Reino: Environment
Esta seção contém tudo o que fica fora do código-fonte, porém que é essencial para a segurança do produto que está sendo criado. Como os problemas tratados neste domínio não são diretamente relacionados com o código-fonte, nós o separamos dos demais domínios.
GCP Terraform Misconfiguration: GKE Cluster Node Auto-Repair Disabled
Abstract
Uma configuração do Terraform desabilita o reparo automático de nós para um pool de nós do GKE.
Explanation
Cada recurso de segurança de serviço em nuvem é projetado para prevenir ou atenuar uma ameaça conhecida. Quando desabilitado por intenção ou negligência, não oferece proteção.
Por padrão, se um nó do GKE relatar repetidamente um status não íntegro durante um determinado período, o GKE iniciará um processo de reparo para esse nó. Desabilitar o reparo automático de nós evita substituições oportunas e automatizadas de nós não íntegros nos quais as cargas de trabalho de missão crítica podem ser executadas.
Exemplo 1: A configuração do Terraform a seguir desabilita o reparo automático de um pool de nós definindo
Por padrão, se um nó do GKE relatar repetidamente um status não íntegro durante um determinado período, o GKE iniciará um processo de reparo para esse nó. Desabilitar o reparo automático de nós evita substituições oportunas e automatizadas de nós não íntegros nos quais as cargas de trabalho de missão crítica podem ser executadas.
Exemplo 1: A configuração do Terraform a seguir desabilita o reparo automático de um pool de nós definindo
auto_repair como false no bloco management.
resource "google_container_node_pool" "node-pool-demo" {
...
management {
auto_repair = false
...
}
...
}
References
[1] HashiCorp google_container_node_pool
[2] Google Cloud Auto-repairing nodes
[3] Standards Mapping - CIS Google Kubernetes Engine Benchmark Recommendation 5.5.2
[4] Standards Mapping - FIPS200 CM
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-2 Flaw Remediation (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-2 Flaw Remediation
[7] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2017 A9 Using Components with Known Vulnerabilities
[9] Standards Mapping - OWASP Top 10 2021 A06 Vulnerable and Outdated Components
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.2
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.3.3
[12] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.3.3
[13] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 10.2 - Threat and Vulnerability Management
[14] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 10.2 - Threat and Vulnerability Management
[15] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 10.2 - Threat and Vulnerability Management, Control Objective C.1.6 - Web Software Components & Services
desc.structural.hcl.gcp_terraform_misconfiguration_gke_cluster_node_auto_repair_disabled