Zugriff steuern und Artefakte schützen

Auf dieser Seite werden Google Cloud-Dienste und -Features beschrieben, mit denen Sie Ihre Artefakte schützen können.

Verschlüsselung inaktiver Daten

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder regulatorische Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie Repositories erstellen, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt sind.

Zugriffssteuerung

Standardmäßig sind alle Repositories privat. Folgen Sie dem Sicherheitsprinzip der geringsten Berechtigung und gewähren Sie nur die Mindestberechtigungen, die für Nutzer und Dienstkonten erforderlich sind.

Daten-Exfiltration verhindern

Zur Vermeidung einer Daten-Exfiltration können Sie mit VPC Service Controls Artifact Registry und andere Google Cloud-Dienste in einem Netzwerksicherheitsperimeter platzieren.

Scannen auf Sicherheitslücken

Mit der Artefaktanalyse können Container-Images in öffentlich überwachten Paketen auf Sicherheitslücken gescannt werden.

Folgende Optionen sind verfügbar:

Automatisches Scannen auf Sicherheitslücken
Wenn dieses Feature aktiviert ist, werden Sicherheitslücken von Paketen in Ihren Container-Images erkannt. Images werden beim Hochladen in Artifact Registry gescannt und die Daten bis zu 30 Tage nach dem Übertragen des Images kontinuierlich auf neue Sicherheitslücken überwacht.
On-Demand Scanning API
Wenn diese Option aktiviert ist, können Sie lokale Images oder in Artifact Registry gespeicherte Images manuell scannen. Mit diesem Feature können Sie Sicherheitslücken frühzeitig in der Build-Pipeline erkennen und beheben. Beispielsweise können Sie mit Cloud Build ein Image nach seiner Erstellung scannen und dann den Upload in Artifact Registry blockieren, wenn beim Scan Sicherheitslücken mit einem bestimmten Schweregrad erkannt werden. Wenn Sie außerdem das automatische Scannen auf Sicherheitslücken aktiviert haben, scannt die Artefaktanalyse auch die Images, die Sie in die Registry hochladen.

Deployment-Richtlinie

Mit der Binärautorisierung können Sie eine Richtlinie konfigurieren, die der Dienst erzwingt, wenn versucht wird, ein Container-Image in einer der unterstützten Google Cloud-Umgebungen bereitzustellen.

Sie können die Binärautorisierung beispielsweise so konfigurieren, dass Bereitstellungen nur dann zugelassen werden, wenn ein Image im Sinne einer Richtlinie für das Scannen auf Sicherheitslücken signiert ist.

Nicht verwendete Images entfernen

Entfernen Sie nicht verwendete Container-Images, um die Speicherkosten zu senken und das Risiko zu verringern, dass ältere Software verwendet wird. Es gibt eine Reihe von Tools, die Ihnen bei dieser Aufgabe helfen können, einschließlich gcr-cleaner. Das gcr-cleaner-Tool ist kein offizielles Google-Produkt.

Ein Linksruck bei der Sicherheit

Die Einbindung von Zielen der Informationssicherheit in die tägliche Arbeit kann dazu beitragen, die Leistung der Softwarebereitstellung zu steigern und sicherere Systeme aufzubauen. Diese Idee wird auch als Linksverschiebung bezeichnet, da Bedenken, einschließlich Sicherheitsbedenken, früher im Softwareentwicklungszyklus angegangen werden (d. h. in einem linksläufigen Zeitplandiagramm belassen werden). Der Linkswechsel bei der Sicherheit ist eine der DevOps-Fähigkeiten, die im „State of DevOps“-Forschungsprogramm des DORA-Teams identifiziert werden.

Weitere Informationen:

  • Weitere Informationen zur Funktion Linksverschiebung bei der Sicherheit
  • Lesen Sie das Whitepaper Shifting left on security. Darin werden Verantwortlichkeiten, Praktiken, Prozesse, Tools und Techniken beschrieben, die das Vertrauen in den Softwareentwicklungszyklus (SDLC) stärken und Sicherheitsrisiken reduzieren.

Hinweise zu öffentlichen Repositories

Beachten Sie folgende Fälle:

  • Verwendung von Artefakten aus öffentlichen Quellen
  • Eigene Artifact Registry-Repositories veröffentlichen

Artefakte aus öffentlichen Quellen verwenden

Öffentliche Artefaktequellen wie GitHub, Docker Hub, PyPI oder die öffentliche npm-Registry bieten Tools, die Sie für Ihre Builds und Bereitstellungen verwenden können, oder Abhängigkeiten.

In Ihrer Organisation kann es jedoch Einschränkungen geben, die sich auf die Verwendung öffentlicher Artefakte auswirken. Beispiel:

  • Sie möchten den Inhalt Ihrer Softwarelieferkette kontrollieren.
  • Sie möchten nicht auf ein externes Repository angewiesen sein.
  • Sie möchten Sicherheitslücken in Ihrer Produktionsumgebung streng kontrollieren.
  • Sie wünschen in jedem Image dasselbe Basisbetriebssystem.

Betrachten Sie die folgenden Ansätze, um Ihre Softwarelieferkette abzusichern:

  • Richten Sie automatische Builds ein, damit Ihre Artefakte konsistente, bekannte Inhalte haben. Sie können Build-Trigger von Cloud Build oder andere Tools für die kontinuierliche Integration verwenden.
  • Verwenden Sie standardisierte Basis-Images. Google stellt einige Basis-Images zur Verfügung, die Sie verwenden können.
  • Beheben Sie Sicherheitslücken in Ihren Artefakten. Mit der On-Demand Scanning API können Sie Container-Images auf Sicherheitslücken scannen, bevor Sie sie in Artifact Registry speichern. Die Artefaktanalyse kann auch Container scannen, die Sie per Push in Artifact Registry übertragen.
  • Interne Standards für die Bereitstellung von Images erzwingen. Mit der Binärautorisierung können Sie Container-Image-Bereitstellungen in unterstützten Google Cloud-Umgebungen erzwingen.

Überlegungen zu öffentlichen Images

Public Artifact Registry-Repositories

Sie können ein Artifact Registry-Repository öffentlich machen, indem Sie der Identität allUsers die Rolle „Artifact Registry-Leser“ zuweisen.

Wenn alle Nutzer Google Cloud-Konten haben, können Sie den Zugriff auf authentifizierte Nutzer stattdessen mit der Identität allAuthenticatedUsers beschränken.

Beachten Sie die folgenden Richtlinien, bevor Sie ein Artifact Registry-Repository veröffentlichen:

  • Achten Sie darauf, dass alle Artefakte, die Sie im Repository speichern, öffentlich geteilt werden können und keine Anmeldedaten, personenbezogenen Daten oder vertraulichen Daten offenlegen.
  • Wenn Nutzer Artefakte herunterladen, wird Ihnen die Netzwerkdatenübertragung in Rechnung gestellt. Wenn Sie einen hohen Internet-Download-Traffic erwarten, sollten Sie die damit verbundenen Kosten berücksichtigen.
  • Standardmäßig haben Projekte ein unbegrenztes nutzerbezogenes Kontingent. Um Missbrauch zu verhindern, begrenzen Sie das Nutzerkontingent in Ihrem Projekt.

Anleitung für Webanwendungen

  • In den OWASP Top 10 werden die laut Open Web Application Security Project (OSWAP) am häufigsten genutzten Sicherheitsrisiken für Webanwendungen aufgeführt.

Anleitung für Container

  • Unter Best Practices für die Containererstellung finden Sie auch Empfehlungen zum Erstellen von Containern.

    Sie können auch die Best Practices für Docker zum Erstellen von Images lesen.

  • Die Best Practices für den Betrieb von Containern umfassen Empfehlungen für Sicherheit, Monitoring und Logging, die das Ausführen von Anwendungen in Google Kubernetes Engine und in Containern im Allgemeinen erleichtern.

  • Das Center for Internet Security (CIS) bietet eine Docker-Benchmark zur Bewertung der Sicherheit eines Docker-Containers.

    Außerdem stellt Docker ein Open-Source-Skript namens Docker Bench for Security bereit. Mit diesem Skript können Sie einen laufenden Docker-Container anhand der CIS-Docker-Benchmark prüfen.

    Mit Docker Bench for Security lassen sich viele Elemente der CIS-Docker-Benchmark prüfen, allerdings nicht alle. Beispielsweise kann das Skript nicht feststellen, ob der Host für den Container gehärtet ist oder ob das Container-Image personenbezogene Daten enthält. Sehen Sie sich alle Elemente der Benchmark an und identifizieren Sie diejenigen, die möglicherweise zusätzlich geprüft werden müssen.

Nächste Schritte

Weitere Informationen zum Abhängigkeitsmanagement