Some or all of the information on this page might not apply to Trusted Cloud by S3NS. See Differences from Google Cloud for more details.

Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sull'analisi delle vulnerabilità dei workload

Autopilot Standard

Questa pagina descrive l'analisi delle vulnerabilità dei workload, una funzionalità della dashboard di gestione della security posture di Google Kubernetes Engine (GKE). Questa funzionalità ti aiuta a migliorare la sicurezza dei tuoi deployment eseguendo automaticamente la scansione delle vulnerabilità nelle immagini container e nei pacchetti di linguaggio durante l'esecuzione. Puoi visualizzare i problemi di vulnerabilità identificati e le azioni consigliate nella dashboard della security posture.

Questa pagina è dedicata agli esperti di sicurezza e fornisce informazioni per prendere decisioni consapevoli e dettagli sull'utilizzo analisi delle vulnerabilità dei carichi di lavoro durante l'implementazione di una soluzione di rilevamento delle vulnerabilità proprietaria in Trusted Cloud by S3NS. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti, consulta Ruoli e attività comuni degli utenti GKE. Trusted Cloud by S3NS

Prima di leggere questa pagina, assicurati di conoscere le informazioni su come la dashboard della postura di sicurezza si inserisce nella tua strategia di sicurezza leggendo Utilizzo nell'ambito di una strategia di sicurezza generale.

Tipi di analisi delle vulnerabilità

L'analisi delle vulnerabilità dei workload include le seguenti funzionalità:

Analisi delle vulnerabilità del sistema operativo (OS) del container
Analisi delle vulnerabilità dei pacchetti di linguaggio

Se viene rilevata una vulnerabilità nelle immagini container o nei pacchetti di linguaggio, GKE mostra i risultati nel dashboard della security posture nella console Trusted Cloud . GKE aggiunge anche voci a Cloud Logging <x0A>per l'audit e la tracciabilità.

Analisi delle vulnerabilità del sistema operativo del container

GKE esegue la scansione continua delle immagini container in esecuzione sui cluster GKE registrati. GKE utilizza i dati sulle vulnerabilità provenienti da database CVE pubblici come NIST. Le immagini possono provenire da qualsiasi registro di immagini. La versione del sistema operativo deve essere supportata per la scansione. Per un elenco dei sistemi operativi supportati, vedi Versioni di Linux supportate.

Per le istruzioni, vedi Attivare la scansione delle vulnerabilità del sistema operativo dei container.

Analisi delle vulnerabilità dei pacchetti di linguaggio

GKE analizza continuamente i container per rilevare le vulnerabilità note nei pacchetti di linguaggio, come i pacchetti Go o Maven. Recuperiamo i dati sulle vulnerabilità da fonti pubbliche come il database GitHub Advisory. Lo scanner è lo scanner di Artifact Analysis, che puoi implementare separatamente per proteggere i repository Artifact Registry. Nella dashboard di postura di sicurezza, le immagini container possono provenire da qualsiasi registro di immagini perché GKE esegue la scansione delle immagini durante l'esecuzione dei workload. Per informazioni sull'analisi di Artifact Analysis, vedi Tipi di analisi.

GKE fornisce l'analisi continua dei pacchetti di linguaggio anziché solo l'analisi on demand o quando i flussi di lavoro eseguono il push delle modifiche alle immagini container. La scansione continua ti garantisce di ricevere una notifica delle nuove vulnerabilità non appena sono disponibili le correzioni, il che riduce il tempo necessario per la scoperta e la correzione.

GKE analizza i seguenti pacchetti di linguaggi:

Vai
Maven
JavaScript
Python

Nella dashboard Postura di sicurezza vengono visualizzate solo le vulnerabilità a cui è associato un numero CVE.

Abilita l'analisi delle vulnerabilità in GKE

Puoi attivare l'analisi delle vulnerabilità per i cluster GKE nel seguente modo:

Livello	Funzionalità abilitate	Requisito della versione di GKE
Standard `standard`	Analisi delle vulnerabilità del sistema operativo del container	GKE Enterprise: abilitato per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive GKE Standard: disabilitato per impostazione predefinita in tutti i nuovi cluster.
Advanced Vulnerability Insights `enterprise`	Analisi delle vulnerabilità del sistema operativo del container Analisi delle vulnerabilità dei pacchetti di linguaggio	GKE Enterprise: abilitato per impostazione predefinita in tutti i nuovi cluster che eseguono la versione 1.27 e successive GKE Standard: disabilitato per impostazione predefinita in tutti i nuovi cluster.

Per le istruzioni di attivazione, vedi Eseguire automaticamente la scansione dei workload per individuare vulnerabilità note.

Prezzi

Per informazioni sui prezzi, consulta Prezzi della dashboard della postura di sicurezza di GKE

Quali azioni suggerisce GKE?

Ogni vulnerabilità nella dashboard Postura di sicurezza contiene informazioni dettagliate come le seguenti:

Una descrizione completa della vulnerabilità, inclusi potenziali impatto, percorsi di attacco e gravità.
Pacchetti corretti e numeri di versione.
Link alle voci pertinenti nei database CVE pubblici.

GKE non mostra una vulnerabilità se non esiste una CVE corrispondente con una mitigazione attuabile.

Per una panoramica dell'interfaccia della dashboard della postura di sicurezza, vedi Informazioni sulla dashboard della postura di sicurezza.

Limitazioni

GKE non supporta la scansione dei pacchetti proprietari e delle relative dipendenze.
GKE mostra solo i risultati per le vulnerabilità che hanno una correzione disponibile e un numero CVE disponibile nella dashboard della postura di sicurezza. Potresti visualizzare più risultati, ad esempio vulnerabilità senza una correzione disponibile, se analizzi le stesse immagini container in un registro container.
GKE utilizza la seguente memoria su ogni nodo worker per l'analisi delle vulnerabilità dei carichi di lavoro:
- Scansione del sistema operativo del container: 50 MiB
- Advanced Vulnerability Insights: 100 MiB
GKE presenta le seguenti limitazioni relative alle dimensioni di ogni file che contiene i dati dei pacchetti nelle immagini. GKE non esegue la scansione dei file che superano il limite di dimensioni.
- Scansione del sistema operativo del container: 30 MiB
- Advanced Vulnerability Insights: 60 MiB
I container Windows Server non sono supportati.
L'analisi delle vulnerabilità dei workload è disponibile solo per i cluster con meno di 1000 nodi.
GKE non esegue la scansione dei nodi che utilizzano l'architettura Arm, ad esempio il tipo di macchina T2A.
La dashboard sulla postura di sicurezza supporta fino a 150.000 risultati attivi dell'analisi delle vulnerabilità dei carichi di lavoro per ogni cluster. Quando il numero di risultati per un cluster supera questo massimo, la dashboard Postura di sicurezza smette di mostrare i risultati delle vulnerabilità per quel cluster.

Per risolvere questo problema, utilizza un meccanismo di scansione a livello di registro per identificare le vulnerabilità nelle immagini e applicare le patch. In alternativa, in un nuovo cluster, esegui il deployment dei workload in batch per identificare e mitigare le vulnerabilità. Quando il numero di risultati di vulnerabilità è inferiore a 150.000, la dashboard Security Posture inizia a mostrare i risultati per il cluster.