Cuando se trata de software de código abierto (OSS) como Kubernetes, algunas personas se ponen nerviosas al no conocer a todos los que han trabajado en el código del proyecto. “¿Cómo puedo confiar en algo cuando alguien puede contribuir?” “Si hay una vulnerabilidad, ¿quién está prestando atención?”
De hecho, muchos proyectos de OSS tienen equipos de seguridad robustos y procesos rigurosos de gestión de vulnerabilidades, tal como esperaría encontrar en un software propietario. Para Kubernetes, un Comité de Seguridad de Producto dedicado supervisa el proceso de respuesta de seguridad. Conocer este proceso le dará una mejor comprensión del proyecto, qué hacer si sospecha un problema y su papel en la respuesta a la vulnerabilidad como usuario intermedio de Kubernetes.
El Comité de Seguridad del Producto es un grupo de mantenedores centrales, muchos con roles específicos de seguridad, nominados por otros mantenedores centrales y asesores técnicos dentro de la comunidad. La función del Comité es responder a todos y cada uno de los correos electrónicos sobre una posible vulnerabilidad, de acuerdo con un proceso de respuesta documentado. Aquí hay una descripción general.
- Triaje la divulgación
Cuando el equipo recibe una divulgación, comienza a investigar si el envío es un problema real o simplemente un error sin implicaciones de seguridad. Si el comité confirma que es un problema, lidera el desarrollo y lanzamiento de un parche y notifica a la comunidad. - Evaluar el impacto de la vulnerabilidad.
Un paso inicial clave es determinar el impacto potencial de una vulnerabilidad. Esto generalmente se representa como una puntuación CVSS y los criterios de gravedad documentados para las vulnerabilidades de Kubernetes. Este puntaje analiza criterios como la facilidad con que se puede explotar el problema, las consecuencias si se explota y los privilegios necesarios para explotarlo. Una puntuación inferior a 4.0 se considera baja; entre 4.0 y 7.0 es medio; entre 7.0 y 9.0 es alto, y por encima de 9.0 es crítico. Este puntaje CVSS actúa como un barómetro aproximado de cómo se deben priorizar los problemas y con qué urgencia, con la advertencia de que la gravedad de la vulnerabilidad puede variar según la configuración y el entorno de implementación específicos de Kubernetes. - Generar una solución
A continuación, el Comité de Seguridad del Producto trabaja con los desarrolladores relevantes para generar una solución. Si la vulnerabilidad involucra componentes de otros proyectos de código abierto, el equipo trabaja con grupos de seguridad dentro de esos proyectos.
Hay momentos en que puede ocurrir una solución de seguridad al aire libre, como parte de un lanzamiento de parche normal. Pero si la vulnerabilidad es lo suficientemente grave, el parche se desarrollará y probará en privado. En este punto, solo aquellos que necesitan saber deben ser conscientes de la vulnerabilidad; no querrá que alguien con intenciones maliciosas tenga conocimiento temprano de un problema sin parches.
Para las correcciones que siguen al proceso de lanzamiento privado (y algunas que no), el lanzamiento de un parche de seguridad incluirá un anuncio explicativo a kubernetes-security -nounce. Y cuando sea necesario, también se publica una retrospectiva o una autopsia a la comunidad de Kubernetes, explicando los pasos tomados, el cronograma de respuesta y cualquier otro detalle relevante. - Despliegue la solución
El siguiente paso es implementar notificaciones a los distribuidores certificados de Kubernetes. Debido a que los distribuidores son responsables de lo que reciben los usuarios finales, es importante que tengan la oportunidad de parchear antes (si es necesario) y preparar sus propias notificaciones. Al igual que muchos proyectos de código abierto, Kubernetes tiene una lista privada de distribuidores que reciben notificaciones de seguridad embargadas; Cualquier persona que cumpla con los criterios puede suscribirse a estos mensajes.
Entonces, ¿qué significa todo esto para usted como usuario de Kubernetes?
En primer lugar, asegúrese de que su equipo conozca el proceso del Comité de Seguridad del Producto; debería ayudar a cualquiera que no esté seguro acerca de la seguridad de código abierto a sentirse más seguro en Kubernetes. El Comité de Seguridad del Producto es un grupo robusto y receptivo de Kubernetes y expertos en seguridad que trabajan en su nombre, con una rotación de guardia durante las horas de trabajo.
En segundo lugar, si está implementando un contenedor en Kubernetes y nota algo que lo hace sospechar un problema de seguridad, debe notificar al Comité de Seguridad del Producto de inmediato, seguro sabiendo que seguirá un proceso prescrito para llegar al fondo de cosas. Para obtener más información sobre cuándo y cómo informar una vulnerabilidad, consulte la Información de seguridad y divulgación de Kubernetes.
También es importante conocer las políticas de comunicación de su proveedor con respecto a las vulnerabilidades. Para ello, asegúrese de conocer la respuesta a las siguientes preguntas:
Si hay un problema, ¿cuándo me contactará mi proveedor?
¿Dónde se publican los boletines de seguridad para los servicios que estoy consumiendo?
¿Cómo puedo saber cuándo habrá parches disponibles para esos servicios?
¿Dónde puedo encontrar información sobre vulnerabilidades para lo que ejecuto en mi entorno?
Cuando corresponde, Google Cloud publica boletines de seguridad para Google Kubernetes Engine (GKE) y envía notificaciones por correo electrónico a los usuarios afectados. Si podemos hacer parches en su nombre o si el problema es uno de los cuales Google Cloud es responsable, nos ocuparemos de las soluciones. Los usuarios de GKE deben consultar los boletines de seguridad de GKE como su fuente de verdad; se actualiza cada vez que un nuevo problema es lo suficientemente grave como para merecer atención.
En resumen, como usuario final de Kubernetes debes:
Comparta los procesos de respuesta e informes de Kubernetes con su equipo
Informe cualquier posible problema futuro a través del proceso de divulgación de Kubernetes
Obtenga información sobre las políticas de divulgación y parches de su proveedor
Al responder estas preguntas y familiarizarse con el proceso de respuesta de seguridad de Kubernetes, puede ser un usuario informado y seguro de software de código abierto y asegurarse de que su organización esté desempeñando un papel activo en la seguridad de su contenedor