Controlla l'accesso e proteggi gli artefatti

Questa pagina descrive i servizi e le funzionalità di Google Cloud che ti aiutano a: per salvaguardare i tuoi artefatti.

Crittografia dei dati inattivi

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono rest utilizzando chiavi di crittografia. gestiti da Google. Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi creare repository criptati con chiavi di crittografia gestite dal cliente (CMEK).

Controllo degli accessi

Per impostazione predefinita, tutti i repository sono privati. Seguire il principio di sicurezza il privilegio minimo e concedere solo le autorizzazioni minime sono richieste da utenti e account di servizio.

Prevenzione dell'esfiltrazione di dati

Per impedire l'esfiltrazione di dati, puoi utilizzare Controlli di servizio VPC collocare Artifact Registry e altri servizi Google Cloud in una rete perimetro di sicurezza.

Analisi delle vulnerabilità

Artifact Analysis può analizzare le immagini container per rilevare vulnerabilità di sicurezza nei pacchetti monitorati pubblicamente.

Sono disponibili le seguenti opzioni:

Analisi automatica delle vulnerabilità

Se abilitata, questa funzionalità identifica le vulnerabilità dei pacchetti nel tuo immagini container. Le immagini vengono sottoposte a scansione quando vengono caricate in Artifact Registry e i dati vengono monitorati continuamente per trovare nuove vulnerabilità fino a 30 giorni dopo il push dell'immagine.

API On-Demand Scanning

Quando l'opzione è attiva, puoi scansionare manualmente le immagini locali o le immagini archiviate in Artifact Registry. Questa funzionalità ti aiuta a rilevare e risolvere le vulnerabilità nelle prime fasi della pipeline di compilazione. Ad esempio, puoi utilizzare Cloud Build per eseguire la scansione di un'immagine dopo e poi bloccare il caricamento su Artifact Registry se la scansione rileva vulnerabilità a un livello di gravità specificato. Se hai anche attivato l'analisi automatica delle vulnerabilità, Artifact Analysis scansiona anche le immagini che carichi nel registry.

Criterio di deployment

Puoi utilizzare Autorizzazione binaria per configurare un che il servizio applica quando si tenta di eseguire il deployment container in uno degli ambienti Google Cloud supportati.

Ad esempio, puoi configurare Autorizzazione binaria in modo da consentire i deployment solo se l'immagine è stata firmata per garantire la conformità a un criterio di analisi delle vulnerabilità.

Rimozione delle immagini inutilizzate

Rimuovi le immagini container inutilizzate per ridurre i costi di archiviazione e mitigare i rischi di utilizzando software meno recenti. Esistono diversi strumenti disponibili per aiutarti a svolgere questa attività, tra cui gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto ufficiale di Google.

Sicurezza fin dalle prime fasi

Integrare gli obiettivi di sicurezza delle informazioni nel lavoro quotidiano può contribuire ad aumentare delle prestazioni di distribuzione del software e creare sistemi più sicuri. Questo approccio è noto anche come spostamento a sinistra, perché i problemi, inclusi quelli di sicurezza, vengono affrontati prima nel ciclo di vita di sviluppo del software (ovvero a sinistra in un diagramma di pianificazione da sinistra a destra). Spostarsi a sinistra sulla sicurezza è una delle DevOps funzionalità identificate Programma di ricerca DORA State of DevOps.

Per saperne di più:

• Scopri di più sulle Passaggio alla sicurezza sempre attiva funzionalità.
• Leggi il white paper Shifting left on security, che descrive responsabilità, pratiche, processi, strumenti e tecniche che aumentano la fiducia nel ciclo di vita dello sviluppo del software (SDLC) e riducono i rischi per la sicurezza.

Considerazioni sui repository pubblici

Considera attentamente i seguenti casi:

• Utilizzo di elementi da fonti pubbliche
• Rendere pubblici i tuoi repository Artifact Registry

Utilizzo di artefatti da fonti pubbliche

Le seguenti fonti pubbliche di elementi forniscono strumenti che potresti utilizzare o per le build e i deployment:

• GitHub
• Hub Docker
• PyPI
• Registry pubblico npm

Tuttavia, la tua organizzazione potrebbe avere vincoli che influiscono sull'uso dei artefatti pubblici. Ad esempio:

• Vuoi controllare i contenuti della catena di fornitura del software.
• Non è necessario dipendere da un repository esterno.
• Vuoi controllare rigorosamente le vulnerabilità nel tuo ambiente di produzione.
• Vuoi lo stesso sistema operativo di base in ogni immagine.

Prendi in considerazione i seguenti approcci per proteggere la tua catena di fornitura del software:

• Configura le build automatiche in modo che gli elementi abbiano contenuti coerenti e noti. Puoi utilizzare Cloud Build trigger di build o altro strumenti di integrazione continua.

• Utilizza immagini di base standardizzate. Google offre alcune immagini di base che puoi utilizzare.

• Risolvi le vulnerabilità nei tuoi artefatti. Puoi utilizzare API On-Demand Scanning per analizzare le immagini container per individuare le vulnerabilità prima di archiviarle Artifact Registry. Artifact Analysis può anche eseguire la scansione dei container che esegui il push in Artifact Registry.

• Applica i tuoi standard interni sui deployment delle immagini. Autorizzazione binaria fornisce l'applicazione dei deployment delle immagini container ambienti Google Cloud supportati.

Repository pubblici Artifact Registry

Puoi rendere pubblico un repository Artifact Registry concedendo il ruolo Lettore Artifact Registry all'identità allUsers.

Se tutti i tuoi utenti hanno account Google Cloud, puoi limitare l'accesso agli utenti autenticati con l'identità allAuthenticatedUsers.

Considera le seguenti linee guida prima di creare un Artifact Registry repository pubblico:

• Verifica che tutti gli artefatti archiviati nel repository siano condivisibili pubblicamente e non esporre credenziali, dati personali o dati riservati.
• Per impostazione predefinita, i progetti hanno una quota per utente illimitata. A prevenire comportamenti illeciti, limita la quota per utente progetto.
• Ti viene addebitato il costo del trasferimento di dati di rete quando gli utenti scaricano gli artefatti. Se prevedi un numero elevato di download per il traffico, considera i costi associati.

Indicazioni per le applicazioni web

• La lista OWASP Top 10 elenca i principali rischi per la sicurezza delle applicazioni web secondo l'Open Web Application Security Project (OSWAP).

Indicazioni per i container

• Best practice di Docker include consigli per creare immagini.

• Center for Internet Security (CIS) dispone di un Docker Benchmark per valutare la sicurezza di un container Docker.

  Docker fornisce uno script open source chiamato DockerBench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto a CIS Benchmark Docker.

  Docker Bench For Security può aiutarti a verificare molti elementi nel Docker CIS Benchmark, ma non tutti gli elementi sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host del container è protetto o se l'immagine container include dati personali. Rivedi tutti gli elementi in benchmark e identificare quelli che potrebbero richiedere ulteriori verifiche.

Passaggi successivi

Scopri di più sulla gestione delle dipendenze