Software Delivery Shield – Übersicht

Software Delivery Shield ist eine vollständig verwaltete End-to-End-Lösung für die Sicherheit der Softwarelieferkette. Es bietet einen umfassenden und modularen Satz von Funktionen und Tools für Google Cloud-Produkte, mit denen Entwickler, DevOps- und Sicherheitsteams den Sicherheitsstatus der Softwarelieferkette verbessern können.

Software Delivery Shield besteht aus:

• Google Cloud-Produkte und -Features, die Best Practices für die Sicherheit beim Entwickeln, Erstellen, Testen, Scannen, Bereitstellen und Erzwingen von Richtlinien beinhalten.
• Dashboards in der Google Cloud Console, die Sicherheitsinformationen zu Quelle, Builds, Artefakten, Bereitstellungen und Laufzeit enthalten. Zu diesen Informationen gehören Sicherheitslücken in Build-Artefakten, Build-Herkunft und der Software Bill of Materials (SBOM)-Abhängigkeitsliste.
• Informationen zum Reifegrad Ihrer Softwarelieferkette mithilfe des SLSA-Frameworks (Supply Chain Levels for Software Artifacts).

Komponenten von Software Delivery Shield

Das folgende Diagramm zeigt, wie die verschiedenen Dienste in Software Delivery Shield zusammenarbeiten, um Ihre Softwarelieferkette zu schützen:

In den folgenden Abschnitten werden die Produkte und Funktionen der Software Delivery Shield-Lösung beschrieben:

Komponenten für eine sichere Entwicklung

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz von Softwarequellcode bei:

• Cloud Workstations

  Cloud Workstations bietet vollständig verwaltete Entwicklungsumgebungen in Google Cloud. Es ermöglicht IT- und Sicherheitsadministratoren, ihre Entwicklungsumgebungen bereitzustellen, zu skalieren, zu verwalten und zu sichern, und ermöglicht Entwicklern, auf Entwicklungsumgebungen mit einheitlichen Konfigurationen und anpassbaren Tools zuzugreifen.

  Cloud Workstations verbessert den Sicherheitsstatus Ihrer Anwendungsentwicklungsumgebungen und hilft dabei, die Sicherheit zu verschieben. Es bietet Sicherheitsfeatures wie VPC Service Controls, privaten ein- oder ausgehenden Traffic, erzwungene Image-Updates und Zugriffsrichtlinien für Identity and Access Management. Weitere Informationen finden Sie in der Dokumentation zu Cloud Workstations.

• Cloud Code-Quellschutz (Vorabversion)

  Cloud Code bietet IDE-Unterstützung zum Erstellen, Bereitstellen und Einbinden von Anwendungen in Google Cloud. Damit können Entwickler eine neue Anwendung anhand von Beispielvorlagen erstellen und anpassen und die fertige Anwendung ausführen. Mit dem Cloud Code-Quellcodeschutz erhalten Entwickler Sicherheitsfeedback in Echtzeit, z. B. zur Identifizierung von gefährdeten Abhängigkeiten und Lizenzberichten, während sie in ihren IDEs arbeiten. Sie erhalten schnelles und umsetzbares Feedback, mit dem Entwickler zu Beginn des Softwareentwicklungsprozesses Korrekturen an ihrem Code vornehmen können.

  Funktionsverfügbarkeit: Der Cloud Code-Quellschutz ist für den öffentlichen Zugriff nicht verfügbar. Informationen zum Zugriff auf diese Funktion finden Sie auf der Seite „Zugriffsanfragen“.

Komponenten, die zur Sicherung der Softwarebereitstellung beitragen

Die Sicherung der Software – also Build-Artefakte und Anwendungsabhängigkeiten – ist ein wichtiger Schritt zur Verbesserung der Sicherheit der Softwarelieferkette. Die allgegenwärtige Verwendung von Open-Source-Software macht dieses Problem besonders schwierig.

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz von Build-Artefakten und Anwendungsabhängigkeiten bei:

• Assured-OSS

  Mit dem Assured OSS-Dienst können Sie auf die von Google geprüften und getesteten OSS-Pakete zugreifen und diese einbinden. Sie stellt Java- und Python-Pakete bereit, die mit den sicheren Pipelines von Google erstellt werden. Diese Pakete werden regelmäßig gescannt, analysiert und auf Sicherheitslücken getestet. Weitere Informationen finden Sie in der Dokumentation zu Assured Open Source Software.

• Artifact Registry und Artefaktanalyse

  Mit Artifact Registry können Sie Ihre Build-Artefakte speichern, schützen und verwalten. Mit der Artefaktanalyse werden proaktiv Sicherheitslücken für Artefakte in Artifact Registry erkannt. Artifact Registry bietet die folgenden Features, um die Sicherheit Ihrer Softwarelieferkette zu verbessern:

  • Die Artefaktanalyse bietet integriertes On-Demand- oder automatisches Scannen von Basiscontainer-Images und Sprachpaketen in Containern.
  • Mit der Artefaktanalyse können Sie eine Software-Bill of Materials (SBOM) generieren und Vulnerability Exploitability eXchange-Anweisungen (Vulnerability Exploitability eXchange) für die Images in Artifact Registry hochladen.
  • Die Artefaktanalyse bietet eigenständige Scans, mit denen vorhandene Sicherheitslücken und neue Sicherheitslücken in den Open-Source-Abhängigkeiten Ihrer Maven-Artefakte identifiziert werden (Vorabversion). Der Scan erfolgt jedes Mal, wenn Sie ein Java-Projekt per Push an Artifact Registry übertragen. Nach dem ersten Scan überwacht Artefaktanalyse die Metadaten für gescannte Images in Artifact Registry kontinuierlich auf neue Sicherheitslücken.
  • Artifact Registry unterstützt Remote-Repositories (Vorabversion) und virtuelle Repositories (Vorabversion) für Java-Pakete. Ein Remote-Repository fungiert als Caching-Proxy für Abhängigkeiten von Maven Central. Dies reduziert die Downloadzeit, verbessert die Paketverfügbarkeit und umfasst das Scannen auf Sicherheitslücken, falls Scan aktiviert ist. Virtuelle Repositories konsolidieren Repositories desselben Formats hinter einem einzigen Endpunkt und ermöglichen es Ihnen, die Suchreihenfolge in Upstream-Repositories zu steuern. Sie können Ihre privaten Pakete priorisieren, um das Risiko von Abhängigkeits-Verwirrungsangriffen zu verringern.

Komponenten zum Schutz der CI/CD-Pipeline

Böswillige Akteure können Softwarelieferketten angreifen, indem sie die CI/CD-Pipelines kompromittieren. Die folgenden Komponenten von Software Delivery Shield helfen beim Schutz der CI/CD-Pipeline:

• Cloud Build

  Cloud Build führt Ihre Builds in der Google Cloud-Infrastruktur aus. Sie bietet Sicherheitsfunktionen wie detaillierte IAM-Berechtigungen, VPC Service Controls sowie isolierte und sitzungsspezifische Build-Umgebungen. Darüber hinaus bietet es die folgenden Features, um die Sicherheit Ihrer Softwarelieferkette zu verbessern:

  • Es unterstützt SLSA Level 3-Builds für Container-Images.
  • Es generiert authentifizierte und nicht fälschbare Build-Herkunft für containerisierte Anwendungen.
  • Sicherheitsinformationen für erstellte Anwendungen werden angezeigt. Dazu zählen:
    • Die SLSA-Build-Ebene, die das Reifegrad Ihres Software-Build-Prozesses gemäß der SLSA-Spezifikation ermittelt.
    • Sicherheitslücken in Build-Artefakten
    • Build-Herkunft, eine Sammlung überprüfbarer Metadaten zu einem Build. Sie enthält Details wie die Digests der erstellten Images, die Speicherorte der Eingabequellen, die Build-Toolchain, Build-Schritte und die Build-Dauer.

  Eine Anleitung zum Aufrufen von Sicherheitsstatistiken für erstellte Anwendungen finden Sie unter Anwendung erstellen und Sicherheitsinformationen ansehen.

• Cloud Deploy

  Cloud Deploy automatisiert die Bereitstellung Ihrer Anwendungen in einer Reihe von Zielumgebungen in einer definierten Reihenfolge. Es unterstützt Continuous Delivery direkt an Google Kubernetes Engine, GKE Enterprise und Cloud Run und bietet Genehmigungen und Rollbacks mit einem Klick, Unternehmenssicherheit und -prüfung sowie integrierte Bereitstellungsmesswerte. Darüber hinaus werden Sicherheitsinformationen für bereitgestellte Anwendungen angezeigt.

Komponenten zum Schutz von Anwendungen in der Produktion

Mit GKE und Cloud Run können Sie den Sicherheitsstatus Ihrer Laufzeitumgebungen schützen. Beide bieten Sicherheitsfunktionen zum Schutz Ihrer Anwendungen während der Laufzeit.

• GKE

  GKE kann den Sicherheitsstatus Ihrer Container bewerten und aktive Anleitungen zu Clustereinstellungen, Arbeitslastkonfiguration und Sicherheitslücken bieten. Es enthält das Dashboard für den Sicherheitsstatus, das Ihre GKE-Cluster und -Arbeitslasten scannt, um Ihnen sinnvolle, umsetzbare Empfehlungen zur Verbesserung Ihres Sicherheitsstatus zu geben. Eine Anleitung zum Aufrufen von Sicherheitsinformationen im Dashboard für den GKE-Sicherheitsstatus finden Sie unter In GKE bereitstellen und Sicherheitsinformationen ansehen.

• Cloud Run

  Cloud Run enthält einen Bereich für Sicherheit, der Sicherheitsinformationen zur Softwarelieferkette anzeigt, z. B. Informationen zur Compliance auf der SLSA-Build-Ebene, Build-Herkunft und Sicherheitslücken bei laufenden Diensten. Eine Anleitung zum Aufrufen von Sicherheitsinformationen im Bereich mit den Sicherheitsinformationen von Cloud Run finden Sie unter In Cloud Run bereitstellen und Sicherheitsinformationen ansehen.

Vertrauenskette durch Richtlinien aufbauen

Mit der Binärautorisierung können Sie eine Vertrauenskette entlang Ihrer Softwarelieferkette aufbauen, pflegen und prüfen. Dazu werden attestations erhoben. Dies sind digitale Dokumente zur Zertifizierung von Images. Eine Attestierung gibt an, dass das zugehörige Image durch erfolgreiches Ausführen eines bestimmten erforderlichen Prozesses erstellt wurde. Basierend auf diesen erfassten Attestierungen hilft die Binärautorisierung, vertrauenswürdige Richtlinien zu definieren, zu prüfen und durchzusetzen. Sie sorgt dafür, dass das Image nur bereitgestellt wird, wenn die Attestierungen der Richtlinie Ihrer Organisation entsprechen. Außerdem kann es so eingestellt werden, dass Sie benachrichtigt werden, wenn Richtlinienverstöße festgestellt werden. Attestierungen können beispielsweise angeben, dass ein Image

• Von Cloud Build erstellt.
• Enthält keine Sicherheitslücken, die einen höheren Schweregrad haben. Wenn es bestimmte Sicherheitslücken gibt, die für Ihre Anwendungen nicht gelten, können Sie diese einer Zulassungsliste hinzufügen.

Sie können die Binärautorisierung mit GKE und Cloud Run verwenden.

Preise

Die folgende Liste verweist auf die Preisinformationen für die Dienste der Software Delivery Shield-Lösung:

• Cloud Workstations
• Cloud Code: Verfügbar für alle Google Cloud-Kunden kostenlos.
• Assured OSS: Preisinformationen erhalten Sie vom Vertriebsteam.
• Artifact Registry
• Artefaktanalyse
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Binärautorisierung

Nächste Schritte

• Anwendungen erstellen und Sicherheitsstatistiken ansehen
• In Cloud Run bereitstellen und Sicherheitsstatistiken ansehen
• In GKE bereitstellen und Sicherheitsinformationen ansehen