關於工作負載安全漏洞掃描

本頁說明工作負載安全漏洞掃描功能,這是 Google Kubernetes Engine (GKE) 安全狀況資訊主頁的功能。這項功能會在執行階段自動掃描容器映像檔和語言套件中的安全漏洞,協助您提升部署作業的安全性。您可以在安全防護機制資訊主頁查看已識別的安全漏洞問題和建議採取的行動。

本頁面提供資訊,協助安全專家做出明智決策,並詳細說明在 Google Cloud中導入第一方安全漏洞偵測解決方案時,如何使用工作負載安全漏洞掃描功能。如要進一步瞭解 Google Cloud 內容中提及的常見角色和範例工作,請參閱常見的 GKE Enterprise 使用者角色和工作

閱讀本頁內容前,請先閱讀「做為廣泛安全策略的一部分」一文,瞭解安全性狀態資訊主頁如何融入您的安全策略。

安全漏洞掃描的類型

工作負載安全漏洞掃描功能包括:

  • 容器作業系統 (OS) 安全漏洞掃描
  • 語言套件安全漏洞掃描

如果容器映像檔或語言套件中發現安全漏洞,GKE 會在 Google Cloud 控制台的安全防護機制狀態資訊主頁中顯示結果。GKE 也會將項目新增至 Cloud Logging,以供稽核和追蹤。

容器 OS 安全漏洞掃描

GKE 會持續掃描已註冊 GKE 叢集上執行的容器映像檔。GKE 會使用公開 CVE 資料庫 (例如 NIST) 的安全漏洞資料。這些映像檔可來自任何映像檔登錄檔。掃描時必須使用支援的 OS 版本。如需支援的作業系統清單,請參閱「支援的 Linux 版本」。

如需操作說明,請參閱「啟用容器 OS 安全漏洞掃描」。

語言套件安全漏洞掃描

GKE 會持續掃描容器,找出語言套件 (例如 Go 或 Maven 套件) 中已知的安全漏洞。我們會從 GitHub Advisory Database 等公開來源取得安全漏洞資料。掃描器是 Artifact Analysis 掃描器,您可以另外實作這項工具,保護 Artifact Registry 存放區。在安全狀態資訊主頁中,容器映像檔可來自任何映像檔登錄檔,因為 GKE 會在工作負載執行時掃描映像檔。如要瞭解 Artifact Analysis 掃描,請參閱「掃描類型」。

GKE 會持續掃描語言套件,而不是只在您要求掃描,或工作流程將變更推送至容器映像檔時才掃描。持續掃描可確保您在修正檔推出後立即收到新安全漏洞的通知,縮短發現及修復安全漏洞的時間。

GKE 會掃描下列語言套件:

  • Go
  • Maven
  • JavaScript
  • Python

安全狀態資訊主頁只會顯示有相關聯 CVE 編號的安全漏洞。

在 GKE 中啟用安全漏洞掃描

如要為 GKE 叢集啟用安全漏洞掃描功能,請按照下列步驟操作:

級別 已啟用的功能 GKE 版本需求
標準
standard		 容器 OS 安全漏洞掃描
  • GKE Enterprise 版本:根據預設,執行 1.27 以上版本的所有新叢集都會啟用這項功能
  • GKE Standard 版:所有新叢集預設都會停用這項功能。
進階安全漏洞分析
enterprise
  • 容器 OS 安全漏洞掃描
  • 語言套件安全漏洞掃描
  • GKE Enterprise 版本:根據預設,執行 1.27 以上版本的所有新叢集都會啟用這項功能
  • GKE Standard 版:所有新叢集預設都會停用這項功能。

如需啟用操作說明,請參閱「自動掃描工作負載,找出已知安全漏洞」。

定價

如要查看定價資訊,請參閱「GKE 安全防護機制資訊主頁定價」。

GKE 會建議採取哪些動作?

安全性狀態資訊主頁中的每個安全漏洞都有詳細資訊,例如:

  • 安全漏洞的完整說明,包括潛在影響、攻擊路徑和嚴重程度。
  • 已修正的套件和版本號碼。
  • 公開 CVE 資料庫中相關項目的連結。

如果沒有可採取行動的 CVE 緩解措施,GKE 就不會顯示安全漏洞。

如要瞭解安全防護機制資訊主頁介面,請參閱「安全防護機制資訊主頁簡介」。

限制

  • GKE 不支援掃描專屬套件及其依附元件。
  • 在安全防護機制資訊主頁中,GKE 只會顯示有可用修正程式和 CVE 編號的安全性弱點結果。如果您掃描容器登錄檔中的相同容器映像檔,可能會看到更多結果,例如沒有可用修正程式的安全漏洞。
  • GKE 會在每個工作站節點上使用下列記憶體,進行工作負載安全漏洞掃描:
    • 容器 OS 掃描:50 MiB
    • 進階安全漏洞分析:100 MiB
  • GKE 對於映像檔中包含套件資料的每個檔案大小設有以下限制。GKE 不會掃描超過大小上限的檔案。
    • Container OS 掃描:30 MiB
    • 進階安全漏洞分析:60 MiB
  • 不支援 Windows Server 容器。
  • 工作負載安全漏洞掃描功能僅適用於節點數量少於 1,000 個的叢集。
  • GKE 不會掃描使用 Arm 架構的節點,例如 T2A 機器類型。

  • 安全防護機制資訊主頁最多支援每個叢集 150,000 個有效工作負載安全漏洞掃描結果。如果叢集的發現項目數量超過這個上限,安全防護狀態資訊主頁就會停止顯示該叢集的安全漏洞發現項目。

    如要解決這個問題,請在登錄檔層級使用掃描機制,找出映像檔中的安全漏洞並套用修補程式。或者,您也可以在新叢集中分批部署工作負載,找出並減輕安全漏洞。當安全漏洞發現項目數量少於 150,000 個時,安全防護機制資訊主頁就會開始顯示叢集的發現項目。

後續步驟