Es posible que parte de la información de esta página (o toda) no se aplique a Trusted Cloud de S3NS. Consulta Diferencias con Google Cloud para obtener más detalles.

Esta página se ha traducido con Cloud Translation API.

Información sobre el análisis de vulnerabilidades de cargas de trabajo

Autopilot Standard

En esta página se describe el análisis de vulnerabilidades de cargas de trabajo, una función del panel de control de estrategias de seguridad de Google Kubernetes Engine (GKE). Esta función te ayuda a mejorar la seguridad de tus implementaciones analizando automáticamente las vulnerabilidades de tus imágenes de contenedor y paquetes de idiomas durante el tiempo de ejecución. Puedes ver los problemas de vulnerabilidad identificados y las acciones recomendadas en el panel de control de postura de seguridad.

Esta página está dirigida a especialistas en seguridad y contiene información para tomar decisiones fundamentadas y detalles sobre el uso del análisis de vulnerabilidades de cargas de trabajo al implementar una solución de detección de vulnerabilidades propia en Trusted Cloud by S3NS. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido, consulta Roles y tareas habituales de los usuarios de GKE. Trusted Cloud by S3NS

Antes de leer esta página, asegúrate de que conoces la información sobre cómo se adapta el panel de control de postura de seguridad a tu estrategia de seguridad. Para ello, consulta la sección Uso como parte de una estrategia de seguridad amplia.

Tipos de análisis de vulnerabilidades

El análisis de vulnerabilidades de cargas de trabajo incluye las siguientes funciones:

Análisis de vulnerabilidades del sistema operativo (SO) del contenedor
Análisis de vulnerabilidades de paquetes de idiomas

Si se detecta una vulnerabilidad en tus imágenes de contenedor o paquetes de lenguaje, GKE muestra los resultados en el panel de control de la postura de seguridad de la consola de Trusted Cloud . GKE también añade entradas a Cloud Logging para la auditoría y la trazabilidad.

Análisis de vulnerabilidades de SO de contenedores

GKE analiza continuamente las imágenes de contenedor que se ejecutan en clústeres de GKE registrados. GKE usa datos de vulnerabilidades de bases de datos CVE públicas, como NIST. Las imágenes pueden proceder de cualquier registro de imágenes. La versión del SO debe ser compatible para poder escanear. Para ver una lista de los sistemas operativos compatibles, consulta Versiones de Linux compatibles.

Para obtener instrucciones, consulta Habilitar el análisis de vulnerabilidades del SO de los contenedores.

Análisis de vulnerabilidades de paquetes de idiomas

GKE analiza continuamente los contenedores en busca de vulnerabilidades conocidas en paquetes de lenguajes, como los paquetes Go o Maven. Obtenemos datos de vulnerabilidades de fuentes públicas, como la base de datos de avisos de GitHub. El escáner es el escáner de análisis de artefactos, que puedes implementar por separado para proteger tus repositorios de Artifact Registry. En el panel de control de la postura de seguridad, las imágenes de contenedor pueden proceder de cualquier registro de imágenes, ya que GKE analiza las imágenes mientras se ejecutan las cargas de trabajo. Para obtener información sobre el análisis de artefactos, consulta Tipos de análisis.

GKE ofrece un análisis continuo de tus paquetes de idioma, en lugar de analizar solo bajo demanda o cuando tus flujos de trabajo envían cambios a tus imágenes de contenedor. El análisis continuo asegura que se te notifiquen las nuevas vulnerabilidades en cuanto haya correcciones disponibles, lo que reduce el tiempo que tardas en detectarlas y solucionarlas.

GKE analiza los siguientes paquetes de idioma:

Go
Maven
JavaScript
Python

En el panel de control de la postura de seguridad solo se muestran las vulnerabilidades que tienen un número CVE asociado.

Habilitar el análisis de vulnerabilidades en GKE

Para habilitar el análisis de vulnerabilidades en clústeres de GKE, sigue estos pasos:

Nivel	Funciones habilitadas	Requisitos de la versión de GKE
Estándar `standard`	Análisis de vulnerabilidades de SO de contenedores	Edición GKE Enterprise: habilitada de forma predeterminada en todos los clústeres nuevos que ejecuten la versión 1.27 y posteriores Edición estándar de GKE: inhabilitada de forma predeterminada en todos los clústeres nuevos.
Métricas e información útil personalizadas avanzadas sobre vulnerabilidades `enterprise`	Análisis de vulnerabilidades de SO de contenedores Análisis de vulnerabilidades de paquetes de idiomas	Edición GKE Enterprise: habilitada de forma predeterminada en todos los clústeres nuevos que ejecuten la versión 1.27 y posteriores Edición estándar de GKE: inhabilitada de forma predeterminada en todos los clústeres nuevos.

Para obtener instrucciones sobre cómo habilitar esta función, consulta Analizar automáticamente las cargas de trabajo para detectar vulnerabilidades conocidas.

Precios

Para obtener información sobre los precios, consulta los precios del panel de control de postura de seguridad de GKE.

¿Qué acciones sugiere GKE?

Cada vulnerabilidad del panel de control de la postura de seguridad incluye información detallada, como la siguiente:

Una descripción completa de la vulnerabilidad, incluido el impacto potencial, las vías de ataque y la gravedad.
Paquetes corregidos y números de versión.
Enlaces a las entradas pertinentes de las bases de datos públicas de CVEs.

GKE no muestra una vulnerabilidad si no hay ningún CVE correspondiente con una mitigación aplicable.

Para obtener una descripción general de la interfaz del panel de control de postura de seguridad, consulta el artículo Acerca del panel de control de postura de seguridad.

Limitaciones

GKE no admite el análisis de paquetes propietarios ni de sus dependencias.
GKE solo muestra los resultados de las vulnerabilidades que tienen una corrección y un número de CVE disponibles en el panel de control de postura de seguridad. Es posible que veas más resultados, como vulnerabilidades sin una corrección disponible, si analizas las mismas imágenes de contenedor en un registro de contenedores.
GKE usa la siguiente memoria en cada nodo de trabajador para analizar las vulnerabilidades de las cargas de trabajo:
- Análisis de SO de contenedor: 50 MiB
- Advanced Vulnerability Insights: 100 MiB
GKE tiene las siguientes limitaciones en cuanto al tamaño de cada archivo que contiene datos de paquetes en tus imágenes. GKE no analizará los archivos que superen el límite de tamaño.
- Análisis de SO de contenedor: 30 MiB
- Advanced Vulnerability Insights: 60 MiB
No se admiten contenedores de Windows Server.
El análisis de vulnerabilidades de cargas de trabajo solo está disponible en clústeres con menos de 1000 nodos.
GKE no analiza los nodos que usan la arquitectura Arm, como el tipo de máquina T2A.
El panel de control de postura de seguridad admite hasta 150.000 resultados de análisis de vulnerabilidades de cargas de trabajo activas por clúster. Cuando el número de resultados de un clúster supera este máximo, el panel de control de postura de seguridad deja de mostrar los resultados de vulnerabilidades de ese clúster.

Para solucionar este problema, utiliza un mecanismo de análisis a nivel de registro para identificar vulnerabilidades en las imágenes y aplicar parches. También puedes desplegar tus cargas de trabajo en lotes en un clúster nuevo para identificar y mitigar vulnerabilidades. Cuando el número de vulnerabilidades detectadas sea inferior a 150.000, el panel de control de postura de seguridad empezará a mostrar las vulnerabilidades del clúster.