Mengontrol akses dan melindungi artefak

Halaman ini menjelaskan layanan dan fitur Google Cloud yang membantu Anda mengamankan artefak.

Enkripsi dalam penyimpanan

Secara default, Google Cloud otomatis mengenkripsi data saat dalam penyimpanan menggunakan kunci enkripsi yang dikelola oleh Google. Jika memiliki persyaratan kepatuhan atau peraturan khusus yang terkait dengan kunci yang melindungi data, Anda dapat membuat repositori yang dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Kontrol akses

Secara default, semua repositori bersifat pribadi. Ikuti prinsip keamanan hak istimewa terendah dan hanya berikan izin minimum yang diperlukan oleh pengguna dan akun layanan.

Mencegah pemindahan data yang tidak sah

Untuk mencegah pemindahan data yang tidak sah, Anda dapat menggunakan Kontrol Layanan VPC untuk menempatkan Artifact Registry dan layanan Google Cloud lainnya di perimeter keamanan jaringan.

Pemindaian kerentanan

Artifact Analysis dapat memindai image container untuk mencari kerentanan keamanan dalam paket yang dipantau secara publik.

Tersedia opsi-opsi berikut:

Pemindaian kerentanan otomatis

Jika diaktifkan, fitur ini akan mengidentifikasi kerentanan paket di image container Anda. Gambar dipindai saat diupload ke Artifact Registry dan data terus dipantau untuk menemukan kerentanan baru hingga 30 hari setelah mengirim image.

On-Demand Scanning API

Jika diaktifkan, Anda dapat memindai image lokal atau image yang disimpan di Artifact Registry secara manual. Fitur ini membantu Anda mendeteksi dan mengatasi kerentanan sejak awal di pipeline build Anda. Misalnya, Anda dapat menggunakan Cloud Build untuk memindai image setelah dibangun, lalu memblokir upload ke Artifact Registry jika pemindaian mendeteksi kerentanan pada tingkat keparahan yang ditentukan. Jika Anda juga mengaktifkan pemindaian kerentanan otomatis, Artifact Analysis juga akan memindai image yang Anda upload ke registry.

Kebijakan deployment

Anda dapat menggunakan Otorisasi Biner untuk mengonfigurasi kebijakan yang diterapkan oleh layanan saat upaya dilakukan untuk men-deploy image container ke salah satu lingkungan Google Cloud yang didukung.

Misalnya, Anda dapat mengonfigurasi Otorisasi Biner agar hanya mengizinkan deployment jika image ditandatangani karena mematuhi kebijakan pemindaian kerentanan.

Menghapus gambar yang tidak digunakan

Hapus image container yang tidak digunakan untuk mengurangi biaya penyimpanan dan memitigasi risiko penggunaan software lama. Ada sejumlah alat yang tersedia untuk membantu tugas ini, termasuk gcr-cleaner. Alat gcr-cleaner bukan produk resmi Google.

Shifting left on security

Mengintegrasikan tujuan keamanan informasi ke dalam pekerjaan sehari-hari dapat membantu meningkatkan performa pengiriman software dan membangun sistem yang lebih aman. Ide ini juga dikenal sebagai geser ke kiri, karena masalah, termasuk masalah keamanan, telah ditangani lebih awal dalam siklus proses pengembangan software (yaitu, dibiarkan dalam diagram jadwal kiri-ke-kanan). Mengalihkan ke sisi lain dari keamanan adalah salah satu kemampuan DevOps yang diidentifikasi dalam program riset State of DevOps DORA.

Untuk mempelajari lebih lanjut:

• Baca tentang Beralih ke kiri pada kemampuan keamanan.
• Baca laporan resmi Beralih dari aspek keamanan, yang menjelaskan tanggung jawab, praktik, proses, alat, dan teknik yang meningkatkan keyakinan terhadap siklus proses pengembangan software (SDLC) dan mengurangi masalah risiko keamanan.

Pertimbangan untuk repositori publik

Pertimbangkan kasus berikut dengan cermat:

• Penggunaan artefak dari sumber publik
• Menjadikan repositori Artifact Registry Anda sendiri bersifat publik

Menggunakan artefak dari sumber publik

Sumber artefak publik, seperti Docker Hub GitHub, PyPI, atau registry publik npm, menyediakan alat yang mungkin Anda gunakan atau dependensi untuk build dan deployment Anda.

Namun, organisasi Anda mungkin memiliki kendala yang memengaruhi penggunaan artefak publik. Contoh:

• Anda ingin mengontrol konten supply chain software Anda.
• Anda tidak ingin bergantung pada repositori eksternal.
• Anda ingin mengontrol kerentanan di lingkungan produksi dengan ketat.
• Anda menginginkan sistem operasi dasar yang sama di setiap image.

Pertimbangkan pendekatan berikut untuk mengamankan supply chain software Anda:

• Siapkan build otomatis sehingga artefak Anda memiliki konten yang konsisten dan diketahui. Anda dapat menggunakan pemicu build Cloud Build atau alat continuous integration lainnya.
• Gunakan image dasar standar. Google menyediakan beberapa image dasar yang dapat Anda gunakan.
• Atasi kerentanan di artefak Anda. Anda dapat menggunakan On-Demand Scanning API untuk memindai kerentanan pada image container sebelum menyimpannya di Artifact Registry. Artifact Analysis juga dapat memindai container yang Anda kirim ke Artifact Registry.
• Terapkan standar internal Anda terkait deployment image. Otorisasi Biner menyediakan penerapan untuk deployment image container ke lingkungan Google Cloud yang didukung.

Pelajari pertimbangan untuk gambar publik lebih lanjut

Repositori Public Artifact Registry

Anda dapat menjadikan repositori Artifact Registry bersifat publik dengan memberikan peran Artifact Registry Reader ke identitas allUsers.

Jika semua pengguna memiliki akun Google Cloud, Anda dapat membatasi akses hanya untuk pengguna terautentikasi dengan identitas allAuthenticatedUsers.

Pertimbangkan panduan berikut sebelum membuat repositori Artifact Registry menjadi publik:

• Pastikan semua artefak yang Anda simpan di repositori dapat dibagikan secara publik dan jangan mengekspos kredensial, data pribadi, atau data rahasia.
• Anda dikenai biaya untuk transfer data jaringan saat pengguna mendownload artefak. Jika Anda memperkirakan akan ada banyak traffic download internet, pertimbangkan biaya terkait.
• Secara default, project memiliki kuota per pengguna yang tidak terbatas. Untuk mencegah penyalahgunaan, batasi kuota per pengguna dalam project Anda.

Panduan untuk aplikasi web

• OWASP Top 10 mencantumkan risiko keamanan aplikasi web teratas menurut Open Web Application Security Project (OSWAP).

Panduan untuk penampung

• Praktik terbaik untuk membangun container mencakup rekomendasi untuk membuat container.

  Anda juga dapat membaca praktik terbaik Docker untuk membuat gambar.

• Praktik terbaik untuk mengoperasikan container mencakup rekomendasi untuk keamanan, pemantauan, dan logging yang membuat aplikasi lebih mudah dijalankan di Google Kubernetes Engine dan dalam container secara umum.

• Center for Internet Security (CIS) memiliki Benchmark Docker untuk mengevaluasi keamanan container Docker.

  Docker menyediakan skrip open source bernama Docker Bench for Security. Anda dapat menggunakan skrip ini untuk memvalidasi container Docker yang berjalan terhadap CIS Docker Benchmark.

  Docker Bench For Security dapat membantu Anda memverifikasi banyak item di CIS Docker Benchmark, tetapi tidak semua item dapat diverifikasi dengan skrip. Misalnya, skrip tidak dapat memverifikasi apakah host untuk penampung telah melalui proses hardening atau apakah image container menyertakan data pribadi. Tinjau semua item di benchmark dan identifikasi item yang mungkin memerlukan verifikasi tambahan.

Langkah selanjutnya

Pelajari pengelolaan dependensi lebih lanjut