安全性修補功能
本文說明 Google 如何管理 Google Kubernetes Engine (GKE) 和 GKE Enterprise 的安全性漏洞和修補程式。除非另有說明,否則 GKE Enterprise 包含 GKE 和 GKE Enterprise 平台。
本頁面適用於安全專家,他們負責解決需要策略性協助的安全問題或安全漏洞,例如事件和從支援服務提報的問題。如要進一步瞭解內容中提及的常見角色和範例工作,請參閱「常見的 GKE Enterprise 使用者角色和工作」。 Google Cloud
修補程式共同責任
修補程式是 Google 和客戶共同的責任。不同平台有不同的共同責任。如需各平台的詳細資訊,請參閱下列主題:
我們如何發現安全漏洞
Google 大幅投資於主動式安全設計和強化措施,但即使是設計最完善的軟體系統,也可能存在安全漏洞。為找出並修復這些安全漏洞,以免遭到有心人士利用,Google 在多個方面投入了大量資源。
就修補程式而言,GKE Enterprise 是作業系統 (OS) 層,容器則是在其上執行。作業系統 (Container-Optimized OS 或 Ubuntu) 經過強化,且包含執行容器所需的最低軟體量。GKE Enterprise 功能會以容器形式在基本映像檔上執行。
Google 會透過下列方式找出並修正安全漏洞和缺少的修補程式:
Container-Optimized OS:Google 會掃描映像檔,找出潛在安全漏洞和缺少的修補程式。Container-Optimized OS 團隊會審查並解決問題。
Ubuntu:Canonical 會提供已套用所有可用安全性修補程式的 OS 建構版本給 Google。
Google 會使用 Container Registry 構件分析掃描容器,找出 Kubernetes 和 Google 管理的容器中的安全漏洞和缺少的修補程式。如果掃描器發現可修正的問題,就會自動開始修補及發布程序。
除了自動掃描外,Google 還會透過下列方式,找出並修補掃描器未知的安全漏洞。
Google 會對所有 GKE Enterprise 平台執行稽核、滲透測試和探索安全性弱點。Google 內部專責團隊和值得信賴的第三方安全供應商,都會進行自己的攻擊研究。Google 也與 CNCF 合作,為 Kubernetes 安全性稽核提供許多組織和技術諮詢專業知識。
Google 透過多項漏洞獎勵計畫,積極與安全研究社群交流。專屬 Google Cloud 安全漏洞檢舉計畫提供高額獎金,每年針對最佳雲端安全漏洞提供 $133,337 美元的獎金。對於 GKE,如果安全性研究人員能夠破解我們的安全控管措施,即可獲得獎勵。這項計畫涵蓋所有 GKE 軟體依附元件。
Google 會與其他產業和開放原始碼軟體合作夥伴分享安全漏洞、安全性研究和修補程式,確保在公開發布安全漏洞前,這項合作的目標是在公開宣布漏洞前,修補大範圍的網際網路基礎架構。在某些情況下,Google 會將發現的安全漏洞回報給這個社群。舉例來說,Google 的 Project Zero 發現並公開了 Spectre 和 Meltdown 漏洞。 Google Cloud 安全團隊也會定期找出並修正核心式虛擬機器 (KVM) 的安全漏洞。
Google 的安全防護合作涵蓋多個層面。有時,機構會透過正式計畫註冊,接收 Kubernetes和 Envoy 等產品的軟體安全漏洞搶先發布通知。此外,我們也參與許多開放原始碼專案 (例如 Linux 核心、容器執行階段和虛擬化技術等),因此也會進行非正式的合作。
就 Kubernetes 而言,Google 是安全回應委員會 (SRC) 的創始成員,並撰寫了大部分的安全發布程序。Google 是 Kubernetes 發行版本清單的成員,可事先收到安全漏洞通知,並參與幾乎所有重大 Kubernetes 安全漏洞的分類、修補、緩解措施開發和通報作業。Google 也自行發現多項 Kubernetes 安全漏洞。
雖然較不嚴重的安全漏洞是在這些程序之外發現並修補,但大多數重大安全漏洞都是透過先前列出的其中一個管道私下回報。提早回報可讓 Google 在安全漏洞公開前,有時間研究該漏洞對 GKE Enterprise 的影響、開發修補程式或緩解措施,並為客戶準備建議和通訊內容。如果可以,Google 會在安全漏洞公開發布前,修補所有叢集。
安全漏洞的分類方式
GKE 大幅投入資源,強化整個堆疊的安全性,包括 OS、容器、Kubernetes 和網路層,並設定良好的預設值、強化安全性的設定和代管元件。綜合來看,這些措施有助於降低安全漏洞的影響和發生機率。
GKE Enterprise 安全團隊會根據 Kubernetes 安全漏洞評分系統分類安全漏洞。分類時會考量許多因素,包括 GKE 和 GKE Enterprise 設定,以及安全強化措施。由於上述因素和 GKE 在安全性方面的投資,GKE 和 GKE Enterprise 的安全漏洞分類可能與其他分類來源不同。
下表說明安全漏洞嚴重程度類別:
| 嚴重性 | 說明 |
|---|---|
| 重大 | 未經驗證的遠端攻擊者可輕易在所有叢集中利用此漏洞,導致系統全面遭到入侵。 |
| 高 | 可輕易遭利用的安全性弱點,許多叢集都會受到影響,導致機密性、完整性或可用性受到損害。 |
| 中 | 部分叢集可遭利用的安全性漏洞,但機密性、完整性或可用性損失會受到常見設定、利用難度、必要存取權或使用者互動的限制。 |
| 低 | 所有其他安全漏洞。遭濫用的可能性不高,或遭濫用造成的後果有限。 |
如要查看安全漏洞、修正方式、防範措施和評分範例,請參閱安全性公告。
如何修補安全漏洞
修補安全漏洞需要升級至新的 GKE 或 GKE Enterprise 版本號碼。GKE 和 GKE Enterprise 版本包含作業系統、Kubernetes 元件,以及構成 GKE Enterprise 平台的其他容器版本化元件。修正部分安全漏洞時,只需要升級控制層 (Google 會在 GKE 上自動執行),但其他安全漏洞則需要同時升級控制層和節點。
為確保叢集已修補所有嚴重程度的安全漏洞,並強化安全防護,我們建議使用 GKE 的節點自動升級功能 (預設為開啟)。如果叢集已註冊發布管道,系統會根據各管道的資格條件,升級修補程式版本。如果叢集管道尚未發布 GKE 修補程式,但您需要使用該修補程式,只要修補程式與叢集管道中的版本屬於相同子版本,即可手動升級至修補程式版本。
在其他 GKE Enterprise 平台上,Google 建議您至少每月升級一次 GKE Enterprise 元件。
部分安全掃描器或手動版本檢查可能會誤判,認為 runc 或 containerd 等元件缺少特定上游安全修補程式。GKE 會定期修補元件,且只會在必要時升級套件版本,因此即使 GKE 元件的版本號碼與上游版本號碼不符,GKE 元件的功能仍與上游對應項目相似。如要瞭解特定 CVE 的詳細資料,請參閱 GKE 安全性公告。
修補時間表
Google 的目標是在適當的時間內,減輕偵測到的安全漏洞,以降低相關風險。GKE 包含在 Google Cloud的 FedRAMP 暫時性 ATO 中,因此必須根據「FedRAMP 持續監控策略指南」中「持續監控活動和交付項目摘要」表格的控制項 RA-5(d) 規定,在特定時間範圍內修正已知安全漏洞。
對於每個已知安全漏洞,GKE 的目標是在相應時間範圍內發布修補程式版本,以修復該漏洞。 Google Cloud FedRAMP 暫時性執行授權不包括 Google Distributed Cloud、AWS 上的 GKE 或 Azure 上的 GKE,但我們目標是讓這些產品在相同時間內完成補救措施。GKE 發布修補程式版本來修正已知安全漏洞後,請將叢集升級至這些版本,以符合貴機構的修補時間範圍。
如何通知安全漏洞和修補程式
如要瞭解下列產品的漏洞和安全性修補程式最新資訊,請參閱安全性公告動態消息:
- GKE
- Google Distributed Cloud
- GKE on AWS
- GKE on Azure
- Google Distributed Cloud
這些公告採用常見的 Google Cloud 安全漏洞編號機制,並連結至主要 Google Cloud 公告頁面和 GKE 版本資訊。 每個安全公告頁面都有 RSS 動態消息,使用者可以訂閱更新。
有時我們會暫時保密,直到相關單位能夠將安全漏洞解決為止。禁令可防止安全漏洞提早曝光,以免在採取因應措施前,就出現大規模的攻擊嘗試。在保密期間,版本資訊會將漏洞稱為「安全性更新」,直到保密規定撤銷為止。禁運期結束後,Google 會更新發行說明,加入具體安全漏洞。
GKE Enterprise 安全性團隊會發布安全性公告,說明嚴重程度為「高」和「重大」的安全性漏洞。如果需要客戶採取行動來解決這些高嚴重性和重大安全漏洞,Google 會透過電子郵件與客戶聯絡。此外,Google 也可能會透過支援管道,與簽訂支援合約的客戶聯絡。