Software Delivery Shield es una solución de seguridad de la cadena de suministro de software de extremo a extremo completamente administrada. Proporciona un conjunto integral y modular de capacidades y herramientas en los productos de Google Cloud que los desarrolladores, DevOps y los equipos de seguridad pueden usar para mejorar la postura de seguridad de la cadena de suministro de software.
Software Delivery Shield consta de lo siguiente:
- Productos y funciones de Google Cloud que incorporan prácticas recomendadas de seguridad para el desarrollo, la compilación, la prueba, el análisis, la implementación y la aplicación de políticas.
- Paneles en la consola de Google Cloud que muestran información de seguridad sobre las fuentes, las compilaciones, los artefactos, las implementaciones y el entorno de ejecución Esta información incluye las vulnerabilidades en los artefactos de compilación, la procedencia de la compilación y la lista de dependencias de la lista de materiales de software (SBOM).
- Información que identifica el nivel de madurez de la seguridad de la cadena de suministro de software mediante el framework de Niveles de cadena de suministro para artefactos de software (SLSA).
Componentes del Software Delivery Shield
En el siguiente diagrama, se ilustra cómo los diferentes servicios de Software Delivery Shield funcionan juntos para proteger tu cadena de suministro de software:
En las siguientes secciones, se explican los productos y las funciones que forman parte de la solución Software Delivery Shield:
Componentes que ayudan a proteger el desarrollo
Los siguientes componentes de Software Delivery Shield ayudan a proteger el código fuente de software:
Cloud Workstations
Cloud Workstations proporciona entornos de desarrollo completamente administrados en Google Cloud. Permite que los administradores de TI y seguridad aprovisionen, escale, administren y protejan sus entornos de desarrollo, y les permite a los desarrolladores acceder a los entornos de desarrollo con parámetros de configuración coherentes y herramientas personalizables.
Cloud Workstations ayuda a cambiar la seguridad a la izquierda, ya que mejora la postura de seguridad de los entornos de desarrollo de aplicaciones. Tiene funciones de seguridad como los Controles del servicio de VPC, la entrada o salida privada, la actualización forzada de imágenes y las políticas de acceso de Identity and Access Management. Para obtener más información, consulta la documentación de Cloud Workstations.
Cloud Code source protect (versión preliminar)
Cloud Code proporciona compatibilidad con IDE para crear, implementar y, también, integrar aplicaciones en Google Cloud. Permite a los desarrolladores crear y personalizar una aplicación nueva a partir de plantillas de muestra y ejecutar la aplicación finalizada. Source protect de Cloud Code les brinda a los desarrolladores comentarios de seguridad en tiempo real, como la identificación de dependencias vulnerables y los informes de licencias, mientras trabajan en sus IDE. Proporciona comentarios rápidos y prácticos que permiten a los desarrolladores hacer correcciones en su código al comienzo del proceso de desarrollo de software.
Disponibilidad de la función: source protect de Cloud Code no está disponible para el acceso público. Para obtener acceso a esta función, consulta la página de solicitud de acceso.
Componentes que ayudan a proteger el suministro de software
Proteger el suministro de software (artefactos de compilación y dependencias de aplicaciones) es un paso fundamental para mejorar la seguridad de la cadena de suministro de software. El uso generalizado del software de código abierto hace que este problema sea particularmente desafiante.
Los siguientes componentes de Software Delivery Shield ayudan a proteger los artefactos de compilación y las dependencias de aplicaciones:
OSS seguro
El servicio Assured OSS te permite incorporar y acceder a los paquetes de OSS que Google verificó y probó. Proporciona paquetes de Java y Python que se compilan mediante las canalizaciones seguras de Google. Estos paquetes se analizan, analizan y prueban con regularidad en busca de vulnerabilidades. Para obtener más información, consulta la documentación de software de código abierto garantizado.
Artifact Registry y Artifact Analysis
Artifact Registry te permite almacenar, proteger y administrar los artefactos de compilación. Además, Artifact Analysis detecta vulnerabilidades de los artefactos en Artifact Registry de forma proactiva. Artifact Registry proporciona las siguientes funciones para mejorar la postura de seguridad de la cadena de suministro de software:
- Artifact Analysis proporciona un análisis automatizado o a pedido integrado para imágenes de contenedor base y paquetes de lenguajes en contenedores.
- Artifact Analysis te permite generar una lista de materiales de software (SBOM) y subir declaraciones de intercambio de vulnerabilidad de explotación (VEX) para las imágenes en Artifact Registry.
- Artifact Analysis proporciona análisis independiente que identifica vulnerabilidades existentes y nuevas vulnerabilidades dentro de las dependencias de código abierto que usan tus artefactos de Maven (versión preliminar). El análisis se realiza cada vez que envías un proyecto de Java a Artifact Registry. Después del análisis inicial, Artifact Analysis supervisa continuamente los metadatos de las imágenes analizadas en Artifact Registry para detectar vulnerabilidades nuevas.
- Artifact Registry admite repositorios remotos (versión preliminar) y repositorios virtuales (versión preliminar) para paquetes de Java. Un repositorio remoto actúa como un proxy de almacenamiento en caché para las dependencias de Maven Central, lo que reduce el tiempo de descarga, mejora la disponibilidad de los paquetes y, además, incluye el análisis de vulnerabilidades si el análisis está habilitado. Los repositorios virtuales consolidan los repositorios del mismo formato detrás de un único extremo y te permiten controlar el orden de búsqueda en los repositorios upstream. Puedes priorizar tus paquetes privados, lo que reduce el riesgo de ataques de confusión de dependencias.
Componentes que ayudan a proteger la canalización de CI/CD
Las entidades que actúan de mala fe pueden atacar las cadenas de suministro de software poniendo en riesgo las canalizaciones de CI/CD. Los siguientes componentes del Software Delivery Shield ayudan a proteger la canalización de CI/CD:
Cloud Build
Cloud Build ejecuta tus compilaciones en la infraestructura de Google Cloud. Ofrece funciones de seguridad como permisos detallados de IAM, Controles del servicio de VPC y entornos de compilación aislados y efímeros. Además, proporciona las siguientes funciones para mejorar la postura de seguridad de tu cadena de suministro de software:
- Admite compilaciones de nivel 3 de SLSA para imágenes de contenedor.
- Genera origen de compilación autenticado y no falsificable para aplicaciones en contenedores.
- Muestra estadísticas de seguridad para las aplicaciones compiladas. Incluye lo siguiente:
- el nivel de compilación SLSA, que identifica el nivel de madurez de tu proceso de compilación de software de acuerdo con la especificación SLSA.
- Vulnerabilidades en artefactos de compilación
- Procedencia de compilación, que es una colección de metadatos verificables sobre una compilación. Incluye detalles como los resúmenes de las imágenes compiladas, las ubicaciones de las fuentes de entrada, la cadena de herramientas de compilación, los pasos de compilación y la duración de la compilación.
Para obtener instrucciones sobre cómo ver las estadísticas de seguridad de las aplicaciones compiladas, consulta Compila una aplicación y consulta las estadísticas de seguridad.
Cloud Deploy
Cloud Deploy automatiza la entrega de tus aplicaciones a una serie de entornos de destino en una secuencia definida. Admite la entrega continua directamente a Google Kubernetes Engine, GKE Enterprise y Cloud Run, con aprobaciones y reversiones con un solo clic, seguridad y auditoría empresariales, y métricas de entrega integradas. Además, muestra estadísticas de seguridad para las aplicaciones implementadas.
Componentes que ayudan a proteger las aplicaciones en producción
GKE y Cloud Run ayudan a proteger la postura de seguridad de tus entornos de ejecución. Ambos incluyen funciones de seguridad para proteger las aplicaciones en el entorno de ejecución.
GKE
GKE puede evaluar tu postura de seguridad de contenedores y brindarte orientación activa sobre la configuración del clúster, la configuración de la carga de trabajo y las vulnerabilidades. Incluye el panel de postura de seguridad, que analiza tus clústeres y cargas de trabajo de GKE a fin de proporcionarte recomendaciones bien definidas y prácticas para mejorar tu postura de seguridad. Si quieres obtener instrucciones para ver las estadísticas de seguridad en el panel de postura de seguridad de GKE, consulta Implementa en GKE y visualiza las estadísticas de seguridad.
Cloud Run
Cloud Run contiene un panel de seguridad en el que se muestran estadísticas de seguridad de la cadena de suministro de software, como la información de cumplimiento a nivel de compilación de SLSA, la procedencia de la compilación y las vulnerabilidades encontradas en los servicios en ejecución. Si quieres obtener instrucciones para ver las estadísticas de seguridad en el panel de estadísticas de seguridad de Cloud Run, consulta Implementa en Cloud Run y visualiza las estadísticas de seguridad.
Generar una cadena de confianza a través de políticas
La autorización binaria ayuda a establecer, mantener y verificar una cadena de confianza a lo largo de la cadena de suministro de software mediante la recopilación de attestations, que son documentos digitales que certifican imágenes. Una certificación significa que la imagen asociada se compiló mediante la ejecución correcta de un proceso específico necesario. En función de estas certificaciones recopiladas, la autorización binaria ayuda a definir, verificar y aplicar políticas basadas en la confianza. Se asegura de que la imagen se implemente solo cuando las certificaciones cumplan con la política de la organización y también se puede configurar para que te alerte si se detectan incumplimientos de políticas. Por ejemplo, las certificaciones pueden indicar que una imagen cumple con las siguientes condiciones:
- Compilada por Cloud Build.
- No contiene vulnerabilidades superiores a una gravedad especificada. Si hay vulnerabilidades específicas que no se aplican a tus aplicaciones, puedes agregarlas a una lista de entidades permitidas.
Puedes usar la autorización binaria con GKE y Cloud Run.
Precios
En la siguiente lista, se presenta la información de precios de los servicios de la solución Software Delivery Shield:
- Cloud Workstations
- Cloud Code: Disponible sin cargo para todos los clientes de Google Cloud.
- Assured OSS: Comunícate con el equipo de ventas para obtener información sobre los precios.
- Artifact Registry
- Artifact Analysis
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Autorización binaria
¿Qué sigue?
- Obtén más información para compilar aplicaciones y ver estadísticas de seguridad.
- Obtén información para implementar en Cloud Run y ver las estadísticas de seguridad.
- Aprende a implementar en GKE y ver estadísticas de seguridad.