Controla el acceso y protege los artefactos

En esta página, se describen los servicios y las funciones de Google Cloud que te ayudan a hacer lo siguiente: proteger tus artefactos.

Encriptación en reposo

De forma predeterminada, Google Cloud encripta los datos cuando están en reposo de manera automática mediante claves de encriptación administradas por Google. Si tienes requisitos reglamentarios o de cumplimiento específicos relacionadas con las claves que protegen tus datos, puedes crear repositorios se encriptan con claves de encriptación administradas por el cliente (CMEK).

Control de acceso

De forma predeterminada, todos los repositorios son privados. Sigue el principio de seguridad de privilegio mínimo y solo otorga los permisos mínimos que son obligatorios para los usuarios y las cuentas de servicio.

Impide el robo de datos

Para evitar el robo de datos, puedes usar los Controles del servicio de VPC para colocar Artifact Registry y otros servicios de Google Cloud en una red perímetro de seguridad en la nube.

Análisis de vulnerabilidades

Artifact Analysis puede analizar imágenes de contenedores en busca de vulnerabilidades de seguridad en paquetes supervisados públicamente.

Las siguientes opciones están disponibles:

Análisis de vulnerabilidades automático

Cuando se habilita, esta función identifica vulnerabilidades de paquetes en tu imágenes de contenedor. Las imágenes se analizan cuando se suben a Artifact Registry y se supervisan continuamente los datos para encontrar nuevos vulnerabilidades por hasta 30 días después de enviar la imagen.

API de On-Demand Scanning

Cuando esta opción está habilitada, puedes buscar manualmente las imágenes locales o las imágenes almacenadas en Artifact Registry. Esta función te ayuda a detectar y abordar las vulnerabilidades de forma anticipada en la canalización de compilación. Por ejemplo, puedes usar Cloud Build para analizar una imagen y, luego, carga de bloque a Artifact Registry si el análisis detecta vulnerabilidades en un nivel de gravedad específico. Si también habilitó el análisis automático de vulnerabilidades, y Artifact Analysis también analiza las imágenes que subiste al registro.

Política de implementación

Puedes usar la Autorización Binaria para configurar una política que el servicio aplica cuando se intenta implementar una de contenedores a uno de los entornos de Google Cloud compatibles.

Por ejemplo, puedes configurar la autorización binaria para permitir implementaciones solo si se se firma para cumplir con una política de análisis de vulnerabilidades.

Cómo quitar imágenes que no se usan

Quita las imágenes de contenedor sin usar para reducir los costos de almacenamiento y mitigar los riesgos de con un software más antiguo. Existen varias herramientas disponibles para ayudarte con esta tarea, incluido gcr-cleaner. La herramienta gcr-cleaner no es un producto oficial de Google.

Desplazamiento a la izquierda en seguridad

Integrar los objetivos de seguridad de la información en el trabajo diario puede ayudar a aumentar el rendimiento de la entrega de software y compilar sistemas más seguros. Esta idea también es conocida como desplazamiento hacia la izquierda, porque las inquietudes, incluidas las de seguridad, abordamos anteriormente en el ciclo de vida del desarrollo de software (es decir, se dejó en diagrama de programación de izquierda a derecha). La detección temprana en la seguridad es una de DevOps capacidades identificadas en el Programa de investigación del estado de DevOps de DORA.

Para obtener más información, haz lo siguiente:

• Lee acerca de las Detección temprana de errores de recuperación ante desastres.
• Leer el informe Detección temprana de errores, que describe las responsabilidades, prácticas, procesos, herramientas y técnicas que aumentar la confianza en el ciclo de vida de desarrollo de software (SDLC) y reducir de riesgos de seguridad.

Consideraciones para repositorios públicos

Considera cuidadosamente los siguientes casos:

• Uso de artefactos de fuentes públicas
• Haz públicos tus propios repositorios de Artifact Registry

Usar artefactos de fuentes públicas

Las siguientes fuentes públicas de artefactos proporcionan herramientas que puedes usar o dependencias para tus implementaciones y compilaciones:

• GitHub
• Docker Hub
• PyPI
• registro público de npm

Sin embargo, es posible que tu organización tenga restricciones que afecten el uso de artefactos públicos. Por ejemplo:

• Quieres controlar el contenido de tu cadena de suministro de software.
• No quieres depender de un repositorio externo.
• Quieres controlar estrictamente las vulnerabilidades en tu entorno de producción.
• Quieres tener el mismo sistema operativo de base en cada imagen.

Considera los siguientes enfoques para proteger tu cadena de suministro de software:

• Configura compilaciones automáticas para que tus artefactos tengan conocimiento y coherencia contenido. Puedes usar Cloud Build activadores de compilación y otros herramientas de integración continua.

• Usa imágenes base estandarizadas. Google proporciona algunas imágenes base que puedes utilizar.

• Aborda las vulnerabilidades en tus artefactos. Puedes usar API de On-Demand Scanning para analizar imágenes de contenedores en busca de vulnerabilidades antes de almacenarlas Artifact Registry. Artifact Analysis también puede analizar los contenedores que envías a Artifact Registry.

• Aplica tus estándares internos en las implementaciones de imágenes. La Autorización Binaria brinda aplicación para implementaciones de imágenes de contenedor entornos de Google Cloud compatibles.

Repositorios públicos de Artifact Registry

Puedes hacer público un repositorio de Artifact Registry otorgando el rol de Lector de Artifact Registry en la identidad de allUsers.

Si todos tus usuarios tienen cuentas de Google Cloud, puedes limitar el acceso a usuarios autenticados con la identidad allAuthenticatedUsers.

Ten en cuenta los siguientes lineamientos antes de crear un Artifact Registry repositorio público:

• Verifica que todos los artefactos que almacenes en el repositorio se puedan compartir de forma pública y no expongas credenciales, datos personales ni datos confidenciales.
• De forma predeterminada, los proyectos tienen una cuota ilimitada por usuario. Para evitar abusos, limitar la cuota por usuario en tu en un proyecto final.
• Se te cobra por la transferencia de datos de red cuando los usuarios descargan artefactos. Si esperas que se descarguen muchas descargas de Internet tráfico, considera los costos asociados.

Guía para aplicaciones web

• Las 10 principales de OWASP los principales riesgos de seguridad para aplicaciones web según Open Web Proyecto de seguridad para aplicaciones (OSWAP).

Guía para contenedores

• Prácticas recomendadas de Docker incluye recomendaciones para compilar imágenes.

• El Centro para la seguridad en Internet (CIS) tiene una referencia de Docker para evaluar la seguridad de un contenedor de Docker.

  Docker proporciona una secuencia de comandos de código abierto llamada Docker Bench for Security. Puedes usar la secuencia de comandos para validar un contenedor de Docker en ejecución en relación con la referencia de Docker de CIS.

  Docker Bench for Security puede ayudarte a verificar muchos elementos en la referencia de Docker de CIS, pero no todos los elementos se pueden verificar con la secuencia de comandos. Por ejemplo, la secuencia de comandos no puede verificar si el host del contenedor está endurecido o si la imagen del contenedor incluye datos personales. Revisa todos los elementos de la referencia y también identifica aquellos que podrían necesitar una verificación adicional.

¿Qué sigue?

Más información sobre la administración de dependencias