En esta página, se describen los servicios y las funciones de Google Cloud que te ayudan a proteger tus artefactos.
Encriptación en reposo
De forma predeterminada, Google Cloud encripta los datos cuando están en reposo de manera automática mediante claves de encriptación administradas por Google. Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen tus datos, puedes crear repositorios encriptados con claves de encriptación administradas por el cliente (CMEK).
Control de acceso
Según la configuración predeterminada, todos los repositorios son privados. Sigue el principio de seguridad de privilegio mínimo y solo otorga los permisos mínimos que requieren los usuarios y las cuentas de servicio.
Impide el robo de datos
Para evitar el robo de datos, puedes usar los Controles del servicio de VPC para colocar Artifact Registry y otros servicios de Google Cloud en un perímetro de seguridad de red.
Análisis de vulnerabilidades
Artifact Analysis puede analizar imágenes de contenedor en busca de vulnerabilidades de seguridad en paquetes supervisados de forma pública.
Las siguientes opciones están disponibles:
- Análisis automático de vulnerabilidades
- Cuando se habilita, esta función identifica vulnerabilidades en los paquetes en las imágenes de contenedor. Las imágenes se analizan cuando se suben a Artifact Registry, y los datos se supervisan continuamente para encontrar vulnerabilidades nuevas durante un máximo de 30 días después de enviar la imagen.
- API de On-Demand Scanning
- Cuando se habilita, puedes analizar de forma manual las imágenes o imágenes locales almacenadas en Artifact Registry. Esta función te ayuda a detectar y abordar las vulnerabilidades de forma anticipada en la canalización de compilación. Por ejemplo, puedes usar Cloud Build para analizar una imagen después de compilarla y, luego, bloquear la carga a Artifact Registry si el análisis detecta vulnerabilidades en un nivel de gravedad específico. Si también habilitaste el análisis automático de vulnerabilidades, Artifact Analysis también analiza las imágenes que subes al registro.
Política de implementación
Puedes usar la autorización binaria para configurar una política que el servicio aplique cuando se intente implementar una imagen de contenedor en uno de los entornos de Google Cloud compatibles.
Por ejemplo, puedes configurar la autorización binaria para que solo permita implementaciones si se firma una imagen por cumplir con una política de análisis de vulnerabilidades.
Cómo quitar imágenes que no se usan
Quita las imágenes de contenedor sin usar para reducir los costos de almacenamiento y mitigar los riesgos del uso de software más antiguo. Hay una serie de herramientas disponibles para ayudarte con esta tarea, incluido gcr-cleaner. La herramienta gcr-cleaner no es un producto oficial de Google.
Desplazamiento a la izquierda en seguridad
Integrar los objetivos de seguridad de la información en el trabajo diario puede ayudar a aumentar el rendimiento de la entrega de software y crear sistemas más seguros. Esta idea también se conoce como desplazamiento a la izquierda, ya que las inquietudes, incluidas las de seguridad, se abordan antes en el ciclo de vida de desarrollo de software (es decir, a la izquierda en un diagrama de programación de izquierda a derecha). El desplazamiento a la izquierda en la seguridad es una de las capacidades de DevOps que se identifican en el programa de investigación State of DevOps de DORA.
Para obtener más información, haz lo siguiente:
- Obtén más información sobre la capacidad de desplazamiento a la izquierda en seguridad.
- Lee el informe Desplazamiento a la izquierda en la seguridad, en el que se describen las responsabilidades, las prácticas, los procesos, las herramientas y las técnicas que aumentan la confianza en el ciclo de vida de desarrollo de software (SDLC) y reducen los riesgos de seguridad.
Consideraciones para los repositorios públicos
Considera con atención los siguientes casos:
- Uso de artefactos de fuentes públicas
- Haz públicos tus propios repositorios de Artifact Registry
Usa artefactos de fuentes públicas
Las fuentes públicas de artefactos, como Docker Hub de GitHub, PyPI o el registro público de npm proporcionan herramientas que puedes usar o dependencias para tus implementaciones y compilaciones.
Sin embargo, es posible que tu organización tenga restricciones que afecten el uso de artefactos públicos. Por ejemplo:
- Quieres controlar el contenido de tu cadena de suministro de software.
- No quieres depender de un repositorio externo.
- Quieres controlar estrictamente las vulnerabilidades en tu entorno de producción.
- Quieres tener el mismo sistema operativo de base en cada imagen.
Considera que los siguientes enfoques protegen tu cadena de suministro de software:
- Configura compilaciones automáticas para que tus artefactos tengan contenido coherente y conocido. Puedes usar activadores de compilación de Cloud Build o, también, otras herramientas de integración continua.
- Usa imágenes base estandarizadas. Google proporciona algunas imágenes base que puedes usar.
- Aborda las vulnerabilidades de tus artefactos. Puedes usar la API de On-Demand Scanning para analizar las imágenes de contenedores en busca de vulnerabilidades antes de almacenarlas en Artifact Registry. Artifact Analysis también puede analizar los contenedores que envías a Artifact Registry.
- Aplica tus estándares internos a las implementaciones de imágenes. La autorización binaria proporciona la aplicación forzosa para las implementaciones de imágenes de contenedor en los entornos de Google Cloud compatibles.
Más información sobre las consideraciones para las imágenes públicas
Repositorios públicos de Artifact Registry
Para hacer público un repositorio de Artifact Registry, otorga el rol de lector de Artifact Registry a la identidad allUsers.
Si todos tus usuarios tienen cuentas de Google Cloud, puedes limitar el acceso a los usuarios autenticados con la identidad allAuthenticatedUsers.
Ten en cuenta los siguientes lineamientos antes de hacer público un repositorio de Artifact Registry:
- Verifica que todos los artefactos que almacenes en el repositorio se puedan compartir de forma pública y no expongan credenciales, datos personales ni datos confidenciales.
- Se te cobra por la transferencia de datos de red cuando los usuarios descarguen artefactos. Si esperas mucho tráfico de descargas de Internet, considera los costos asociados.
- De forma predeterminada, los proyectos tienen una cuota ilimitada por usuario. Para evitar abusos, limita la cuota por usuario en tu proyecto.
Orientación para aplicaciones web
- Los 10 OWASP Top 10 enumeran los principales riesgos de seguridad para aplicaciones web según el Open Web Application Security Project (OSWAP).
Guía sobre contenedores
En Prácticas recomendadas para compilar contenedores, se incluyen recomendaciones para compilar contenedores.
También puedes leer las prácticas recomendadas de Docker para compilar imágenes.
En las prácticas recomendadas para operar contenedores, se incluyen recomendaciones de seguridad, supervisión y registro que facilitan la ejecución de las aplicaciones en Google Kubernetes Engine y en los contenedores en general.
El Centro para la seguridad en Internet (CIS) tiene una referencia de Docker para evaluar la seguridad de un contenedor de Docker.
Docker proporciona una secuencia de comandos de código abierto llamada Docker Bench for Security. Puedes usar la secuencia de comandos para validar un contenedor de Docker en ejecución en relación con la referencia de Docker de CIS.
Docker Bench for Security puede ayudarte a verificar muchos elementos en la referencia de Docker de CIS, pero no todos los elementos se pueden verificar con la secuencia de comandos. Por ejemplo, la secuencia de comandos no puede verificar si el host del contenedor está endurecido o si la imagen del contenedor incluye datos personales. Revisa todos los elementos de la referencia y también identifica aquellos que podrían necesitar una verificación adicional.
¿Qué sigue?
Más información sobre la administración de dependencias