Segurança do ambiente de execução
Cada função é executada em uma imagem de ambiente de execução com controle de versões no ambiente de execução seguro do Cloud Run functions. As imagens do ambiente de execução contêm bibliotecas do sistema operacional, ambientes de execução da linguagem e outros pacotes do sistema. O Google mantém todas as imagens do ambiente de execução do Cloud Run functions, lançando patches de segurança e atualizações de manutenção após um período de testes de estabilidade.
Imagens do ambiente de execução
Cada ambiente de execução tem uma imagem associada (também conhecida como imagem de execução) em um repositório público no Artifact Registry. Para ver uma lista de IDs de ambiente de execução e as respectivas imagens, consulte Ambientes de execução.
Identificar a imagem do ambiente de execução
É possível identificar a imagem de ambiente de execução usada para criar a função inspecionando os registros de criação da função.
Nos registros de criação, pesquise google.run-image. Isso fornece a entrada de registro da etapa de criação que descreve a versão da imagem do ambiente de execução usada para criar a função. Por exemplo, uma entrada de registro de uma função do Nodejs pode ser assim:
{
...
"textPayload": "Step #2 - \"build\": Adding image label google.run-image:
us-central1-docker.pkg.dev/serverless-runtimes/google-22-full/runtimes/nodejs22:nodejs20_20230924_20_6_1_RC00",
...
}
Política de atualização de segurança
Você pode escolher uma das seguintes políticas de atualização de segurança:
Atualizações automáticas: (padrão) as atualizações e os patches de segurança no ambiente de execução são publicados em novas versões da imagem do ambiente de execução. Após um período de testes de estabilidade e confiabilidade, o ambiente de execução atualizado é lançado para todas as funções, resultando em uma atualização sem inatividade. As atualizações automáticas de segurança estão disponíveis no Cloud Run functions (1a geração) e no Cloud Run functions. Para assumir correções de segurança no nível de linguagem, pode ser necessário recriar funções que usam linguagens compiladas, como Go ou Java.
Atualizações na implantação: as atualizações e os patches de segurança são aplicados aos ambientes de execução somente quando as funções são implantadas ou reimplantadas, a menos que indicado de outra forma. As atualizações sobre a implantação estão disponíveis no Cloud Run functions (1a geração) e no Cloud Run functions.
É possível alterar a política de atualização do ambiente de execução usando a flag
--runtime-update-policy no comando gcloud deploy.
Definir a política de atualização da função
É possível alterar a política de atualização da função incluindo a
flag --runtime-update-policy
no comando gcloud deploy, conforme mostrado abaixo:
gcloud functions deploy FUNCTION_NAME \
--runtime-update-policy=POLICY ...
Substitua:
- FUNCTION_NAME pelo nome da função
- POLICY por
automaticouon-deploy
A política padrão para todas as funções é automatic.
Inspecionar a política de atualização da função
É possível inspecionar a política de atualização da função com o seguinte comando:
gcloud functions describe FUNCTION_NAME \
Em que FUNCTION_NAME é o nome da função
- As funções com atualizações de segurança automáticas ativadas terão a chave
automaticUpdatePolicy - As funções atualizadas na implantação terão a chave
onDeployUpdatePolicy
Identificar a imagem do ambiente de execução usada após uma atualização automática
Quando você ativa as atualizações automáticas, o Cloud Run functions troca a imagem do ambiente de execução da função por uma revisão mais recente que contém outros patches de segurança e atualizações. Essa alteração aparece nos registros do ambiente de execução da função.
Nos registros do ambiente de execução, o rótulo runtime_version informa quando uma nova imagem de ambiente de execução está em uso na função. Uma entrada de registro para uma função do Nodejs que foi atualizada automaticamente pode ser assim:
{
...
"labels:" {
runtime_version: nodejs20_20230924_20_6_1_RC00
execution_id: ...
}
...
}
Verificações de segurança no Cloud Run functions
O Cloud Run functions que tem atualizações automáticas ativadas são criadas com base
em uma imagem scratch. Como resultado, o
contêiner que representa a função no Artifact Registry não terá uma imagem base
e será consideravelmente menor do que as funções que usam atualizações na implantação. A
imagem base é combinada com a imagem da função no ambiente de execução para criar uma função
completa.
É possível usar verificações de segurança para monitorar as imagens base gerenciadas pelo Google que
impulsionam sua função. A imagem base mais recente da função está disponível em
REGION-docker.pkg.dev/serverless-runtimes/STACK/runtimes/RUNTIME_ID.
Substitua:
- REGION pela região preferencial, por exemplo,
us-central1. - STACK pela pilha de sistema operacional preferencial, por exemplo,
google-22-full. - RUNTIME_ID pelo ID do ambiente de execução usado pela função como, por exemplo,
python310.
Por exemplo, a imagem base mais recente do Node.js 20 usando a pilha google-22-full,
hospedada em us-central1 seria referenciada com este URL:
us-central1-docker.pkg.dev/serverless-runtimes/google-22-full/runtimes/nodejs22
Como a imagem agora foi criada com base no scratch, a imagem armazenada no Artifact Registry
não poderá ser executada diretamente. Se você precisar de uma imagem executável, use a política na implantação.