Mengontrol akses dan melindungi artefak

Halaman ini menjelaskan layanan dan fitur Google Cloud yang membantu Anda mengamankan artefak.

Enkripsi dalam penyimpanan

Secara default, Google Cloud otomatis mengenkripsi data saat dalam penyimpanan menggunakan kunci enkripsi yang dikelola oleh Google. Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus terkait kunci yang melindungi data, Anda dapat membuat repositori yang dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Kontrol akses

Secara default, semua repositori bersifat pribadi. Ikuti prinsip keamanan hak istimewa terendah dan hanya berikan izin minimum yang diperlukan oleh pengguna dan akun layanan.

Membatasi download artefak

Anda dapat membatasi download artefak dengan aturan download. Aturan download memungkinkan Anda mengizinkan atau menolak download artefak dari repositori dan paket. Anda juga dapat menetapkan kondisi agar aturan berlaku untuk tag atau versi tertentu.

Untuk setiap repositori dalam project, Anda dapat memiliki satu aturan download di level repositori dan satu aturan download per paket. Saat klien mencoba mendownload, Artifact Registry akan memeriksa aturan download terlebih dahulu pada paket artefak. Jika aturan tidak ada, atau kondisi aturan tidak diterapkan ke artefak, Artifact Registry akan memeriksa aturan di repositori.

Misalnya, Anda dapat membuat aturan untuk repositori guna menolak semua download, lalu membuat aturan untuk paket guna mengizinkan download dari paket tertentu tersebut. Aturan tingkat paket lebih diutamakan dan hanya artefak yang termasuk dalam paket tersebut yang dapat didownload dari repositori.

Aturan download tersedia di semua mode repositori dan untuk format repositori berikut:

• Docker
• Go
• Maven
• npm
• Python

Mencegah pemindahan data yang tidak sah

Untuk mencegah pemindahan data yang tidak sah, Anda dapat menggunakan Kontrol Layanan VPC untuk menempatkan Artifact Registry dan layanan Google Cloud lainnya di perimeter keamanan jaringan.

Pemindaian kerentanan

Artifact Analysis dapat memindai image container untuk menemukan kerentanan keamanan pada paket yang dipantau secara publik.

Tersedia opsi-opsi berikut:

Pemindaian kerentanan otomatis

Jika diaktifkan, fitur ini mengidentifikasi kerentanan paket pada image container Anda. Image dipindai saat diupload ke Artifact Registry dan datanya terus dipantau untuk menemukan kerentanan baru hingga 30 hari setelah image dikirim.

On-Demand Scanning API

Jika diaktifkan, Anda dapat memindai image lokal atau image yang disimpan di Artifact Registry secara manual. Fitur ini membantu Anda mendeteksi dan mengatasi kerentanan sejak awal di pipeline build Anda. Misalnya, Anda dapat menggunakan Cloud Build untuk memindai image setelah di-build, lalu memblokir upload ke Artifact Registry jika pemindaian mendeteksi kerentanan pada tingkat keparahan yang ditentukan. Jika Anda juga mengaktifkan pemindaian kerentanan otomatis, Artifact Analysis juga akan memindai image yang Anda upload ke registry.

Kebijakan deployment

Anda dapat menggunakan Otorisasi Biner untuk mengonfigurasi kebijakan yang diberlakukan layanan saat ada upaya untuk men-deploy image container ke salah satu lingkungan Google Cloud yang didukung.

Misalnya, Anda dapat mengonfigurasi Otorisasi Biner agar hanya mengizinkan deployment jika image ditandatangani untuk mematuhi kebijakan pemindaian kerentanan.

Menghapus gambar yang tidak digunakan

Hapus image penampung yang tidak digunakan untuk mengurangi biaya penyimpanan dan memitigasi risiko penggunaan software lama. Ada sejumlah alat yang tersedia untuk membantu tugas ini, termasuk gcr-cleaner. Alat gcr-cleaner bukan merupakan produk resmi Google.

Shifting left on security

Mengintegrasikan tujuan keamanan informasi ke dalam pekerjaan sehari-hari dapat membantu meningkatkan performa pengiriman software dan membangun sistem yang lebih aman. Ide ini juga dikenal sebagai menguji kemampuan awal, karena masalah, termasuk masalah keamanan, ditangani lebih awal dalam siklus proses pengembangan software (yaitu, di sebelah kiri dalam diagram jadwal kiri ke kanan). Menjalankan pengujian keamanan sejak awal adalah salah satu kemampuan DevOps yang diidentifikasi dalam program riset DORA State of DevOps.

Untuk mempelajari lebih lanjut:

• Baca tentang kemampuan Mengalihkan ke kiri dalam keamanan.
• Baca laporan resmi Shifting left on security, yang menjelaskan tanggung jawab, praktik, proses, alat, dan teknik yang meningkatkan kepercayaan pada siklus proses pengembangan software (SDLC) dan mengurangi masalah risiko keamanan.

Pertimbangan untuk repositori publik

Pertimbangkan dengan cermat kasus berikut:

• Penggunaan artefak dari sumber publik
• Membuat repositori Artifact Registry Anda sendiri menjadi publik

Menggunakan artefak dari sumber publik

Sumber artefak publik berikut menyediakan alat yang mungkin Anda gunakan atau dependensi untuk build dan deployment:

• GitHub
• Docker Hub
• PyPI
• Registry publik npm

Namun, organisasi Anda mungkin memiliki batasan yang memengaruhi penggunaan artefak publik. Contoh:

• Anda ingin mengontrol konten supply chain software Anda.
• Anda tidak ingin bergantung pada repositori eksternal.
• Anda ingin mengontrol kerentanan di lingkungan produksi dengan ketat.
• Anda menginginkan sistem operasi dasar yang sama di setiap image.

Pertimbangkan pendekatan berikut untuk mengamankan supply chain software Anda:

• Siapkan build otomatis agar artefak Anda memiliki konten yang konsisten dan dikenal. Anda dapat menggunakan pemicu build Cloud Build atau alat continuous integration lainnya.

• Gunakan image dasar standar. Google menyediakan beberapa image dasar yang dapat Anda gunakan.

• Atasi kerentanan pada artefak Anda. Anda dapat menggunakan On-Demand Scanning API untuk memindai kerentanan pada image container sebelum menyimpannya di Artifact Registry. Artifact Analysis juga dapat memindai container yang Anda kirim ke Artifact Registry.

• Terapkan standar internal Anda pada deployment image. Otorisasi Biner memberikan penerapan untuk deployment image container ke lingkungan Google Cloud yang didukung.

Repositori Artifact Registry publik

Anda dapat membuat repositori Artifact Registry bersifat publik dengan memberikan peran Artifact Registry Reader ke identitas allUsers.

Jika semua pengguna memiliki akun Google Cloud, Anda dapat membatasi akses ke pengguna yang diautentikasi dengan identitas allAuthenticatedUsers.

Pertimbangkan panduan berikut sebelum membuat repositori Artifact Registry menjadi publik:

• Verifikasi bahwa semua artefak yang Anda simpan di repositori dapat dibagikan secara publik dan tidak mengekspos kredensial, data pribadi, atau data rahasia.
• Secara default, project memiliki kuota per pengguna yang tidak terbatas. Untuk mencegah penyalahgunaan, batasi kuota per pengguna dalam project Anda.
• Anda akan ditagih untuk transfer data jaringan saat pengguna mendownload artefak. Jika Anda memperkirakan akan ada banyak traffic download internet, pertimbangkan biaya yang terkait.

Panduan untuk aplikasi web

• 10 Teratas OWASP mencantumkan risiko keamanan aplikasi web teratas menurut Project Keamanan Aplikasi Web Terbuka (OSWAP).

Panduan untuk penampung

• Praktik terbaik Docker menyertakan rekomendasi untuk mem-build image.

• Center for Internet Security (CIS) memiliki Tolok Ukur Docker untuk mengevaluasi keamanan penampung Docker.

  Docker menyediakan skrip open source yang disebut Docker Bench for Security. Anda dapat menggunakan skrip untuk memvalidasi container Docker yang berjalan dengan Tolok Ukur Docker CIS.

  Docker Bench For Security dapat membantu Anda memverifikasi banyak item dalam CIS Docker Benchmark, tetapi tidak semua item dapat diverifikasi dengan skrip. Misalnya, skrip tidak dapat memverifikasi apakah host untuk penampung di-harden atau apakah image penampung menyertakan data pribadi. Tinjau semua item dalam benchmark dan identifikasi item yang mungkin memerlukan verifikasi tambahan.

Langkah selanjutnya

Pelajari manajemen dependensi lebih lanjut