Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Acerca da análise de vulnerabilidades de cargas de trabalho

Autopilot Padrão

Esta página descreve a análise de vulnerabilidades da carga de trabalho, uma funcionalidade do painel de controlo da postura de segurança do Google Kubernetes Engine (GKE). Esta funcionalidade ajuda a melhorar a segurança das suas implementações através da análise automática de vulnerabilidades nas imagens de contentores e nos pacotes de idiomas durante o tempo de execução. Pode ver os problemas de vulnerabilidade identificados e as ações recomendadas no painel de controlo da postura de segurança.

Esta página destina-se a especialistas em segurança com informações para tomar decisões informadas e detalhes sobre a utilização da análise de vulnerabilidades de cargas de trabalho ao implementar uma solução de deteção de vulnerabilidades original no Trusted Cloud by S3NS. Para saber mais sobre as funções comuns e as tarefas de exemplo que referimos no conteúdo, consulte o artigo Funções e tarefas comuns do utilizador do GKE. Trusted Cloud by S3NS

Antes de ler esta página, certifique-se de que conhece as informações sobre como o painel de controlo da postura de segurança se enquadra na sua estratégia de segurança. Para tal, leia o artigo Utilização como parte de uma estratégia de segurança abrangente.

Tipos de análise de vulnerabilidades

A análise de vulnerabilidades de cargas de trabalho inclui as seguintes capacidades:

Análise de vulnerabilidades do sistema operativo (SO) do contentor
Análise de vulnerabilidades de pacotes de idiomas

Se for encontrada uma vulnerabilidade nas suas imagens de contentores ou pacotes de idiomas, o GKE apresenta os resultados no painel de controlo da postura de segurança na Trusted Cloud consola. O GKE também adiciona entradas ao Cloud Logging para fins de auditoria e rastreabilidade.

Análise de vulnerabilidades do SO do contentor

O GKE analisa continuamente as imagens de contentores que são executadas em clusters do GKE inscritos. O GKE usa dados de vulnerabilidades de bases de dados de CVE públicas, como a NIST. As imagens podem ser provenientes de qualquer registo de imagens. A versão do SO tem de ser suportada para a análise. Para ver uma lista dos sistemas operativos suportados, consulte o artigo Versões do Linux suportadas.

Para ver instruções, consulte o artigo Ative a análise de vulnerabilidades do SO do contentor.

Análise de vulnerabilidades de pacotes de idiomas

O GKE analisa continuamente os contentores para detetar vulnerabilidades conhecidas em pacotes de idiomas, como pacotes Go ou Maven. Obtemos dados de vulnerabilidades de fontes públicas, como a base de dados de avisos do GitHub. O teste é o teste de análise de artefactos, que pode implementar separadamente para proteger os seus repositórios do Artifact Registry. No painel de controlo da postura de segurança, as imagens de contentores podem vir de qualquer registo de imagens, porque o GKE analisa as imagens enquanto as cargas de trabalho são executadas. Para informações sobre a análise de artefactos, consulte o artigo Tipos de análise.

O GKE oferece uma análise contínua dos seus pacotes de idiomas, em vez de apenas analisar a pedido ou quando os seus fluxos de trabalho enviam alterações para as suas imagens de contentores. A análise contínua garante que recebe uma notificação sobre novas vulnerabilidades assim que as correções estiverem disponíveis, o que reduz o tempo de deteção e remediação.

O GKE analisa os seguintes pacotes de idiomas:

Ir
Maven
JavaScript
Python

Apenas as vulnerabilidades que têm um número CVE associado são apresentadas no painel de controlo de postura de segurança.

Ative a análise de vulnerabilidades no GKE

Pode ativar a análise de vulnerabilidades para clusters do GKE da seguinte forma:

Nível	Capacidades ativadas	Requisito de versão do GKE
Padrão `standard`	Análise de vulnerabilidades do SO do contentor	GKE Enterprise edition: ativado por predefinição em todos os novos clusters com a versão 1.27 e posterior Edição padrão do GKE: desativada por predefinição em todos os novos clusters.
Advanced Vulnerability Insights `enterprise`	Análise de vulnerabilidades do SO do contentor Análise de vulnerabilidades de pacotes de idiomas	GKE Enterprise edition: ativado por predefinição em todos os novos clusters com a versão 1.27 e posterior Edição padrão do GKE: desativada por predefinição em todos os novos clusters.

Para ver instruções de ativação, consulte o artigo Analise automaticamente cargas de trabalho para verificar vulnerabilidades conhecidas.

Preços

Para informações sobre preços, consulte o artigo Preços do painel de controlo de segurança do GKE

Que ações sugere o GKE?

Cada vulnerabilidade no painel de controlo da postura de segurança tem informações detalhadas, como as seguintes:

Uma descrição completa da vulnerabilidade, incluindo o potencial impacto, os caminhos de ataque e a gravidade.
Pacotes e números de versão corrigidos.
Links para as entradas relevantes nas bases de dados de CVEs públicas.

O GKE não apresenta uma vulnerabilidade se não existir um CVE correspondente com uma mitigação acionável.

Para uma vista geral da interface do painel de controlo da postura de segurança, consulte o artigo Acerca do painel de controlo da postura de segurança.

Limitações

O GKE não suporta a análise de pacotes proprietários e das respetivas dependências.
O GKE só apresenta resultados de vulnerabilidades que tenham uma correção disponível e um número CVE disponível no painel de controlo de postura de segurança. Pode ver mais resultados, como vulnerabilidades sem uma correção disponível, se analisar as mesmas imagens de contentores num registo de contentores.
O GKE usa a seguinte memória em cada nó de trabalho para a análise de vulnerabilidades da carga de trabalho:
- Análise do SO do contentor: 50 MiB
- Advanced vulnerability insights: 100 MiB
O GKE tem as seguintes limitações no tamanho de cada ficheiro que contém dados de pacotes nas suas imagens. O GKE não analisa ficheiros que excedam o limite de tamanho.
- Análise do SO do contentor: 30 MiB
- Advanced vulnerability insights: 60 MiB
Os contentores do Windows Server não são suportados.
A análise de vulnerabilidades da carga de trabalho só está disponível para clusters com menos de 1000 nós.
O GKE não analisa nós que usam a arquitetura Arm, como o tipo de máquina T2A.
O painel de controlo da postura de segurança suporta até 150 000 resultados da análise de vulnerabilidades de cargas de trabalho ativas para cada cluster. Quando o número de descobertas para um cluster excede este máximo, o painel de controlo da postura de segurança deixa de apresentar descobertas de vulnerabilidades para esse cluster.

Para resolver este problema, use um mecanismo de análise ao nível do registo para identificar vulnerabilidades nas imagens e aplicar patches. Em alternativa, num novo cluster, implemente as suas cargas de trabalho em lotes para identificar e mitigar vulnerabilidades. Quando o número de resultados de vulnerabilidades é inferior a 150 000, o painel de controlo da postura de segurança começa a apresentar resultados para o cluster.