Por Andrew Hoying, experto en Seguridad de Google Cloud.


El mes pasado, Project Zero divulgó detalles sobre las vulnerabilidades de CPU que se han denominado “Meltdown” y “Spectre”, y te informamos que Google Cloud se actualizó para brindar protección contra todas las vulnerabilidades conocidas.

Los clientes que poseen equipos virtuales (VM) en los servicios de Google Cloud deben continuar siguiendo las prácticas recomendadas de seguridad y aplicar periódicamente todas las actualizaciones de seguridad, tal como lo harían con cualquier otra vulnerabilidad del sistema operativo. Proporcionamos una lista completa de medidas recomendadas para que los clientes de GCP puedan protegerse contra estas vulnerabilidades.

Una medida recomendada es actualizar todos los clústeres de Google Kubernetes Engine para garantizar que se revise por completo la imagen del VM subyacente. Puedes hacerlo automáticamente habilitando la actualización automática en tus grupos de nodos de Kubernetes. ¿Quieres asegurarte de que todos tus clústeres tengan una versión revisada que contemple estas vulnerabilidades de CPU? El equipo de seguridad de Google Cloud desarrolló un escáner que puede resultar útil.

Este se encuentra en Forseti Security, un conjunto de herramientas de código abierto para GCP que te permite identificar rápidamente clústeres de Kubernetes Engine aún no revisados.

Si ya instalaste Forseti, debes actualizarlo a la versión 1.1.10 y habilitar el escáner. Si aún no lo has hecho, instala Forseti Security en un nuevo proyecto de tu organización en GCP. El escáner comprobará, una vez por hora, la versión de los grupos de nodos de todos los clústeres de Kubernetes Engine que se ejecuten en todos tus proyectos de GCP. Forseti registra las infracciones que detecta en su tabla de infracciones y, opcionalmente, envía un correo electrónico a tus administradores de GCP para ayudarte a identificar cualquier exposición persistente a Meltdown.
El conjunto de herramientas Forseti se puede usar de muchas formas diferentes para ayudarte a preservar la seguridad. Para obtener más información sobre la comunidad Forseti, lee esta entrada del blog. Si tienes preguntas sobre esta herramienta, envía un mensaje a discuss@forsetisecurity.org.