Controle o acesso e proteja os artefactos

Esta página descreve os Google Cloud serviços e as funcionalidades que ajudam a proteger os seus artefactos.

Encriptação em repouso

Por predefinição, Google Cloud encripta automaticamente os dados quando estão em repouso através de chaves de encriptação geridas pela Google. Se tiver requisitos regulamentares ou de conformidade específicos relacionados com as chaves que protegem os seus dados, pode criar repositórios encriptados com chaves de encriptação geridas pelo cliente (CMEK).

Controlo de acesso

Por predefinição, todos os repositórios são privados. Siga o princípio de segurança do privilégio mínimo e conceda apenas as autorizações mínimas exigidas pelos utilizadores e pelas contas de serviço.

Restrinja as transferências de artefactos

Pode restringir as transferências de artefactos com regras de transferência. As regras de transferência permitem-lhe autorizar ou recusar transferências de artefactos dos seus repositórios e pacotes. Também pode definir condições para que a regra se aplique a etiquetas ou versões específicas.

Para cada repositório no seu projeto, pode ter uma regra de transferência ao nível do repositório e uma regra de transferência por pacote. Quando um cliente tenta uma transferência, o Artifact Registry verifica primeiro se existe uma regra de transferência no pacote do artefacto. Se não existir uma regra ou as condições da regra não se aplicarem ao artefacto, o Artifact Registry verifica se existe uma regra no repositório.

Por exemplo, pode criar uma regra para o seu repositório que negue todas as transferências e, em seguida, criar uma regra para um pacote que permita transferências desse pacote específico. A regra ao nível do pacote tem precedência e só é possível transferir do repositório os artefactos pertencentes a esse pacote.

As regras de transferência estão disponíveis em todos os modos de repositório e para os seguintes formatos de repositório:

  • Docker
  • Ir
  • Maven
  • npm
  • Python

Impeça a exfiltração de dados

Para evitar a exfiltração de dados, pode usar os VPC Service Controls para colocar o Artifact Registry e outros Google Cloud serviços num perímetro de segurança de rede.

Análise de vulnerabilidades

A análise de artefactos pode analisar imagens de contentores quanto a vulnerabilidades de segurança em pacotes monitorizados publicamente.

Estão disponíveis as seguintes opções:

Análise automática de vulnerabilidades
Quando ativada, esta funcionalidade identifica vulnerabilidades de pacotes nas suas imagens de contentores. As imagens são analisadas quando são carregadas para o Artifact Registry, e os dados são monitorizados continuamente para encontrar novas vulnerabilidades até 30 dias após o envio da imagem.
API On-Demand Scanning
Quando ativada, pode analisar manualmente imagens locais ou imagens armazenadas no Artifact Registry. Esta funcionalidade ajuda a detetar e resolver vulnerabilidades numa fase inicial da sua pipeline de compilação. Por exemplo, pode usar o Cloud Build para analisar uma imagem depois de esta ser criada e, em seguida, bloquear o carregamento para o Artifact Registry se a análise detetar vulnerabilidades num nível de gravidade especificado. Se também ativou a análise automática de vulnerabilidades, a análise de artefactos também analisa as imagens que carrega para o registo.

Política de implementação

Pode usar a autorização binária para configurar uma política que o serviço aplica quando é feita uma tentativa de implementar uma imagem de contentor num dos ambientes suportados Google Cloud .

Por exemplo, pode configurar a autorização binária para permitir implementações apenas se uma imagem estiver assinada em conformidade com uma política de análise de vulnerabilidades.

Remover imagens não usadas

Remova imagens de contentores não usadas para reduzir os custos de armazenamento e mitigar os riscos de usar software mais antigo. Existem várias ferramentas disponíveis para ajudar nesta tarefa, incluindo o gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial da Google.

Mudar o foco para a segurança

A integração dos objetivos de segurança da informação no trabalho diário pode ajudar a aumentar o desempenho da entrega de software e a criar sistemas mais seguros. Esta ideia também é conhecida como deslocamento para a esquerda, porque as preocupações, incluindo as de segurança, são abordadas mais cedo no ciclo de vida de desenvolvimento de software (ou seja, à esquerda num diagrama de agendamento da esquerda para a direita). A mudança para a esquerda na segurança é uma das capacidades de DevOps identificadas no programa de investigação State of DevOps da DORA.

Para saber mais:

Considerações para repositórios públicos

Considere cuidadosamente os seguintes casos:

  • Utilização de artefactos de fontes públicas
  • Tornar os seus próprios repositórios do Artifact Registry públicos

Usar artefactos de origens públicas

As seguintes origens públicas de artefactos fornecem ferramentas que pode usar ou dependências para as suas compilações e implementações:

No entanto, a sua organização pode ter restrições que afetam a sua utilização de artefactos públicos. Por exemplo:

  • Quer controlar o conteúdo da sua cadeia de abastecimento de software.
  • Não quer depender de um repositório externo.
  • Quer controlar rigorosamente as vulnerabilidades no seu ambiente de produção.
  • Quer o mesmo sistema operativo base em todas as imagens.

Considere as seguintes abordagens para proteger a sua cadeia de abastecimento de software:

  • Configure compilações automáticas para que os seus artefactos tenham conteúdo consistente e conhecido. Pode usar acionadores de compilação do Cloud Build ou outras ferramentas de integração contínua.
  • Use imagens de base padronizadas. A Google disponibiliza algumas imagens base que pode usar.
  • Resolva vulnerabilidades nos seus artefactos. Pode usar a API de análise a pedido para analisar imagens de contentores quanto a vulnerabilidades antes de as armazenar no Artifact Registry. A análise de artefactos também pode analisar contentores que envia para o Artifact Registry.

Repositórios públicos do Artifact Registry

Pode tornar um repositório do Artifact Registry público concedendo a função de leitor do Artifact Registry à identidade allUsers.

Se todos os seus utilizadores tiverem Google Cloud contas, pode limitar o acesso a utilizadores autenticados com a identidade allAuthenticatedUsers.

Considere as seguintes diretrizes antes de tornar público um repositório do Artifact Registry:

  • Verifique se todos os artefactos que armazena no repositório são partilháveis publicamente e não expõem credenciais, dados pessoais nem dados confidenciais.
  • Por predefinição, os projetos têm quotas ilimitadas por utilizador. Para evitar a utilização abusiva, limite as quotas por utilizador no seu projeto.
- É-lhe cobrada a transferência de dados de rede quando os utilizadores transferem artefactos. Se esperar um grande volume de tráfego de transferência da Internet, considere os custos associados.

Orientações para aplicações Web

  • A OWASP Top 10 indica os principais riscos de segurança de apps Web de acordo com o Open Web Application Security Project (OSWAP).

Orientações para contentores

  • O Center for Internet Security (CIS) tem uma referência do Docker para avaliar a segurança de um contentor do Docker.

    O Docker fornece um script de código aberto denominado Docker Bench for Security. Pode usar o script para validar um contentor Docker em execução de acordo com a norma CIS Docker Benchmark.

    O Docker Bench For Security pode ajudar a validar muitos itens no CIS Docker Benchmark, mas nem todos os itens são validáveis com o script. Por exemplo, o script não pode validar se o anfitrião do contentor está protegido ou se a imagem do contentor inclui dados pessoais. Reveja todos os itens na referência e identifique os que podem precisar de validação adicional.

O que se segue?

Saiba mais acerca da gestão de dependências