Controle o acesso e proteja os artefatos

Nesta página, descrevemos os serviços e recursos do Google Cloud que ajudam você a proteger seus artefatos.

Criptografia em repouso

Por padrão, o Google Cloud automaticamente criptografa os dados quando em repouso por meio de chaves de criptografia gerenciadas pelo Google. Se você tiver requisitos regulamentares ou de compliance específicos relacionados às chaves que protegem seus dados, crie repositórios criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).

Controle de acesso

Por padrão, todos os repositórios são privados. Siga o princípio de segurança do privilégio mínimo e conceda apenas as permissões mínimas exigidas pelos usuários e contas de serviço.

Prevenção a ataques de exportação de dados

Para evitar a exfiltração de dados, use o VPC Service Controls para colocar o Artifact Registry e outros serviços do Google Cloud em um perímetro de segurança de rede.

Verificação de vulnerabilidades

O Artifact Analysis pode verificar imagens de contêiner em busca de vulnerabilidades de segurança em pacotes monitorados publicamente.

As seguintes opções estão disponíveis:

Verificação automática de vulnerabilidades

Quando ativado, esse recurso identifica vulnerabilidades de pacote nas imagens de contêiner. As imagens são verificadas quando são enviadas ao Artifact Registry, e os dados são monitorados continuamente para encontrar novas vulnerabilidades por até 30 dias após o envio da imagem.

API On-Demand Scanning

Quando ativada, é possível verificar manualmente as imagens locais ou as imagens armazenadas no Artifact Registry. Esse recurso ajuda a detectar e resolver vulnerabilidades no início do pipeline de compilação. Por exemplo, é possível usar o Cloud Build para verificar uma imagem depois que ela for criada e, em seguida, bloquear o upload para o Artifact Registry se a verificação detectar vulnerabilidades em um nível de gravidade especificado. Se você também tiver ativado a verificação automática de vulnerabilidades, o Artifact Analysis também vai verificar as imagens enviadas para o registro.

Política de implantação

É possível usar a autorização binária para configurar uma política que o serviço aplica quando é feita uma tentativa de implantar uma imagem de contêiner em um dos ambientes compatíveis do Google Cloud.

Por exemplo, é possível configurar a autorização binária para permitir implantações apenas se uma imagem estiver assinada para conformidade com uma política de verificação de vulnerabilidades.

Remover imagens não usadas

Remova imagens de contêiner não utilizadas para reduzir os custos de armazenamento e os riscos do uso de softwares mais antigos. Há várias ferramentas disponíveis para ajudar nessa tarefa, incluindo gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial do Google.

Como integrar a segurança aos processos

A integração dos objetivos de segurança das informações ao trabalho diário pode ajudar a aumentar o desempenho da entrega de software e criar sistemas mais seguros. Essa ideia também é conhecida como mudança para a esquerda, porque preocupações, incluindo questões de segurança, são abordadas anteriormente no ciclo de vida de desenvolvimento de software, ou seja, deixadas em um diagrama de programação da esquerda para a direita. A mudança para a esquerda na segurança é um dos recursos de DevOps identificados no programa de pesquisa DORA State of DevOps.

Para saber mais, faça o seguinte:

• Leia sobre o recurso de mudança para a esquerda na segurança.
• Leia o artigo Como mudar à esquerda na segurança, que descreve responsabilidades, práticas, processos, ferramentas e técnicas que aumentam a confiança no ciclo de vida de desenvolvimento de software (SDLC, na sigla em inglês) e reduzem as preocupações com riscos à segurança.

Considerações para repositórios públicos

Considere cuidadosamente os seguintes casos:

• Uso de artefatos de fontes públicas
• Como tornar públicos seus repositórios do Artifact Registry

Como usar artefatos de fontes públicas

As fontes públicas de artefatos, como GitHub, Docker Hub, PyPI ou o registro público do npm, fornecem ferramentas que podem ser usadas ou dependências para seus builds e implantações.

No entanto, sua organização pode ter restrições que afetam o uso de artefatos públicos. Exemplo:

• Você quer controlar o conteúdo da cadeia de suprimentos de software.
• Você não quer depender de um repositório externo.
• Você quer controlar estritamente as vulnerabilidades em seu ambiente de produção.
• Você quer o mesmo sistema operacional de base em todas as imagens.

Considere as seguintes abordagens para proteger sua cadeia de suprimentos de software:

• Configure builds automáticos para que seus artefatos tenham conteúdo conhecido e consistente. É possível usar gatilhos de compilação do Cloud Build ou outras ferramentas de integração contínua.
• Usar imagens de base padronizadas. O Google fornece algumas imagens de base que podem ser usadas.
• Resolva as vulnerabilidades nos seus artefatos. Use a API On-Demand Scanning para verificar vulnerabilidades em imagens de contêiner antes de armazená-las no Artifact Registry. O Artifact Analysis também pode verificar contêineres enviados por push para o Artifact Registry.
• Aplique seus padrões internos em implantações de imagens. A autorização binária fornece a aplicação de implantações de imagens de contêiner em ambientes compatíveis do Google Cloud.

Saiba mais sobre considerações para imagens públicas

Repositórios públicos do Artifact Registry

É possível tornar um repositório do Artifact Registry público concedendo o papel de Leitor do Artifact Registry à identidade allUsers.

Se todos os usuários tiverem contas do Google Cloud, será possível limitar o acesso a usuários autenticados com a identidade allAuthenticatedUsers.

Considere as seguintes diretrizes antes de tornar público um repositório do Artifact Registry:

• Verifique se todos os artefatos armazenados no repositório podem ser compartilhados publicamente e não exponham credenciais, dados pessoais ou confidenciais.
• Você recebe cobranças pela transferência de dados de rede quando os usuários fazem o download de artefatos. Se você espera muito tráfego de download da Internet, considere os custos associados.
• Por padrão, os projetos têm cota por usuário ilimitada. Para evitar abusos, limite a cota por usuário no seu projeto.

Orientação para aplicativos da Web

• O OWASP Top 10 lista os principais riscos à segurança de aplicativos da Web de acordo com o Open Web Application Security Project (OSWAP).

Orientação para contêineres

• As práticas recomendadas para criar contêineres incluem recomendações para a criação de contêineres.

  Leia também as práticas recomendadas do Docker para criar imagens.

• As práticas recomendadas para operar contêineres incluem recomendações de segurança, monitoramento e geração de registros que facilitam a execução de aplicativos no Google Kubernetes Engine e em contêineres em geral.

• O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar a segurança de um contêiner do Docker.

  O Docker fornece um script de código aberto chamado Docker Bench for Security. Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado do CIS do Docker.

  O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado do CIS do Docker, mas nem todos os itens são verificáveis com o script. Por exemplo, o script não pode verificar se o host do contêiner está mais protegido ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.

A seguir

Saiba mais sobre o gerenciamento de dependências