Controlla l'accesso e proteggi gli artefatti

Questa pagina descrive i servizi e le funzionalità di Google Cloud che ti aiutano a salvaguardare i tuoi artefatti.

Crittografia at-rest

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono at-rest utilizzando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi per la protezione dei dati, puoi creare repository criptati con chiavi di crittografia gestite dal cliente (CMEK).

Controllo dell'accesso

Per impostazione predefinita, tutti i repository sono privati. Segui il principio di sicurezza del privilegio minimo e concedi solo le autorizzazioni minime richieste da utenti e account di servizio.

Prevenzione dell'esfiltrazione di dati

Per impedire l'esfiltrazione di dati, puoi utilizzare Controlli di servizio VPC per posizionare Artifact Registry e altri servizi Google Cloud in un perimetro di sicurezza della rete.

Analisi delle vulnerabilità

Artifact Analysis può analizzare le immagini container per rilevare le vulnerabilità di sicurezza nei pacchetti monitorati pubblicamente.

Sono disponibili le seguenti opzioni:

Analisi automatica delle vulnerabilità
Se abilitata, questa funzionalità identifica le vulnerabilità dei pacchetti nelle immagini container. Le immagini vengono analizzate quando vengono caricate su Artifact Registry e i dati vengono monitorati continuamente per trovare nuove vulnerabilità per un massimo di 30 giorni dopo il push dell'immagine.
API On-Demand Scanning
Se questa opzione è abilitata, puoi analizzare manualmente le immagini locali o le immagini archiviate in Artifact Registry. Questa funzionalità consente di rilevare e risolvere le vulnerabilità nella pipeline di build. Ad esempio, puoi utilizzare Cloud Build per scansionare un'immagine dopo la sua creazione e quindi bloccare il caricamento su Artifact Registry se la scansione rileva vulnerabilità a un livello di gravità specificato. Se hai attivato anche l'analisi automatica delle vulnerabilità, Artifact Analysis esegue anche la scansione delle immagini che carichi nel registro.

Criterio di deployment

Puoi utilizzare Autorizzazione binaria per configurare un criterio applicato dal servizio quando viene eseguito un tentativo di deployment di un'immagine container in uno degli ambienti Google Cloud supportati.

Ad esempio, puoi configurare Autorizzazione binaria in modo da consentire i deployment solo se un'immagine è firmata per la conformità a un criterio di analisi delle vulnerabilità.

Rimozione delle immagini inutilizzate

Rimuovi le immagini container inutilizzate per ridurre i costi di archiviazione e mitigare i rischi associati all'utilizzo di software meno recente. Sono disponibili diversi strumenti per svolgere questa attività, tra cui gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto Google ufficiale.

Sicurezza fin dalle prime fasi

L'integrazione degli obiettivi di sicurezza delle informazioni nel lavoro quotidiano può aiutarti ad aumentare le prestazioni di distribuzione del software e creare sistemi più sicuri. Questa idea è nota anche come spostamento a sinistra, perché i problemi, compresi quelli relativi alla sicurezza, vengono affrontati nelle prime fasi del ciclo di vita dello sviluppo del software, lasciati in un diagramma di pianificazione da sinistra a destra. Un passaggio a sinistra sulla sicurezza è una delle funzionalità DevOps identificate nel programma di ricerca DORA State of DevOps.

Per saperne di più:

  • Scopri di più sulla funzionalità Le modifiche alla sicurezza.
  • Leggi il white paper Shifting left on security, che descrive responsabilità, pratiche, processi, strumenti e tecniche che aumentano l'affidabilità nel ciclo di vita dello sviluppo del software (SDLC) e riducono i rischi per la sicurezza.

Considerazioni sui repository pubblici

Considera attentamente i seguenti casi:

  • Utilizzo di artefatti da fonti pubbliche
  • rendere pubblici i repository Artifact Registry

Utilizzo di artefatti da fonti pubbliche

Le origini pubbliche di artefatti, come GitHub, Docker Hub, PyPI o il registro pubblico npm, forniscono strumenti che potresti usare o dipendenze per le tue build e i tuoi deployment.

Tuttavia, la tua organizzazione potrebbe avere vincoli che influiscono sull'uso degli artefatti pubblici. Ad esempio:

  • Vuoi controllare i contenuti della catena di fornitura del software.
  • e non vuoi dipendere da un repository esterno.
  • Vuoi controllare rigorosamente le vulnerabilità nel tuo ambiente di produzione.
  • Vuoi lo stesso sistema operativo di base in ogni immagine.

Considera i seguenti approcci per proteggere la tua catena di fornitura del software:

  • Configura le build automatiche in modo che gli artefatti dispongano di contenuti noti e coerenti. Puoi utilizzare i trigger di build di Cloud Build o altri strumenti di integrazione continua.
  • Utilizza immagini di base standardizzate. Google fornisce alcune immagini di base che puoi utilizzare.
  • Risolvi le vulnerabilità negli artefatti. Puoi utilizzare l'API On-Demand Scanning per analizzare le vulnerabilità delle immagini container prima di archiviarle in Artifact Registry. Artifact Analysis può anche scansionare i container di cui esegui il push su Artifact Registry.
  • Applica gli standard interni sui deployment delle immagini. Autorizzazione binaria consente di applicare l'applicazione forzata per i deployment di immagini container negli ambienti Google Cloud supportati.

Scopri di più sulle considerazioni relative alle immagini pubbliche

Repository Artifact Registry pubblici

Puoi rendere pubblico un repository Artifact Registry concedendo il ruolo Lettore Artifact Registry all'identità allUsers.

Se tutti i tuoi utenti hanno account Google Cloud, puoi limitare l'accesso agli utenti autenticati con l'identità allAuthenticatedUsers.

Prima di rendere pubblico un repository Artifact Registry consulta le seguenti linee guida:

  • Verifica che tutti gli artefatti archiviati nel repository siano condivisibili pubblicamente e non mostrino credenziali, dati personali o dati riservati.
  • Ti viene addebitato il trasferimento dei dati di rete quando gli utenti scaricano gli artefatti. Se prevedi molto traffico di download Internet, considera i costi associati.
  • Per impostazione predefinita, i progetti hanno una quota illimitata per utente. Per prevenire gli abusi, limita la quota per utente all'interno del tuo progetto.

Indicazioni per le applicazioni web

  • OWASP Top 10 elenca i principali rischi per la sicurezza delle applicazioni web in base all'Open Web Application Security Project (OSWAP).

Guida per i container

  • Le best practice per la creazione dei container includono consigli per la loro creazione.

    Puoi anche leggere le best practice di Docker per la creazione di immagini.

  • Le best practice per l'utilizzo dei container includono suggerimenti per la sicurezza, il monitoraggio e il logging, che semplificano l'esecuzione delle applicazioni in Google Kubernetes Engine e nei container in generale.

  • Il Center for Internet Security (CIS) dispone di un Benchmark Docker per valutare la sicurezza di un container Docker.

    Docker fornisce uno script open source denominato Docker Bench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto al CIS Docker Benchmark.

    Docker Bench For Security può aiutarti a verificare molti elementi nel benchmark Docker CIS, ma non tutti sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host per il container è protetto o se l'immagine container include dati personali. Esamina tutti gli elementi del benchmark e identifica quelli che potrebbero richiedere un'ulteriore verifica.

Passaggi successivi

Scopri di più sulla gestione delle dipendenze