Protege artefactos

En esta página, se describen los servicios y las funciones de Google Cloud que te ayudan a proteger los artefactos, así como algunas prácticas recomendadas para proteger tus datos.

Encriptación en reposo

De forma predeterminada, Google Cloud encripta los datos cuando están en reposo de manera automática mediante claves de encriptación administradas por Google. Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes crear repositorios encriptados con claves de encriptación administradas por el cliente (CMEK).

Análisis de vulnerabilidades

Container Analysis puede analizar imágenes de contenedor en busca de vulnerabilidades de seguridad en paquetes de supervisión pública.

Las siguientes opciones están disponibles:

Análisis de vulnerabilidades automático
Cuando se habilita, esta característica identifica vulnerabilidades de paquetes en las imágenes de contenedor. Las imágenes se analizan al momento de subirlas a Artifact Registry y los datos se supervisan de forma continua para encontrar nuevas vulnerabilidades durante hasta 30 días después de enviar la imagen.
API de On-Demand Scanning
Cuando se habilita, puedes analizar de forma manual las imágenes locales o las imágenes almacenadas en Artifact Registry. Esta función te ayuda a detectar y abordar las vulnerabilidades de forma temprana en la canalización de compilación. Por ejemplo, puedes usar Cloud Build para analizar una imagen después de que se haya compilado y, luego, bloquear la carga en Artifact Registry si el análisis detecta vulnerabilidades en un nivel de gravedad especificado. Si también habilitaste el análisis automático de vulnerabilidades, Container Analysis también analiza las imágenes que subes en el registro.

Política de implementación

Puedes usar la autorización binaria para configurar una política que el servicio aplique cuando se intente realizar una imagen de contenedor en uno de los entornos de Google Cloud compatibles.

Por ejemplo, puedes configurar la autorización binaria para que solo permita implementaciones si una imagen está firmada si cumple con una política de análisis de vulnerabilidades.

Quita imágenes que no se usen

Quita las imágenes de contenedor que no se usen para reducir los costos de almacenamiento y mitigar los riesgos de usar un software antiguo. Hay varias herramientas disponibles para ayudar con esta tarea, incluido gcr-cleaner. La herramienta gcr-cleaner no es un producto oficial de Google.

Desplazamiento a la izquierda en seguridad

La integración de los objetivos de seguridad de la información en el trabajo diario puede ayudar a aumentar el rendimiento de la entrega de software y compilar sistemas más seguros. Esta idea también se conoce como desplazamiento a la izquierda, ya que las inquietudes, incluidas las de seguridad, se abordan antes en el ciclo de vida del desarrollo de software (es decir, a la izquierda en un formato de izquierda a izquierda. -formato derecho de programación). Cambiar a la izquierda es una de las capacidades de DevOps identificadas en el programa de investigación del estado de ORC de DevOps.

Obtén más información:

  • Lee acerca de la función Mayúscula en la izquierda.
  • Lee el informeDesplazamiento a la izquierda en seguridad , que describe las responsabilidades, las prácticas, los procesos, las herramientas y las técnicas que aumentan la confianza en el ciclo de vida de desarrollo de software (SDLC) y reducen las inquietudes de riesgo de seguridad.

Consideraciones para repositorios públicos

Considera atentamente los siguientes casos:

  • Uso de artefactos de fuentes públicas
  • Haz públicos tus repositorios de Artifact Registry

Usa artefactos de fuentes públicas

Fuentes públicas de artefactos, como GitHub, Docker Hub, PyPI o el npm public record proporciona herramientas que deberías usar o dependencias para tus implementaciones y compilaciones.

Sin embargo, tu organización puede tener restricciones que afecten el uso de artefactos públicos. Por ejemplo:

  • Deseas controlar el contenido de tu cadena de suministro de software.
  • No quieres depender de un repositorio externo.
  • Quieres controlar estrictamente las vulnerabilidades en tu entorno de producción.
  • Quieres tener el mismo sistema operativo de base en cada imagen.

Considera los siguientes enfoques para proteger la cadena de suministro de software:

  • Configura compilaciones automáticas para que los artefactos tengan contenido coherente y conocido. Puedes usar los activadores de compilación de Cloud Build o alguna otra herramienta de integración continua.
  • Usa imágenes base estandarizadas. Google proporciona algunas imágenes base que puedes utilizar.
  • Aborda las vulnerabilidades de tus artefactos. Puedes usar la API de análisis a pedido para analizar imágenes de contenedor en busca de vulnerabilidades antes de almacenarlas en Artifact Registry. Container Analysis también puede analizar contenedores que envías a Artifact Registry.
  • Aplica tus estándares internos a las implementaciones de imágenes. La autorización binaria proporciona la aplicación de implementaciones de imágenes de contenedor en entornos de Google Cloud compatibles.

Más información sobre las consideraciones de las imágenes públicas

Repositorios de Artifact Registry

Puedes hacer que un repositorio de Artifact Registry otorgue la función de lector de Artifact Registry a la identidad allUsers.

Si todos tus usuarios tienen cuentas de Google Cloud, puedes limitar el acceso a los usuarios autenticados con la identidad allAuthenticatedUsers.

Ten en cuenta las siguientes pautas antes de hacer público un repositorio de Artifact Registry:

  • Verifica que todos los artefactos que almacenas en el repositorio se puedan compartir de forma pública y no expongan credenciales, datos personales ni datos confidenciales.
  • Se te cobra por la salida de red cuando los usuarios descargan artefactos. Si esperas que haya mucho tráfico de descarga de Internet, considera los costos asociados.
  • Según la configuración predeterminada, los proyectos tienen una cuota ilimitada por usuario. Para evitar abusos, limit de cuota por usuario en tu proyecto.

Orientación para aplicaciones web

  • OWASP Top 10 muestra los riesgos de seguridad de las aplicaciones web principales según el Proyecto de seguridad de aplicaciones web abiertas (OSWAP).

Orientación para contenedores

  • En Recomendaciones para compilar contenedores, se incluyen recomendaciones para compilar contenedores.

    También puedes leer las recomendaciones del Docker para compilar imágenes.

  • Recomendaciones para trabajar con contenedores incluye recomendaciones de seguridad, supervisión y registro que facilitan la ejecución de las aplicaciones en Google Kubernetes Engine y en los contenedores en general.

  • El Centro para la seguridad en Internet (CIS) tiene una referencia de Docker para evaluar la seguridad de un contenedor de Docker.

    Docker proporciona una secuencia de comandos de código abierto llamada Docker Bench for Security. Puedes usar la secuencia de comandos para validar un contenedor de Docker en ejecución en relación con la referencia de Docker de CIS.

    Docker Bench for Security puede ayudarte a verificar muchos elementos en la referencia de Docker de CIS, pero no todos los elementos se pueden verificar con la secuencia de comandos. Por ejemplo, la secuencia de comandos no puede verificar si el host del contenedor está endurecido o si la imagen del contenedor incluye datos personales. Revisa todos los elementos de la referencia y también identifica aquellos que podrían necesitar una verificación adicional.