Reino: Environment
Esta sección incluye todo lo que está fuera del código fuente pero aun así es importante para la seguridad del producto que se está creando. Dado que todas las cuestiones incluidas en esta sección no están directamente relacionadas con el código fuente, las hemos separado de las demás secciones.
GCP Terraform Misconfiguration: GKE Cluster Node Auto-Repair Disabled
Abstract
Una configuración de Terraform inhabilita la reparación automática de nodos para un grupo de nodos de GKE.
Explanation
Cada característica de seguridad del servicio en la nube está diseñada para prevenir o mitigar una amenaza conocida. Cuando se desactiva por intención o negligencia, no ofrece protección.
Por defecto, si un nodo de GKE informa repetidamente un estado incorrecto durante un período determinado, GKE inicia un proceso de reparación para ese nodo. La desactivación de la reparación automática de nodos evita los reemplazos oportunos y automatizados de nodos en mal estado en los que se pueden ejecutar cargas de trabajo de misión crítica.
Ejemplo 1: El siguiente ejemplo de configuración de Terraform inhabilita las actualizaciones automáticas de los nodos de Kubernetes configurando
Por defecto, si un nodo de GKE informa repetidamente un estado incorrecto durante un período determinado, GKE inicia un proceso de reparación para ese nodo. La desactivación de la reparación automática de nodos evita los reemplazos oportunos y automatizados de nodos en mal estado en los que se pueden ejecutar cargas de trabajo de misión crítica.
Ejemplo 1: El siguiente ejemplo de configuración de Terraform inhabilita las actualizaciones automáticas de los nodos de Kubernetes configurando
auto_repair como false en el bloque management.
resource "google_container_node_pool" "node-pool-demo" {
...
management {
auto_repair = false
...
}
...
}
References
[1] HashiCorp google_container_node_pool
[2] Google Cloud Auto-repairing nodes
[3] Standards Mapping - CIS Google Kubernetes Engine Benchmark Recommendation 5.5.2
[4] Standards Mapping - FIPS200 CM
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-2 Flaw Remediation (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-2 Flaw Remediation
[7] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2017 A9 Using Components with Known Vulnerabilities
[9] Standards Mapping - OWASP Top 10 2021 A06 Vulnerable and Outdated Components
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.2
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.3.3
[12] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.3.3
[13] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 10.2 - Threat and Vulnerability Management
[14] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 10.2 - Threat and Vulnerability Management
[15] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 10.2 - Threat and Vulnerability Management, Control Objective C.1.6 - Web Software Components & Services
desc.structural.hcl.gcp_terraform_misconfiguration_gke_cluster_node_auto_repair_disabled