Reino: Environment

Esta seção contém tudo o que fica fora do código-fonte, porém que é essencial para a segurança do produto que está sendo criado. Como os problemas tratados neste domínio não são diretamente relacionados com o código-fonte, nós o separamos dos demais domínios.

GCP Terraform Misconfiguration: GKE Container-Optimized OS Not In Use

Abstract

Uma configuração do Terraform configura nós do GKE que não executam o Container-Optimized OS.

Explanation

Por padrão, os nós do GKE são executados com o Container-Optimized OS (COS). COS é uma imagem do sistema operacional otimizada para executar nós do GKE em instâncias do Google Compute Engine. A desativação do padrão renuncia aos benefícios de segurança e eficiência aprimoradas.

Exemplo 1: O exemplo de configuração do Terraform a seguir configura um pool de nós do GKE que não executam COS porque image_type está definido como uma imagem não COS no bloco node_config.


resource "google_container_node_pool" "node_pool_demo" {
  ...
  node_config {
    image_type = "UBUNTU"
    ...
  }
  ...
}

References

[1] HashiCorp google_container_node_pool

[2] Google Cloud Setting the default node image type

[3] Google Cloud Container-Optimized OS Overview

[4] Standards Mapping - CIS Google Kubernetes Engine Benchmark Recommendation 5.5.1

[5] Standards Mapping - FIPS200 CM

[6] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection

[7] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-2 Flaw Remediation (P1)

[8] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-2 Flaw Remediation

[9] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration

[10] Standards Mapping - OWASP Top 10 2017 A9 Using Components with Known Vulnerabilities

[11] Standards Mapping - OWASP Top 10 2021 A06 Vulnerable and Outdated Components

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.2

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.3.3

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.3.3

[15] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 10.2 - Threat and Vulnerability Management

[16] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 10.2 - Threat and Vulnerability Management

[17] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 10.2 - Threat and Vulnerability Management, Control Objective C.1.6 - Web Software Components & Services

desc.structural.hcl.gcp_terraform_misconfiguration_gke_container_optimized_os_not_in_use