ברמת ה-Fleet.

רמה יכולות מופעלות דרישות לגבי גרסת GKE
רגילה
standard
סריקת נקודות חולשה במערכת ההפעלה של הקונטיינר
  • מהדורת GKE Enterprise: מופעלת כברירת מחדל בכל האשכולות החדשים שפועלים בגרסה 1.27 ואילך
Advanced vulnerability insights
enterprise
  • סריקת נקודות חולשה במערכת ההפעלה של הקונטיינר
  • סריקה של נקודות חולשה בחבילת שפה
  • מהדורת GKE Enterprise: מופעלת כברירת מחדל בכל האשכולות החדשים שפועלים בגרסה 1.27 ואילך
  • מהדורת GKE Standard: מושבתת כברירת מחדל בכל האשכולות החדשים.

מידע נוסף על כל אחת מהיכולות זמין במאמר מידע על סריקת עומסי עבודה לאיתור פגיעויות.

הפעלת סריקה של נקודות חולשה במערכת ההפעלה של המאגר

סריקת נקודות חולשה במערכת ההפעלה של מאגר התגים מופעלת כברירת מחדל באשכולות חדשים של Autopilot שמופעלת בהם גרסה 1.27 ואילך. בקטע הזה מוסבר איך להפעיל את התכונה הזו באשכולות רגילים קיימים חדשים ובאשכולות של Autopilot שפועלים בגרסאות קודמות לגרסה 1.27.

הפעלת סריקת מערכת ההפעלה של מאגרים באשכול קיים

gcloud

מעדכנים את האשכול:

gcloud container clusters update CLUSTER_NAME \
    --location=CONTROL_PLANE_LOCATION \
    --workload-vulnerability-scanning=standard

מחליפים את מה שכתוב בשדות הבאים:

  • CLUSTER_NAME: השם של האשכול.
  • CONTROL_PLANE_LOCATION: המיקום של מישור הבקרה של האשכול. מציינים אזור לאשכולות אזוריים של Standard ו-Autopilot, או אזור לאשכולות אזוריים של Standard.

המסוף

  1. נכנסים לדף Security Posture במסוף Google Cloud .

    מעבר אל 'רמת האבטחה'
  2. לוחצים על הכרטיסייה הגדרות.
  3. בקטע Vulnerability scan enabled clusters (אשכולות שמופעל בהם סריקת פגיעויות), לוחצים על Select clusters (בחירת אשכולות).
  4. מסמנים את התיבות לצד האשכולות שרוצים להוסיף.
  5. בתפריט הנפתח בחירת פעולה, בוחרים באפשרות הגדרה ל-Basic.
  6. לוחצים על אישור.

הפעלת תובנות מתקדמות לגבי פגיעויות

התכונה 'תובנות מתקדמות לגבי פגיעויות' מאפשרת סריקה רציפה של האפליקציות הפועלות שלכם לאיתור סוגי הפגיעויות הבאים:

  • נקודות חולשה במערכת ההפעלה של הקונטיינר
  • נקודות חולשה בחבילת השפה

כשמפעילים את התכונה 'תובנות מתקדמות לגבי פגיעויות', היכולת לסרוק פגיעויות במערכת ההפעלה של הקונטיינר מופעלת באופן אוטומטי ואי אפשר להשבית אותה בנפרד.

דרישות

הפעלת תובנות מתקדמות לגבי פגיעויות באשכול קיים

gcloud

מעדכנים את האשכול:

gcloud container clusters update CLUSTER_NAME \
    --location=CONTROL_PLANE_LOCATION \
    --workload-vulnerability-scanning=enterprise

מחליפים את מה שכתוב בשדות הבאים:

  • CLUSTER_NAME: השם של האשכול.
  • CONTROL_PLANE_LOCATION: המיקום של מישור הבקרה של האשכול. מציינים אזור לאשכולות אזוריים של Standard ו-Autopilot, או אזור לאשכולות אזוריים של Standard.

המסוף

  1. נכנסים לדף Security Posture במסוף Google Cloud .

    מעבר אל 'רמת האבטחה'
  2. לוחצים על הכרטיסייה הגדרות.
  3. בקטע Vulnerability scan enabled clusters (אשכולות שמופעל בהם סריקת פגיעויות), לוחצים על Select clusters (בחירת אשכולות).
  4. מסמנים את התיבות לצד האשכולות שרוצים להוסיף.
  5. בתפריט הנפתח בחירת פעולה, בוחרים באפשרות הגדרה כמתקדם.
  6. לוחצים על אישור.

פריסת עומס עבודה לבדיקה

בקטע הבא מופיעות דוגמאות למניפסטים של פריסה. פריסה היא אובייקט Kubernetes API שמאפשר להפעיל כמה רפליקות של Pods שמפוזרות בין הצמתים באשכול.

למניפסטים הבאים יש נקודות חולשה ידועות למטרות הדגמה. בפועל, אם אתם יודעים שאפליקציה פגיעה, כנראה שלא כדאי להפעיל אותה.

  1. שומרים את קובץ המניפסט הבא בשם os-vuln-sample.yaml:

    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: frontend
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: guestbook
          tier: frontend
      template:
        metadata:
          labels:
            app: guestbook
            tier: frontend
        spec:
          containers:
          - name: php-redis
            image: us-docker.pkg.dev/google-samples/containers/gke/gb-frontend:v5
            env:
            - name: GET_HOSTS_FROM
              value: "dns"
            resources:
              requests:
                cpu: 100m
                memory: 100Mi
            ports:
            - containerPort: 80
    
  2. כדאי לעיין במניפסט הבא, שמכיל נקודת חולשה ידועה ב-Maven:

    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: maven-vulns
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: mavenvulns
      template:
        metadata:
          labels:
            app: mavenvulns
        spec:
          containers:
          - name: maven-vulns-app
            image: us-docker.pkg.dev/google-samples/containers/gke/security/maven-vulns
            # This app listens on port 8080 for web traffic by default.
            ports:
            - containerPort: 8080
            env:
              - name: PORT
                value: "8080"
            resources:
              requests:
                memory: "1Gi"
                cpu: "500m"
                ephemeral-storage: "1Gi"
              limits:
                memory: "1Gi"
                cpu: "500m"
                ephemeral-storage: "1Gi"
  3. אופציונלי: מקבלים פרטי כניסה לאשכול:

    gcloud container clusters get-credentials CLUSTER_NAME \
        --location=CONTROL_PLANE_LOCATION
    
  4. פורסים את האפליקציות באשכול:

    kubectl apply -f os-vuln-sample.yaml
    kubectl apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/kubernetes-engine-samples/main/security/language-vulns/maven/deployment.yaml
    

כדי לבדוק פגיעויות אחרות, אפשר לנסות לפרוס גרסאות קודמות של תמונות כמו nginx בסביבות הכנה.

צפייה בתוצאות וביצוע פעולות

הסריקה הראשונית נמשכת לפחות 15 דקות, בהתאם למספר עומסי העבודה שנסרקים. תוצאות הבדיקה מוצגות ב-GKE במרכז הבקרה של מצב האבטחה, וערכים נוספים באופן אוטומטי לרישום ביומן.

הצגת תוצאות

כדי לראות סקירה כללית של הבעיות שזוהו באשכולות ובעומסי העבודה של הפרויקט, מבצעים את הפעולות הבאות:

  1. נכנסים לדף Security Posture במסוף Google Cloud .

    מעבר אל 'רמת האבטחה'

  2. לוחצים על הכרטיסייה בעיות.

  3. בחלונית Filter concerns, בקטע Concern type, מסמנים את תיבת הסימון Vulnerability.

צפייה בפרטי הבעיה ובהמלצות

כדי לראות מידע מפורט על פגיעות ספציפית, לוחצים על השורה שבה מופיעה הבעיה.

בחלונית Vulnerability Concern מוצג המידע הבא:

  • תיאור: תיאור של החשש, כולל מספר CVE אם רלוונטי, ותיאור מפורט של נקודת החולשה וההשפעה הפוטנציאלית שלה.
  • הפעולה המומלצת: פעולות שאפשר לבצע כדי לטפל בפגיעות, כמו גרסאות חבילה קבועות ומקומות שבהם אפשר להחיל את התיקון.

צפייה ביומנים של בעיות שזוהו

‫GKE מוסיף רשומות ל_Default מאגר היומנים ב-Logging לכל בעיה שזוהתה. היומנים האלה נשמרים רק לפרק זמן מסוים. פרטים נוספים זמינים במאמר בנושא תקופות שמירה של יומנים.

  1. במסוף Google Cloud , נכנסים אל Logs Explorer:

    כניסה לדף Logs Explorer
  2. בשדה Query, מציינים את השאילתה הבאה:

    resource.type="k8s_cluster"
    jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
    jsonPayload.type="FINDING_TYPE_VULNERABILITY"
  3. לוחצים על Run query.

כדי לקבל התראות כש-GKE מוסיף ממצאים חדשים ל-Logging, צריך להגדיר התראות מבוססות-יומן עבור השאילתה הזו. מידע נוסף זמין במאמר הגדרת התראות שמבוססות על יומנים.

הסרת המשאבים

  1. מוחקים את עומס העבודה לדוגמה שפרסתם:

    kubectl delete deployment frontend
    
  2. אפשר גם למחוק את האשכול שבו השתמשתם:

    gcloud container clusters delete CLUSTER_NAME \
        --location=CONTROL_PLANE_LOCATION
    

השבתה של סריקת נקודות חולשה בעומסי עבודה

אפשר להשבית את סריקת הפגיעויות של עומסי העבודה באמצעות gcloud CLI או מסוף Google Cloud .

gcloud

מריצים את הפקודה הבאה:

gcloud container clusters update CLUSTER_NAME \
    --location=CONTROL_PLANE_LOCATION \
    --workload-vulnerability-scanning=disabled

מחליפים את מה שכתוב בשדות הבאים:

  • CLUSTER_NAME: השם של האשכול.
  • CONTROL_PLANE_LOCATION: המיקום של מישור הבקרה של האשכול. מציינים אזור לאשכולות אזוריים של Standard ו-Autopilot, או אזור לאשכולות אזוריים של Standard.

המסוף

  1. נכנסים לדף Security Posture במסוף Google Cloud .

    מעבר אל 'רמת האבטחה'
  2. לוחצים על הכרטיסייה הגדרות.
  3. בקטע Vulnerability scan enabled clusters (אשכולות שמופעל בהם סריקת פגיעויות), לוחצים על Select clusters (בחירת אשכולות).
  4. מסמנים את התיבות לצד האשכולות שרוצים להסיר.
  5. בתפריט הנפתח בחירת פעולה, בוחרים באפשרות הגדרה כ'מושבת'.
  6. לוחצים על אישור.

המאמרים הבאים