Zugriff steuern und Artefakte schützen

Auf dieser Seite werden die Dienste und Funktionen von Google Cloud beschrieben, mit denen Sie Ihre Artefakte schützen können.

Verschlüsselung inaktiver Daten

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie Repositories erstellen, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt sind.

Zugriffssteuerung

Standardmäßig sind alle Repositories privat. Beachten Sie das Sicherheitsprinzip der geringsten Berechtigung und gewähren Sie nur die minimal erforderlichen Berechtigungen für Nutzer- und Dienstkonten.

Downloads von Artefakten einschränken

Sie können Artifact-Downloads mit Downloadregeln einschränken. Mit Downloadregeln können Sie den Download von Artefakten aus Ihren Repositories und Paketen zulassen oder ablehnen. Sie können auch Bedingungen festlegen, damit die Regel für bestimmte Tags oder Versionen gilt.

Für jedes Repository in Ihrem Projekt können Sie eine Downloadregel auf Repositoryebene und eine Downloadregel pro Paket festlegen. Wenn ein Client einen Download versucht, sucht Artifact Registry zuerst nach einer Downloadregel für das Paket des Artefakts. Wenn keine Regel vorhanden ist oder die Bedingungen der Regel nicht auf das Artefakt zutreffen, sucht Artifact Registry im Repository nach einer Regel.

Sie können beispielsweise eine Regel für Ihr Repository erstellen, um alle Downloads zu verweigern, und dann eine Regel für ein Paket erstellen, um Downloads von diesem bestimmten Paket zuzulassen. Die Regel auf Paketebene hat Vorrang und nur Artefakte, die zu diesem Paket gehören, können aus dem Repository heruntergeladen werden.

Downloadregeln sind für alle Repository-Modi und für die folgenden Repository-Formate verfügbar:

• Docker
• Go
• Maven
• npm
• Python

Daten-Exfiltration verhindern

Um die Daten-Exfiltration zu verhindern, können Sie mit VPC Service Controls Artifact Registry und andere Google Cloud -Dienste in einem Netzwerksicherheitsbereich platzieren.

Scannen auf Sicherheitslücken

Mit der Artefaktanalyse können Container-Images auf Sicherheitslücken in öffentlich überwachten Paketen geprüft werden.

Folgende Optionen sind verfügbar:

Automatisches Scannen auf Sicherheitslücken

Wenn diese Funktion aktiviert ist, werden Sicherheitslücken in Ihren gepackten Container-Images erkannt. Images werden beim Hochladen in Artifact Registry gescannt. Die Daten werden bis zu 30 Tage nach dem Hochladen des Images kontinuierlich auf neue Sicherheitslücken geprüft.

On-Demand Scanning API

Wenn diese Option aktiviert ist, können Sie lokale Images oder in Artifact Registry gespeicherte Images manuell scannen. Mit diesem Feature können Sie Sicherheitslücken frühzeitig in der Build-Pipeline erkennen und beheben. Sie können beispielsweise Cloud Build verwenden, um ein Image nach dem Erstellen zu scannen und dann den Upload in Artifact Registry zu blockieren, wenn der Scan Sicherheitslücken mit einem bestimmten Schweregrad erkennt. Wenn Sie auch das automatische Scannen auf Sicherheitslücken aktiviert haben, scannt die Artefaktanalyse auch Images, die Sie in die Registry hochladen.

Deployment-Richtlinie

Mit der Binärautorisierung können Sie eine Richtlinie konfigurieren, die der Dienst erzwingt, wenn versucht wird, ein Container-Image in einer der unterstützten Google Cloud- Umgebungen bereitzustellen.

Sie können die Binärautorisierung beispielsweise so konfigurieren, dass nur Bereitstellungen zulässig sind, wenn ein Image gemäß einer Richtlinie für den Scan auf Sicherheitslücken signiert ist.

Nicht verwendete Images entfernen

Entfernen Sie nicht verwendete Container-Images, um die Speicherkosten zu senken und das Risiko zu verringern, dass ältere Software verwendet wird. Es gibt eine Reihe von Tools, die Ihnen bei dieser Aufgabe helfen können, einschließlich gcr-cleaner. Das gcr-cleaner-Tool ist kein offizielles Google-Produkt.

Ein Linksruck bei der Sicherheit

Wenn Sie Ziele zur Informationssicherheit in die tägliche Arbeit einbinden, können Sie die Leistung der Softwarebereitstellung steigern und sicherere Systeme entwickeln. Diese Idee wird auch als Shift-Left-Modell bezeichnet, weil Bedenken, darunter auch Sicherheitsprobleme, früher im Lebenszyklus der Softwareentwicklung angegangen werden (d. h. in einem Planungsdiagramm, dessen Leserichtung von links nach rechts geht, also weiter links). Die Linksverschiebung bei der Sicherheit ist eine der DevOps-Funktionen, die im Rahmen des DORA-Forschungsprogramms „State of DevOps“ identifiziert wurden.

Weitere Informationen:

• Weitere Informationen zur Linksverschiebung bei der Sicherheit
• Lesen Sie das Whitepaper Shifting left on security, in dem Aufgaben, Praktiken, Prozesse, Tools und Techniken beschrieben werden, die das Vertrauen in den Software Development Life Cycle (SDLC) stärken und Bedenken hinsichtlich Sicherheitsrisiken verringern.

Hinweise zu öffentlichen Repositories

Beachten Sie folgende Fälle:

• Verwendung von Artefakten aus öffentlichen Quellen
• Eigene Artifact Registry-Repositories veröffentlichen

Artefakte aus öffentlichen Quellen verwenden

Die folgenden öffentlichen Quellen für Artefakte bieten Tools, die Sie verwenden können, oder Abhängigkeiten für Ihre Builds und Bereitstellungen:

• GitHub
• Docker Hub
• PyPI
• npm-Public-Registry

Möglicherweise gibt es jedoch Einschränkungen in Ihrer Organisation, die sich auf die Verwendung öffentlicher Artefakte auswirken. Beispiel:

• Sie möchten den Inhalt Ihrer Softwarelieferkette steuern.
• Sie möchten nicht auf ein externes Repository angewiesen sein.
• Sie möchten Sicherheitslücken in Ihrer Produktionsumgebung streng kontrollieren.
• Sie wünschen in jedem Image dasselbe Basisbetriebssystem.

Sie können die folgenden Ansätze zur Sicherung Ihrer Softwarelieferkette in Betracht ziehen:

• Richten Sie automatische Builds ein, damit Ihre Artefakte einheitliche, bekannte Inhalte haben. Sie können Cloud Build-Build-Trigger oder andere Tools zur kontinuierlichen Integration verwenden.

• Verwenden Sie standardisierte Basisbilder. Google stellt einige Basis-Images zur Verfügung, die Sie verwenden können.

• Beheben Sie Sicherheitslücken in Ihren Artefakten. Sie können die On-Demand Scanning API verwenden, um Container-Images auf Sicherheitslücken zu prüfen, bevor Sie sie in Artifact Registry speichern. Mit der Artefaktanalyse können auch Container gescannt werden, die Sie in die Artifact Registry pushen.

• Durchsetzen Sie Ihre internen Standards für die Bereitstellung von Images. Die Binärautorisierung erzwingt die Bereitstellung von Container-Images in unterstützten Google Cloud- Umgebungen.

Öffentliche Artifact Registry-Repositories

Sie können ein Artifact Registry-Repository veröffentlichen, indem Sie der Identität allUsers die Rolle „Artifact Registry Reader“ zuweisen.

Wenn alle Nutzer Google Cloud -Konten haben, können Sie den Zugriff auf authentifizierte Nutzer stattdessen mit der Identität allAuthenticatedUsers beschränken.

Beachten Sie die folgenden Richtlinien, bevor Sie ein Repository der Artifact Registry veröffentlichen:

• Achten Sie darauf, dass alle im Repository gespeicherten Artefakte öffentlich freigegeben werden können und keine Anmeldedaten, personenbezogenen Daten oder vertraulichen Daten enthalten.
• Standardmäßig haben Projekte ein unbegrenztes nutzerbezogenes Kontingent. Um Missbrauch zu verhindern, begrenzen Sie das nutzerbezogene Kontingent in Ihrem Projekt.
• Ihnen werden Netzwerkdatenübertragungen in Rechnung gestellt, wenn Nutzer Artefakte herunterladen. Wenn Sie eine große Menge an Internet-Download-Traffic erwarten, sollten Sie die damit verbundenen Kosten berücksichtigen.

Hinweise für Webanwendungen

• Die OWASP Top 10 enthalten die größten Sicherheitsrisiken für Webanwendungen gemäß dem Open Web Application Security Project (OWASP).

Hinweise zu Containern

• Die Best Practices für Docker enthalten Empfehlungen zum Erstellen von Images.

• Das Center for Internet Security (CIS) bietet eine Docker-Benchmark zur Bewertung der Sicherheit eines Docker-Containers.

  Außerdem stellt Docker ein Open-Source-Skript namens Docker Bench for Security bereit. Mit diesem Skript können Sie einen laufenden Docker-Container anhand der CIS-Docker-Benchmark prüfen.

  Mit Docker Bench for Security lassen sich viele Elemente der CIS-Docker-Benchmark prüfen, allerdings nicht alle. Beispielsweise kann das Skript nicht feststellen, ob der Host für den Container gehärtet ist oder ob das Container-Image personenbezogene Daten enthält. Sehen Sie sich alle Elemente der Benchmark an und identifizieren Sie diejenigen, die möglicherweise zusätzlich geprüft werden müssen.

Nächste Schritte

Weitere Informationen zur Abhängigkeitsverwaltung