アイデンティティとセキュリティ

お客様のソフトウェア サプライ チェーンの安全性確保に向けた Google Cloud の取り組み

※この投稿は米国時間 2022 年 6 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud では、先日発表した Assured Open Source Software(OSS)サービスにより、Google が使用しているのと同じオープンソース パッケージを提供することで、お客様のオープンソース ソフトウェアの安全を確保できるよう支援しています。Google Cloud のお客様は、このようなオープンソース パッケージを使用してセキュリティが確保されることによって、セキュリティ体制を強化し、Cloud BuildArtifact RegistryContainer / Artifact Analysis などの、Google が使用しているのと同じツールを使用して独自のソフトウェアを構築できます。ここでは、Assured OSS をお客様のソフトウェア サプライ チェーンに組み込み、ソフトウェアの開発とデリバリーのプロセスにおける、さらなるソフトウェアのセキュリティを確保する方法についてご説明します。

ソフトウェア サプライ チェーンにセキュリティを組み込む

end-to-end software supply.jpg

まず、デベロッパーは統合開発環境(IDE)を通じて Assured OSS サービスのオープンソース ソフトウェア パッケージを使用できるため、Google Cloud により裏付けされた環境のもとでソフトウェア開発プロセスのスタートを切ることができます。

デベロッパーがコードを Git コード リポジトリに commit すると、Cloud Build がトリガーされ、Assured OSS パッケージと同じ方法でアプリケーションをビルドします。これには、Cloud Build によるビルド来歴の自動生成、署名、保存が含まれ、最高で SLSA レベル 2 の保証が提供されます。

ビルド パイプライン処理の一環として、ビルドされたアーティファクトは Artifact Registry に保存され、Assured OSS パッケージがスキャンされるのと同じように、脆弱性に関して自動的にスキャンが行われます。脆弱性スキャンは、ビルド パイプラインで検証可能な、許容できる脆弱性の基準を定義する Kristis Signer ポリシーを使用してさらに強化できます。

重要なのは、Google Kubernetes Engine(GKE)や Cloud Run などのランタイム環境では、精査されたアプリケーションのみが許可されるということです。Google Cloud では、アプリケーションがこれらのランタイムに許可される前提となる要件を定義し適用するための Binary Authorization ポリシー フレームワークを提供しています。信頼は証明書という形式で蓄積されます。証明書は、最適なツールやリポジトリの使用、脆弱性スキャンの要件、あるいはコードレビューや QA テストといった手動プロセスを含む幅広い要因に基づき作成されます。

脆弱性スキャンに合格し、証明書によって信頼を確立してアプリケーションが正常にビルド、保存されると、アプリケーションをデプロイする準備が整います。Google Cloud Deploy は、組み込みの配信指標とセキュリティおよび監査機能により、GKE への継続的デリバリー プロセスの合理化を支援します。GKE へのロールアウトでは、適切な関係者やシステムによって、移行先の環境へのアプリケーションのデプロイが承認されたことを確認する承認ゲートを構成できます。

アプリケーションがランタイムにデプロイされると、Binary Authorization によって、以前に Cloud Build で署名された、あるいはサプライ チェーンを通して必要な証明書を正常に収集したアプリケーションのみが実行を許可されます。

このソフトウェア サプライ チェーンにより、お客様は Google によって保証された OSS パッケージと同様の方法でアプリケーションをビルドし、Cloud Deploy と Binary Authorization によって提供される追加の保証を活用して、アプリケーションをランタイムに安全にデリバリーできます。その結果、開発、ビルド、デプロイしたアプリケーションの整合性を検証でき、実行中のアプリケーションにおけるセキュリティの信頼性が高まります。

次のステップ

Google は、お客様のソフトウェア サプライ チェーンの安全性を確保するために、サービス全体における機能を継続的に強化していきます。

まずは、Cloud BuildArtifact RegistryContainer / Artifact AnalysisCloud DeployBinary Authorization をお試しください。Assured OSS に関する詳細な情報が必要な場合は、こちらのフォームにご記入ください



- グループ プロダクト マネージャー Damith Karunaratne