Ce document décrit la manière dont Google gère les failles et correctifs de sécurité pour Google Kubernetes Engine (GKE) et GKE Enterprise. Sauf indication contraire, GKE Enterprise inclut les plates-formes GKE et GKE Enterprise.
Cette page est destinée aux spécialistes de la sécurité qui aident à résoudre les problèmes de sécurité ou les failles nécessitant une assistance stratégique, tels que les incidents et les problèmes transmis par l'assistance. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud, consultez la section Rôles utilisateur et tâches courantes de l'utilisateur dans GKE Enterprise.
Responsabilité partagée des correctifs
Google et le client se partagent la responsabilité de l'application de correctifs. Les responsabilités partagées sont différentes en fonction des plates-formes. Pour en savoir plus, consultez les rubriques suivantes sur chaque plate-forme :
Détection des failles
Google a réalisé d'importants investissements dans la conception et le renforcement en matière de sécurité de façon proactive, mais même les systèmes logiciels les mieux conçus peuvent causer des failles. Afin de détecter ces failles et de les corriger avant qu'elles puissent être exploitées, Google a effectué des investissements considérables sur plusieurs aspects.
À des fins de correction, GKE Enterprise est la couche du système d'exploitation (OS) sur laquelle les conteneurs sont exécutés. Les systèmes d'exploitation, Container-Optimized OS ou Ubuntu, sont renforcés et contiennent la quantité minimale de logiciels requis pour exécuter les conteneurs. Les fonctionnalités GKE Enterprise s'exécutent en tant que conteneurs sur les images de base.
Google identifie et corrige les failles et les correctifs manquants comme suit :
Container-Optimized OS : Google analyse les images pour identifier les failles potentielles et les correctifs manquants. L'équipe Container-Optimized OS examine et résout les problèmes.
Ubuntu : Canonical fournit à Google des builds d'OS sur lesquels tous les correctifs de sécurité disponibles sont appliqués.
Google analyse les conteneurs à l'aide de Container Registry Artifact Analysis pour détecter les failles et les correctifs manquants dans les conteneurs gérés par Kubernetes et Google. Si des correctifs sont disponibles, l'outil d'analyse lance automatiquement le processus de correction et de déploiement.
En plus de l'analyse automatisée, Google détecte et corrige les failles inconnues aux scanners de différentes manières.
Google effectue ses propres audits, tests d'intrusion et découverte de failles sur toutes les plates-formes GKE Enterprise. Les équipes spécialisées au sein de Google et les fournisseurs de sécurité tiers de confiance effectuent leurs propres recherches sur les attaques. Google s'est également associé à la Cloud Native Computing Foundation (CNCF) pour fournir une grande partie de l'expertise en organisation et en conseil technique pour l'audit de sécurité Kubernetes.
Google s'implique activement dans la communauté de recherche en sécurité par la biais de plusieurs programmes de récompenses pour la détection de failles. Un programme de récompense pour la détection de failles Google Cloud offre des primes significatives, y compris 133 337 $ pour la plus grande faille dans le cloud détectée chaque année. Pour GKE, il existe un programme qui récompense les chercheurs en sécurité s'ils peuvent briser nos contrôles de sécurité. Le programme couvre toutes les dépendances logicielles de GKE.
Google collabore avec des partenaires logiciels Open Source et d'autres secteurs, qui partagent des failles, des recherches en sécurité et des correctifs avant que ces failles ne soient publiquement dévoilées. L'objectif de cette collaboration est de corriger des éléments importants de l'infrastructure Internet avant que la faille ne soit annoncée publiquement. Dans certains cas, Google contribue à la détection de failles pour cette communauté. Par exemple, le projet Zero de Google a permis de détecter et de rendre public les failles Spectre et Meltdown. Par ailleurs, l'équipe de sécurité Google Cloud recherche et corrige régulièrement des failles dans la machine virtuelle basée sur Kernel (KVM).
La collaboration sur la sécurité de Google a de nombreux niveaux. Elle arrive parfois par le biais de programmes où les organisations s'inscrivent pour recevoir des notifications de failles logicielles concernant des versions préliminaires pour des produits tels que Kubernetes et Envoy. La collaboration se fait également de manière informelle en raison de notre engagement auprès de nombreux projets Open Source, tels que le noyau Linux, les environnements d'exécution des conteneurs, la technologie de virtualisation, et bien plus encore.
Pour Kubernetes, Google est un membre fondateur actif du comité de sécurité des produits et a rédigé une grande partie du processus de publication en matière de sécurité. Google est membre de la liste des distributeurs Kubernetes qui reçoivent une notification préalable des failles, et s'est engagé dans le tri, l'application de correctifs, le développement de mesures d'atténuation et la communication de pratiquement toutes les failles de sécurité critiques de Kubernetes. Google a également détecté plusieurs failles de Kubernetes lui-même.
Bien que les failles moins critiques soient découvertes et corrigées en dehors de ces processus, les failles de sécurité les plus critiques sont signalées en mode privé via l'un des canaux répertoriés précédemment. La création précoce de rapports laisse du temps à Google avant que la faille ne devienne publique afin d'étudier son impact sur GKE Enterprise, de développer des correctifs ou des mesures d'atténuation, et de préparer des conseils et des communications pour les clients. Lorsque cela est possible, Google corrige tous les clusters avant l'annonce publique de la faille.
Classement des failles
GKE réalise des investissements importants dans le renforcement de la sécurité sur l'intégralité de la pile, y compris les couches du système d'exploitation, du conteneur, de Kubernetes et du réseau, en plus de définir de manière appropriée les valeurs par défaut, les configurations à sécurité renforcée et les composants gérés. Ces efforts combinés permettent de réduire l'impact et la probabilité des failles.
L'équipe de sécurité GKE Enterprise classe les failles en fonction du système de classement des failles Kubernetes. Les classifications tiennent compte de plusieurs facteurs, y compris de la configuration et du renforcement de la sécurité dans GKE et GKE Enterprise. En raison de ces facteurs et des investissements que GKE réalise concernant la sécurité, les classements des failles de GKE et GKE Enterprise peuvent différer des autres sources de classement.
Le tableau suivant décrit les catégories de gravité des failles :
Gravité | Description |
---|---|
Critique | Faille facilement exploitable dans tous les clusters par un pirate informatique non authentifié à distance, qui entraîne un piratage de l'intégralité du système. |
Élevée | Faille facile à exploiter pour de nombreux clusters qui entraîne une perte de confidentialité, d'intégrité ou de disponibilité. |
Moyenne | Une faille utilisable pour certains clusters où la perte de confidentialité, d'intégrité ou de disponibilité est limitée par des configurations courantes, la difficulté de l'exploitation elle-même, l'accès requis ou l'interaction utilisateur. |
Faible | Toutes les autres failles. L'exploitation est peu probable, ou les conséquences de l'exploitation sont limitées. |
Consultez les bulletins de sécurité pour obtenir des exemples de failles, de correctifs et d'atténuations, ainsi que leurs notes.
Comment les correctifs sont-ils corrigés ?
La réparation d'une faille implique la mise à niveau vers un nouveau numéro de version GKE ou GKE Enterprise. Les versions de GKE et GKE Enterprise incluent des composants avec versions gérées pour le système d'exploitation, les composants Kubernetes et d'autres conteneurs qui constituent la plate-forme GKE Enterprise. La réparation de certaines failles ne nécessite qu'une mise à niveau d'un plan de contrôle, effectuée automatiquement par Google sur GKE, tandis que d'autres nécessitent à la fois des mises à niveau du plan de contrôle et des nœuds.
Pour maintenir les clusters corrigés et renforcer la sécurité contre les failles de tous niveaux de gravité, nous recommandons d'utiliser la mise à niveau automatique des nœuds sur GKE (activée par défaut). Pour les clusters enregistrés dans des canaux de publication, les releases de correctifs sont promues, car elles répondent aux exigences de qualification de chaque canal. Si vous avez besoin d'une version de correctif GKE avant qu'elle ne parvienne au canal de votre cluster, vous pouvez effectuer une mise à niveau manuelle vers la version de correctif si cette release se trouve sur la même version mineure qu'une disponible dans le canal de publication de votre cluster.
Sur d'autres plates-formes GKE Enterprise, Google recommande de mettre à niveau vos composants GKE Enterprise au moins une fois par mois.
Certains analyseurs de sécurité ou certaines vérifications de version manuelles peuvent supposer à tort qu'un composant tel que runc ou containerd ne dispose pas d'un correctif de sécurité en amont spécifique. GKE corrige régulièrement les composants et n'effectue des mises à niveau de version de package que si nécessaire, ce qui signifie que les composants GKE sont fonctionnellement similaires à leurs équivalents en amont, même si le numéro de version du composant GKE ne correspond pas au numéro de version en amont. Pour en savoir plus sur une faille CVE spécifique, consultez les bulletins de sécurité GKE.
Calendrier des correctifs
L'objectif de Google est de réduire les failles détectées dans un délai approprié en fonction des risques qu'elles représentent. GKE est inclus dans l'agrément d'exploitation provisoire FedRAMP de Google Cloud, qui nécessite la correction des failles connues dans des délais spécifiques en fonction de leur niveau de gravité, comme spécifié dans le contrôle RA-5(d) du tableau "Récapitulatif des activités et des livrables de la surveillance continue" du Guide de stratégie de surveillance continue FedRAMP. L'agrément d'exploitation provisoire FedRAMP de Google Cloud n'inclut pas Google Distributed Cloud et GKE sur AWS, mais nous nous efforçons de respecter les mêmes délais de correction sur ces produits.
Communication des failles et des correctifs
Le meilleur moyen d'obtenir des informations actuelles sur les failles et les correctifs de sécurité se trouve dans le flux des bulletins de sécurité pour les produits suivants :
- GKE
- Google Distributed Cloud
- GKE sur AWS
- GKE sur Azure
- Google Distributed Cloud
Ces bulletins suivent un schéma commun de numérotation des failles Google Cloud, et sont accessibles à partir de la page principale des bulletins Google Cloud et des notes de version de GKE. Chaque page de bulletins de sécurité comporte un flux RSS sur lequel les utilisateurs peuvent s'abonner aux mises à jour.
Les failles de sécurité sont parfois préservées sous embargo pendant une durée limitée. Les embargoes empêchent la publication précoce de failles susceptibles de générer des tentatives d'exploitation dispersées à grande échelle avant de prendre les mesures nécessaires. Dans les situations d'embargo, les notes de version font référence à des "mises à jour de sécurité" jusqu'à la levée du secret. Une fois l'embargo levé, Google met à jour les notes de version afin d'inclure les failles spécifiques.
L'équipe de sécurité GKE Enterprise publie des bulletins de sécurité pour les failles de gravité élevée et critique. Lorsque la réaction du client est requise pour remédier à ces failles critiques, Google contacte les clients par e-mail. Google peut également contacter les clients par le biais de contrats d'assistance via des canaux d'assistance.