Controllare l'accesso e proteggere gli elementi

Questa pagina descrive i servizi e le funzionalità che ti aiutano a proteggere gli artefatti. Google Cloud

Crittografia dei dati inattivi

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono in stato inattivo utilizzando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i tuoi dati, puoi creare repository criptati con chiavi di crittografia gestite dal cliente (CMEK).

Controllo degli accessi

Per impostazione predefinita, tutti i repository sono privati. Segui il principio di sicurezza del privilegio minimo e concedi solo le autorizzazioni minime richieste da utenti e service account.

Limitare i download degli artefatti

Puoi limitare i download di artefatti con le regole di download. Le regole di download consentono o negano i download di artefatti dai repository e dai pacchetti. Puoi anche impostare condizioni in modo che la regola si applichi a tag o versioni specifici.

Per ogni repository del progetto, puoi avere una regola di download a livello di repository e una regola di download per pacchetto. Quando un client tenta un download, Artifact Registry controlla innanzitutto una regola di download nel pacchetto dell'artefatto. Se una regola non esiste o le condizioni della regola non si applicano all'artefatto, Artifact Registry cerca una regola nel repository.

Ad esempio, puoi creare una regola per il tuo repository per negare tutti i download e poi creare una regola per un pacchetto per consentire i download da quel pacchetto specifico. La regola a livello di pacchetto ha la precedenza e solo gli artefatti appartenenti a quel pacchetto possono essere scaricati dal repository.

Le regole di download sono disponibili in tutte le modalità del repository e per i seguenti formati del repository:

• Docker
• Vai
• Maven
• npm
• Python

Prevenzione dell'esfiltrazione di dati

Per impedire l'esfiltrazione di dati, puoi utilizzare i controlli di servizio VPC per inserire Artifact Registry e altri servizi Google Cloud in un perimetro di sicurezza di rete.

Analisi delle vulnerabilità

Artifact Analysis può analizzare le immagini container per rilevare vulnerabilità di sicurezza nei pacchetti monitorati pubblicamente.

Sono disponibili le seguenti opzioni:

Analisi automatica delle vulnerabilità

Se attivata, questa funzionalità identifica le vulnerabilità dei pacchetti nelle immagini container. Le immagini vengono scansionate quando vengono caricate in Artifact Registry e i dati vengono monitorati continuamente per rilevare nuove vulnerabilità fino a 30 giorni dopo il push dell'immagine.

API On-Demand Scanning

Se abilitata, puoi eseguire manualmente la scansione delle immagini locali o di quelle archiviate in Artifact Registry. Questa funzionalità ti aiuta a rilevare e risolvere le vulnerabilità nelle prime fasi della pipeline di build. Ad esempio, puoi utilizzare Cloud Build per analizzare un'immagine dopo la sua creazione e poi bloccare il caricamento su Artifact Registry se l'analisi rileva vulnerabilità a un livello di gravità specificato. Se hai abilitato anche l'analisi automatica delle vulnerabilità, Artifact Analysis esegue la scansione anche delle immagini che carichi nel registro.

Policy di deployment

Puoi utilizzare Autorizzazione binaria per configurare un criterio che il servizio applica quando viene effettuato un tentativo di deployment di un'immagine container in uno degli ambienti supportati Google Cloud .

Ad esempio, puoi configurare l'autorizzazione binaria in modo che consenta i deployment solo se un'immagine è firmata per la conformità a un criterio di analisi delle vulnerabilità.

Rimozione delle immagini inutilizzate

Rimuovi le immagini container non utilizzate per ridurre i costi di archiviazione e mitigare i rischi dell'utilizzo di software meno recenti. Esistono diversi strumenti disponibili per aiutarti in questa attività, tra cui gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto Google ufficiale.

Sicurezza fin dalle prime fasi

L'integrazione degli obiettivi di sicurezza delle informazioni nel lavoro quotidiano può contribuire ad aumentare le prestazioni di distribuzione del software e a creare sistemi più sicuri. Questa idea è anche nota come shifting left, perché i problemi, inclusi quelli di sicurezza, vengono affrontati nelle prime fasi del ciclo di vita di sviluppo del software (ovvero a sinistra in un diagramma di pianificazione da sinistra a destra). Lo spostamento a sinistra della sicurezza è una delle funzionalità DevOps identificate nel programma di ricerca DORA State of DevOps.

Per saperne di più:

• Scopri di più sulla funzionalità Sicurezza fin dalle prime fasi.
• Leggi il white paper Shifting left on security, che descrive responsabilità, pratiche, processi, strumenti e tecniche che aumentano la fiducia nel ciclo di vita dello sviluppo del software (SDLC) e riducono i rischi per la sicurezza.

Considerazioni per i repository pubblici

Valuta attentamente i seguenti casi:

• Utilizzo di artefatti provenienti da fonti pubbliche
• Rendere pubblici i tuoi repository Artifact Registry

Utilizzo di artefatti provenienti da fonti pubbliche

Le seguenti origini pubbliche di artefatti forniscono strumenti che potresti utilizzare o dipendenze per le tue build e i tuoi deployment:

• GitHub
• Docker Hub
• PyPI
• npm public registry

Tuttavia, la tua organizzazione potrebbe avere vincoli che influiscono sul tuo utilizzo degli artefatti pubblici. Ad esempio:

• Vuoi controllare i contenuti della tua catena di fornitura del software.
• Non vuoi dipendere da un repository esterno.
• Vuoi controllare rigorosamente le vulnerabilità nel tuo ambiente di produzione.
• Vuoi lo stesso sistema operativo di base in ogni immagine.

Per proteggere la catena di fornitura del software, valuta i seguenti approcci:

• Configura le build automatiche in modo che gli artefatti abbiano contenuti coerenti e noti. Puoi utilizzare i trigger di build di Cloud Build o altri strumenti di integrazione continua.

• Utilizza immagini di base standardizzate. Google fornisce alcune immagini di base che puoi utilizzare.

• Risolvi le vulnerabilità nei tuoi artefatti. Puoi utilizzare l'API On-Demand Scanning per analizzare le vulnerabilità delle immagini container prima di archiviarle in Artifact Registry. Artifact Analysis può anche eseguire la scansione dei container di cui esegui il push in Artifact Registry.

• Applica i tuoi standard interni ai deployment delle immagini. Autorizzazione binaria fornisce l'applicazione per i deployment di immagini container negli ambienti supportati Google Cloud .

Repository Artifact Registry pubblici

Puoi rendere pubblico un repository Artifact Registry concedendo il ruolo Lettore Artifact Registry all'identità allUsers.

Se tutti i tuoi utenti hanno Google Cloud account, puoi limitare l'accesso agli utenti autenticati con l'identità allAuthenticatedUsers.

Prima di rendere pubblico un repository Artifact Registry, tieni presente le seguenti linee guida:

• Verifica che tutti gli artefatti archiviati nel repository siano condivisibili pubblicamente e non espongano credenziali, dati personali o dati riservati.
• Per impostazione predefinita, i progetti prevedono quote per utente illimitate. Per prevenire abusi, limita le quote per utente all'interno del progetto.

- Ti viene addebitato il trasferimento dei dati di rete quando gli utenti scaricano gli artefatti. Se prevedi un traffico di download da internet elevato, considera i costi associati.

Indicazioni per le applicazioni web

• L'elenco OWASP Top 10 riporta i principali rischi per la sicurezza delle applicazioni web secondo l'Open Web Application Security Project (OSWAP).

Indicazioni per i container

• Le best practice di Docker includono consigli per la creazione di immagini.

• Il Center for Internet Security (CIS) ha un benchmark Docker per valutare la sicurezza di un container Docker.

  Docker fornisce uno script open source chiamato Docker Bench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto al benchmark CIS Docker.

  Docker Bench For Security può aiutarti a verificare molti elementi del CIS Docker Benchmark, ma non tutti sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host del container è protetto o se l'immagine container include dati personali. Esamina tutti gli elementi nel benchmark e identifica quelli che potrebbero richiedere una verifica aggiuntiva.

Passaggi successivi

Scopri di più sulla gestione delle dipendenze