Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

תיקון פגיעויות באבטחה

טייס אוטומטי רגילה

במאמר הזה מוסבר איך Google מטפלת בנקודות חולשה ובתיקונים ב-Google Kubernetes Engine‏ (GKE). המידע הזה יכול להיות שימושי למומחי אבטחה שתומכים בפתרון בעיות אבטחה או נקודות חולשה שדורשות סיוע אסטרטגי, כמו אירועים ובעיות שהועברו לטיפול ברמה גבוהה יותר מהתמיכה.

תיקון אחריות משותפת

הטלאים הם אחריות משותפת של Google והלקוח, כפי שמתואר במאמר בנושא אחריות משותפת ב-GKE.

איך אנחנו מגלים נקודות חולשה

‫Google השקיעה משאבים רבים בתכנון אבטחה פרואקטיבי ובהקשחת המערכת, אבל גם במערכות התוכנה המתוכננות הכי טוב יכולות להיות נקודות חולשה. כדי למצוא את נקודות החולשה האלה ולתקן אותן לפני שגורמים זדוניים יוכלו לנצל אותן, Google השקיעה משאבים רבים בתחומים שונים.

לצורך תיקון, GKE היא שכבת מערכת הפעלה (OS) עם קונטיינרים שפועלים מעליה. מערכות ההפעלה, Container-Optimized OS או Ubuntu, מוקשחות ומכילות את כמות התוכנה המינימלית שנדרשת להפעלת קונטיינרים. תכונות GKE פועלות כקונטיינרים מעל קובצי האימג' הבסיסיים. צוות GKE פועל באופן עקבי כדי לצמצם את מספר התלויות של רכיבי המערכת, וכך להקטין את שטח הפנים של המתקפה ולשפר את היעילות של ניהול נקודות החולשה. לדוגמה, יכול להיות שרכיבי מערכת GKE ישתמשו בתמונות בסיס מינימליות כשזה אפשרי.

‫Google מזהה ומתקנת נקודות חולשה ותיקונים חסרים בדרכים הבאות:

מערכת הפעלה שמותאמת לקונטיינרים: Google סורקת תמונות כדי לזהות נקודות חולשה פוטנציאליות וטלאים חסרים. הצוות של מערכת ההפעלה שמותאמת לקונטיינרים בודק את הבעיות ופותר אותן.
‫Ubuntu: חברת Canonical מספקת ל-Google גרסאות של מערכת ההפעלה שכוללות את כל תיקוני האבטחה הזמינים.

‫Google סורקת קונטיינרים באמצעות Container Registry Artifact Analysis כדי לגלות נקודות חולשה וטלאים חסרים ב-Kubernetes ובקונטיינרים שמנוהלים על ידי Google. אם יש תיקונים זמינים, הסורק מתחיל באופן אוטומטי את תהליך הטלאים והפרסום.

בנוסף לסריקה אוטומטית, Google מגלה ומתקנת נקודות חולשה שלא מוכרות לסורקים בדרכים הבאות.

‫Google מבצעת בעצמה ביקורות, בדיקות חדירה וגילוי פגיעויות בכל הפלטפורמות. רשימת הפלטפורמות מופיעה בקטע הקודם Patching shared responsibility.

צוותים מיוחדים בתוך Google וספקי אבטחה מהימנים מצד שלישי עורכים מחקר משלהם בנושא מתקפות. בנוסף, Google שיתפה פעולה עם CNCF כדי לספק את רוב המומחיות הארגונית והטכנית לייעוץ בנושא ביקורת האבטחה של Kubernetes.

‫Google משתפת פעולה באופן פעיל עם קהילת המחקר בתחום האבטחה באמצעות מספר תוכניות תמריצים לאיתור נקודות חולשה. תוכנית ייעודית Google Cloud למתן תמריצים על איתור נקודות חולשה מספקת תמריצים משמעותיים,כולל 133,337 $על נקודת החולשה הכי טובה בענן שנמצאת בכל שנה. ב-GKE יש תוכנית שמעניקה תגמול לחוקרי אבטחה שמצליחים לפרוץ את אמצעי האבטחה שלנו. התוכנית כוללת את כל התלות בתוכנה של GKE.

‫Google משתפת פעולה עם שותפים אחרים בתעשייה ועם שותפים של תוכנות בקוד פתוח, שחולקים מידע על נקודות חולשה, מחקר אבטחה ותיקונים לפני הפרסום הפומבי של נקודת החולשה. המטרה של שיתוף הפעולה הזה היא לתקן חלקים גדולים בתשתית האינטרנט לפני שהפגיעות תפורסם לציבור. במקרים מסוימים, Google תורמת לקהילה הזו מידע על נקודות חולשה שזוהו. לדוגמה, צוות Project Zero של Google גילה ופרסם את נקודות החולשה Spectre ו-Meltdown. Google Cloud צוות האבטחה גם מוצא ומתקן באופן קבוע נקודות חולשה במכונה הווירטואלית מבוססת-הליבה (KVM).

שיתוף הפעולה של Google בנושא אבטחה מתבצע ברמות רבות. לפעמים זה קורה באופן רשמי דרך תוכניות שבהן ארגונים נרשמים לקבלת הודעות על נקודות חולשה בתוכנה לפני ההשקה של מוצרים כמו Kubernetes ו-Envoy. בנוסף, אנחנו משתפים פעולה באופן לא רשמי עם פרויקטים רבים של קוד פתוח, כמו ליבת Linux, זמני ריצה של קונטיינרים, טכנולוגיית וירטואליזציה ועוד.

ב-Kubernetes,‏ Google היא חברה פעילה ומייסדת ב-Security Response Committee (SRC), והיא כתבה חלק גדול מ-Security Release Process. ‫Google היא חברה ברשימת מפיצי Kubernetes שמקבלים הודעה מראש על פגיעויות, והיא מעורבת במיון, בתיקון, בפיתוח אמצעים לצמצום הסיכון ובהודעה על כמעט כל פגיעה חמורה באבטחת Kubernetes. בנוסף, Google גילתה כמה נקודות חולשה ב-Kubernetes, כמו CVE-2019-11254, ‏ CVE-2019-11255 ו-CVE-2021-25741.

למרות שנקודות חולשה פחות חמורות מתגלות ומתוקנות מחוץ לתהליכים האלה, רוב נקודות החולשה הקריטיות באבטחה מדווחות באופן פרטי דרך אחד מהערוצים שצוינו קודם. הדיווח המוקדם מאפשר ל-Google זמן לחקור איך הפגיעות משפיעה על GKE, לפתח תיקונים או אמצעי מניעה ולהכין המלצות ותקשורת ללקוחות לפני שהפגיעות הופכת לפומבית. במידת האפשר, Google מתקנת את כל האשכולות לפני הפרסום הפומבי של הפגיעות.

איך נקודות החולשה מסווגות

ב-GKE מושקעים משאבים רבים בחיזוק האבטחה של כל הערימה, כולל מערכת ההפעלה, הקונטיינר, Kubernetes ושכבות הרשת, בנוסף להגדרת ברירות מחדל טובות, תצורות עם אבטחה מחוזקת ורכיבים מנוהלים. המאמצים האלה ביחד עוזרים לצמצם את ההשפעה של נקודות החולשה ואת הסיכוי לניצול שלהן.

צוות האבטחה של GKE מסווג נקודות חולשה בהתאם למערכת הניקוד של נקודות חולשה ב-Kubernetes. הסיווגים מבוססים על גורמים רבים, כולל הגדרת GKE וחיזוק האבטחה. בגלל הגורמים האלה וההשקעות של GKE באבטחה, יכול להיות שסיווגי הפגיעות של GKE יהיו שונים ממקורות סיווג אחרים.

בטבלה הבאה מתוארות קטגוריות החומרה של נקודות החולשה:

רמת החומרה	תיאור
קריטית	נקודת חולשה שאפשר לנצל בקלות בכל האשכולות על ידי תוקף מרוחק לא מאומת, שמובילה לפריצה מלאה למערכת.
גבוהה	פגיעות שקל לנצל בהרבה אשכולות, שמובילה לאובדן של סודיות, תקינות או זמינות.
בינוני	פגיעות שאפשר לנצל בחלק מהאשכולות, שבה אובדן הסודיות, היושרה או הזמינות מוגבל על ידי הגדרות נפוצות, הקושי של הניצול עצמו, הגישה הנדרשת או האינטראקציה של המשתמש.
נמוכה	כל נקודות החולשה האחרות. סביר להניח שלא ינוצל, או שההשלכות של ניצול יהיו מוגבלות.

בעדכוני האבטחה הדחופים אפשר למצוא דוגמאות לנקודות חולשה, תיקונים והקלות, וגם את הדירוגים שלהם.

הערה: החל מ-7 במאי 2026, ‏ GKE מסווג את רוב נקודות החולשה בפריצת קונטיינרים של ליבת Linux כחמורות ברמה בינונית, ולא מפרסם על נקודות החולשה האלה עלוני אבטחה. לפני התאריך הזה, GKE סיווג את כל נקודות החולשה של בריחה מקונטיינרים בליבת Linux כנקודות חולשה ברמה גבוהה. הסיווג המעודכן של חומרת הבעיה כבינונית מתאים יותר, כי בדרך כלל צריך לנצל נקודת חולשה באפליקציה לפני שתוקף יכול לקבל גישת הרשאה במיכל ולנצל נקודת חולשה שמאפשרת פריצה. קוד לא מהימן לא צריך להסתמך על גבולות האבטחה של הקונטיינר, וצריך להשתמש ב-GKE Sandbox. צוות GKE ממשיך לתקן את נקודות החולשה האלה כעדיפות עליונה, וממשיך להשתמש בתובנות שלנו לגבי ניצול של פריצות לקונטיינרים שנאספו במהלך כמה שנים באמצעות תוכנית התגמול שלנו על גילוי נקודות חולשה כדי לשפר את אבטחת הליבה.

איך מתקנים נקודות חולשה באשכולות GKE

תיקון פגיעות כולל שדרוג למספר גרסה חדש של GKE. גרסאות GKE כוללות רכיבים עם גרסאות למערכת ההפעלה, לרכיבי Kubernetes ולקונטיינרים אחרים שמרכיבים את פלטפורמת GKE. כדי לתקן חלק מהפגיעויות צריך רק לשדרג את מישור הבקרה, ו-Google מבצעת את השדרוג הזה באופן אוטומטי ב-GKE. כדי לתקן פגיעויות אחרות צריך לשדרג גם את מישור הבקרה וגם את הצומת.

כדי להקשיח את האשכולות מפני פגיעויות בכל רמות החומרה, מומלץ לפעול לפי השיטות המומלצות לשדרוג אשכולות GKE כדי לוודא שהאשכול יקבל תיקוני אבטחה בזמן.

‫Google ממליצה לשדרג את אשכולות Kubernetes לפחות פעם בחודש. רשימת הפלטפורמות מופיעה בקטע הקודם Patching shared responsibility.

יכול להיות שסורקי אבטחה מסוימים או בדיקות ידניות של גרסאות יניחו באופן שגוי שחסר תיקון אבטחה ספציפי של upstream ברכיב כמו runc או containerd. ‫GKE מתקן באופן קבוע רכיבים ומבצע שדרוגים של גרסאות חבילות רק כשנדרש, מה שאומר שהרכיבים של GKE דומים מבחינת הפונקציונליות לרכיבים המקבילים שלהם ב-upstream, גם אם מספר הגרסה של רכיב GKE לא זהה למספר הגרסה ב-upstream. פרטים על CVE ספציפיים זמינים בעדכוני האבטחה הדחופים ל-GKE.

לוחות זמנים להחלת תיקונים

המטרה של Google היא לצמצם את נקודות החולשה שזוהו בפרק זמן שמתאים לסיכונים שהן מייצגות. ‫GKE נכלל ב-Google CloudFedRAMP provisional ATO, שנדרש בו לתקן חולשות ידועות בתוך מסגרות זמן ספציפיות בהתאם לרמת החומרה שלהן, כפי שמצוין בבקרה RA-5(d) ברשומה Risk Assessment (RA) RA-5,‏ Vulnerability Scanning, בגיליון האלקטרוני FedRAMP Security Controls Baseline.

המטרה של GKE היא לפרסם גרסאות תיקון לכל פגיעות ידועה, שיפתרו את הפגיעות בתוך פרק הזמן המתאים. אחרי ש-GKE מפרסם גרסאות תיקון כדי לטפל בפגיעות ידועה, צריך לשדרג את האשכולות לגרסאות האלה כדי לעמוד בלוחות הזמנים של תיקוני האבטחה בארגון.

איך אנחנו מעדכנים על נקודות חולשה ועל תיקונים

המקור הכי טוב למידע עדכני על נקודות חולשה ותיקוני אבטחה ל-GKE הוא עדכוני האבטחה הדחופים.

החל מ-1 ביוני 2026,‏ GKE לא יפרסם עלוני אבטחה ל-Google Distributed Cloud (תוכנה בלבד), ל-GKE ב-AWS או ל-GKE ב-Azure. כדי לראות עדכוני אבטחה דחופים ותיקוני נקודות חולשה עדכניים יותר למוצרים האלה, אפשר לעיין במסמכים הבאים:

עדכוני אבטחה דחופים בנושא Distributed Cloud (תוכנה בלבד)
נתוני גרסאות של GKE ב-AWS
הערות לגבי הגרסה של GKE ב-Azure

שימו לב: שירותי GKE ב-AWS ו-GKE ב-Azure נמצאים במצב תחזוקה ויושבתו ב-17 במרץ 2027.

לפעמים חולשות נשמרות כפרטיות תחת אמברגו לזמן מוגבל. הסגרים עוזרים למנוע פרסום מוקדם של נקודות חולשה שעלולות להוביל לניסיונות ניצול נרחבים לפני שניתן לנקוט צעדים לטיפול בהן. במקרים של אמברגו, בהערות לגבי הגרסה מצוין 'עדכוני אבטחה' עד להסרת האמברגו. אחרי הסרת האמברגו, Google מעדכנת את הערות הגרסה ומוסיפה את נקודות החולשה הספציפיות.

צוות האבטחה של GKE מפרסם עדכוני אבטחה דחופים לגבי נקודות חולשה ברמת חומרה גבוהה וקריטית. כשנדרשת פעולה מצד הלקוחות כדי לטפל בפגיעויות ברמות 'גבוהה' ו'קריטית', Google פונה ללקוחות באימייל. בנוסף, Google עשויה גם לפנות ללקוחות עם חוזי תמיכה דרך ערוצי התמיכה.

מה הדרך הכי מהירה להתקין טלאי אבטחה?

כל האשכולות יישארו מעודכנים אוטומטית באמצעות שדרוגים אוטומטיים של GKE. בקטע הזה מוסבר איך לבצע תיקונים מהר יותר משדרוגים אוטומטיים, לתיקוני אבטחה ספציפיים או באופן שוטף. שילוב של סביבות בדיקה, שדרוגים ידניים חוצי-ערוצים, הגדרות מואצות של תיקוני אבטחה והתראות מבוססות-אירועים יכול לעזור לכם לקצר את זמן הביצוע של תיקוני אבטחה.

‫GKE מנהל את השקת הגרסאות בערוצי ההפצה כדי לוודא שגרסאות חדשות עברו בדיקות והן מוכנות לשימוש. כדי לקצר את הזמן שנדרש להפצת תיקונים, צריך להבין איך ההפצות האלה פועלות, ואז להתאים את התנהגות ברירת המחדל לצרכים הספציפיים שלכם.

תהליך ההרצה של גרסה מתוקנת כולל הפעלה שלה באשכולות לאורך זמן כדי לבדוק את היציבות שלה. התהליך הזה עוזר לזהות באגים שמופיעים רק אחרי שימוש ממושך בסביבות שונות. כדי להבטיח מספיק זמן הרצה, מהדורות של תיקוני אבטחה ל-GKE מוצגות קודם בערוץ המהיר, ואחר כך בערוצים הרגיל והיציב. בנוסף, אנחנו בודקים את הגרסאות בכל ערוץ לפני שהן הופכות ליעד השדרוג של הערוץ.

הערכת תיקונים מוקדם וניהול ההשקה באמצעות השקה מדורגת

כדי להכשיר טלאי אבטחה שרוצים להאיץ, משתמשים בהפצה מדורגת כדי להפיץ אותו בסביבות שונות, בודקים את הטלאי באשכולות GKE אחרים לפני שמשדרגים את סביבת הייצור. הגישה הזו מאפשרת לכם לוודא שעומס העבודה תואם, ולזהות בעיות ברגע ש-Google מפרסמת תיקון אבטחה. לאחר מכן, תוכלו להחיל את הגרסה המתוקנת על שאר ה-Fleet ולשלוט בזמן הטבילה הנותר.

צמצום העיכובים בהפעלת העדכונים באמצעות שדרוגים אוטומטיים מואצים של תיקוני אבטחה

לחלופין, אתם יכולים להפעיל שדרוגים אוטומטיים מהירים של תיקוני אבטחה באשכולות כדי להחיל תיקוני אבטחה מהר יותר. התכונה הזו מאפשרת ל-GKE לדלג על זמן הטבילה בערוץ לעדכוני תיקון, במיוחד תיקוני אבטחה. אם משתמשים בגישה הזו, Google ממליצה להריץ אשכול בדיקה בערוץ Rapid (גם עם שדרוגים אוטומטיים מואצים של תיקוני אבטחה) כדי לאשר תיקוני אבטחה.

שדרוגים ידניים לגרסאות תיקון חדשות יותר בערוצים הרגיל והיציב

אם עומסי העבודה שלכם בסביבת הייצור נמצאים באשכולות שרשומים לערוצים Regular או Stable, אתם לא צריכים לעבור לערוצים אחרים או לחכות להשקה האוטומטית והדרגתית של תיקון, אם יש עדכון אבטחה ספציפי שחשוב לכם לתת לו עדיפות.

אם אישרתם את גרסת התיקון, תוכלו להפעיל ידנית שדרוגים באשכולות שלכם בגרסה רגילה או יציבה לגרסת התיקון המדויקת הזו, כדי לשלוט בזמן ההמתנה שנותר.

אוטומציה של ניהול תיקונים באמצעות התראות על אשכולות

אין צורך לעקוב אחרי דף האינטרנט של הודעות האבטחה כדי לקבל מידע על תיקוני אבטחה. כדי לקבל התראות פרוגרמטיות מהירות על תיקונים זמינים ולהפעיל פעולות של בדיקת כשירות של תיקונים ושדרוגים, אפשר להשתמש בהתראות על אשכולות.

כדי לקבל התראות על עלוני אבטחה או על שדרוגים מתוזמנים, צריך להגדיר את ההתראות כך שיסננו באופן ספציפי את סוגי האירועים הבאים:

התראות מקובצות מאפשרות לקבל הודעות בזמן אמת כשהאירועים האלה מתרחשים. אפשר לשלב את ההתראות האלה במערכות לניהול אירועים ופרטי אבטחה (SIEM), בפעולות צ'אט או להפעיל צינורות אוטומטיים של בדיקות.