Software Delivery Shield – Übersicht

Software Delivery Shield ist eine vollständig verwaltete End-to-End-Sicherheitslösung für die Softwarelieferkette. Es bietet eine umfassende und modulare Reihe von Funktionen und Tools für Google Cloud-Produkte, mit denen Entwickler, DevOps und Sicherheitsteams den Sicherheitsstatus der Softwarelieferkette verbessern können.

Software Delivery Shield umfasst:

• Google Cloud-Produkte und -Features mit Best Practices für die Sicherheit zum Erstellen, Testen, Scannen, Bereitstellen und Erzwingen von Richtlinien.
• Dashboards in der Google Cloud Console mit Sicherheitsinformationen zu Quelle, Builds, Artefakten, Bereitstellungen und Laufzeit. Zu diesen Informationen gehören Sicherheitslücken in Build-Artefakten, Build-Herkunft und die Abhängigkeitsliste in der Software Bill of Materials (SBOM).
• Informationen zum Reifegrad der Sicherheit Ihrer Softwarelieferkette mit dem SLSA-Framework (Supply Chain Levels for Software Artifacts).

Komponenten von Software Delivery Shield

Das folgende Diagramm zeigt, wie die verschiedenen Dienste in Software Delivery Shield zusammenarbeiten, um Ihre Softwarelieferkette zu schützen:

In den folgenden Abschnitten werden die Produkte und Funktionen der Software Delivery Shield-Lösung erläutert:

Komponenten für eine sichere Entwicklung

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz des Softwarequellcodes bei:

• Cloud Workstations

  Cloud Workstations bietet vollständig verwaltete Entwicklungsumgebungen in Google Cloud. IT- und Sicherheitsadministratoren können ihre Entwicklungsumgebungen bereitstellen, skalieren, verwalten und schützen. Außerdem können Entwickler mit einheitlichen Konfigurationen und anpassbaren Tools auf Entwicklungsumgebungen zugreifen.

  Cloud Workstations verbessert den Sicherheitsstatus Ihrer Anwendungsentwicklungsumgebungen und trägt so dazu bei, die Sicherheit nach links zu verschieben. Es bietet Sicherheitsfeatures wie VPC Service Controls, privater ein- oder ausgehender Traffic, erzwungene Image-Updates und Zugriffsrichtlinien für Identity and Access Management. Weitere Informationen finden Sie in der Dokumentation zu Cloud Workstations.

• Cloud Code Source Protect (Vorabversion)

  Cloud Code bietet IDE-Unterstützung zum Erstellen, Bereitstellen und Integrieren von Anwendungen in Google Cloud. Entwickler können damit eine neue Anwendung aus Beispielvorlagen erstellen und anpassen und die fertige Anwendung ausführen. Cloud Code Source Protect bietet Entwicklern während der Arbeit in ihren IDEs Echtzeit-Sicherheitsfeedback, z. B. die Identifizierung von anfälligen Abhängigkeiten und Lizenzberichte. Es bietet schnelles und umsetzbares Feedback, mit dem Entwickler zu Beginn des Softwareentwicklungsprozesses Korrekturen an ihrem Code vornehmen können.

  Verfügbarkeit von Funktionen: Cloud Code Source Protect ist für den öffentlichen Zugriff nicht verfügbar. Informationen zum Zugriff auf diese Funktion finden Sie auf der Seite für die Zugriffsanfrage.

Komponenten zur Sicherung der Softwarebereitstellung

Die Absicherung der Softwarebereitstellung – Build-Artefakte und Anwendungsabhängigkeiten – ist ein wichtiger Schritt zur Verbesserung der Sicherheit der Softwarelieferkette. Der allgegenwärtige Einsatz von Open-Source-Software macht dieses Problem besonders schwierig.

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz von Build-Artefakten und Anwendungsabhängigkeiten bei:

• Assured OSS

  Mit dem Assured OSS-Dienst können Sie auf die von Google verifizierten und getesteten OSS-Pakete zugreifen und diese einbinden. Es bietet Java- und Python-Pakete, die mit den sicheren Pipelines von Google erstellt werden. Diese Pakete werden regelmäßig gescannt, analysiert und auf Sicherheitslücken getestet. Weitere Informationen finden Sie in der Dokumentation zu Assured Open Source Software.

• Artifact Registry und Artefaktanalyse

  Mit Artifact Registry können Sie Ihre Build-Artefakte speichern, schützen und verwalten. Mit der Artefaktanalyse werden Sicherheitslücken für Artefakte in Artifact Registry proaktiv erkannt. Artifact Registry bietet die folgenden Features, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern:

  • Die Artefaktanalyse bietet integriertes On-Demand- oder automatisches Scannen von Basiscontainer-Images und Sprachpaketen in Containern.
  • Mit der Artefaktanalyse können Sie eine Software-Materialliste (SBOM) erstellen und VEX-Anweisungen (Vulnerability Exploitability eXchange) für die Images in Artifact Registry hochladen.
  • Die Artefaktanalyse bietet eigenständige Scans, die vorhandene Sicherheitslücken und neue Sicherheitslücken innerhalb der von Ihren Maven-Artefakten verwendeten Open-Source-Abhängigkeiten erkennen (Vorabversion). Der Scan wird jedes Mal durchgeführt, wenn Sie ein Java-Projekt per Push an Artifact Registry übertragen. Nach dem ersten Scan überwacht die Artefaktanalyse die Metadaten für gescannte Images in Artifact Registry kontinuierlich auf neue Sicherheitslücken.
  • Artifact Registry unterstützt Remote-Repositories und virtuelle Repositories. Remote-Repositories speichern Artefakte aus voreingestellten externen Quellen wie Docker Hub, Maven Central, dem Python Package Index (PyPI), Debian oder CentOS sowie benutzerdefinierten Quellen für unterstützte Formate. Das Caching von Artefakten in Remote-Repositories reduziert die Downloadzeit, verbessert die Paketverfügbarkeit und umfasst das Scannen auf Sicherheitslücken, wenn das Scannen aktiviert ist. Virtuelle Repositories konsolidieren Repositories mit demselben Format hinter einem einzigen Endpunkt und ermöglichen es Ihnen, die Suchreihenfolge in vorgelagerten Repositories zu steuern. Sie können Ihre privaten Pakete priorisieren, um das Risiko von Abhängigkeitsangriffen zu verringern.

Komponenten zum Schutz der CI/CD-Pipeline

Betrüger können Softwarelieferketten angreifen, indem sie die CI/CD-Pipelines kompromittieren. Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz der CI/CD-Pipeline bei:

• Cloud Build

  Cloud Build führt Ihre Builds in der Google Cloud-Infrastruktur aus. Es bietet Sicherheitsfeatures wie detaillierte IAM-Berechtigungen, VPC Service Controls sowie isolierte und sitzungsspezifische Build-Umgebungen. Darüber hinaus bietet es die folgenden Funktionen, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern:

  • Sie unterstützt SLSA Level 3-Builds für Container-Images.
  • Es generiert authentifizierte und nicht fälschbare Build-Herkunft für containerisierte Anwendungen.
  • Er zeigt Sicherheitsinformationen für erstellte Anwendungen an. Dazu zählen:
    • Die SLSA-Build-Ebene, die das Reifegrad Ihres Software-Build-Prozesses gemäß der SLSA-Spezifikation angibt.
    • Sicherheitslücken in Build-Artefakten
    • Build-Herkunft, d. h. eine Sammlung überprüfbarer Metadaten zu einem Build. Sie enthält Details wie die Digests der erstellten Images, die Speicherorte der Eingabequellen, die Build-Toolchain, Build-Schritte und die Build-Dauer.

  Eine Anleitung zum Aufrufen von Sicherheitsstatistiken für erstellte Anwendungen finden Sie unter Anwendung erstellen und Sicherheitsstatistiken ansehen.

• Cloud Deploy

  Cloud Deploy automatisiert die Bereitstellung Ihrer Anwendungen in einer Reihe von Zielumgebungen in einer definierten Reihenfolge. Sie unterstützt Continuous Delivery direkt an Google Kubernetes Engine, GKE Enterprise und Cloud Run mit Genehmigungen und Rollbacks mit nur einem Klick, Unternehmenssicherheit und -prüfung sowie integrierten Auslieferungsmesswerten. Außerdem werden Sicherheitsinformationen für bereitgestellte Anwendungen angezeigt.

Komponenten zum Schutz von Anwendungen in der Produktion

GKE und Cloud Run tragen zum Schutz des Sicherheitsstatus Ihrer Laufzeitumgebungen bei. Beide bieten Sicherheitsfeatures, um Ihre Anwendungen während der Laufzeit zu schützen.

• GKE

  GKE kann den Sicherheitsstatus von Containern bewerten und aktiv Hinweise in Bezug auf Clustereinstellungen, Arbeitslastkonfiguration und Sicherheitslücken geben. Es enthält das Dashboard für den Sicherheitsstatus, das Ihre GKE-Cluster und -Arbeitslasten scannt, um Ihnen fundierte, umsetzbare Empfehlungen zur Verbesserung Ihres Sicherheitsstatus zu geben. Eine Anleitung zum Aufrufen von Sicherheitsinformationen im Dashboard für den GKE-Sicherheitsstatus finden Sie unter In GKE bereitstellen und Sicherheitsinformationen ansehen.

• Cloud Run

  Cloud Run enthält einen Sicherheitsbereich, in dem Informationen zur Sicherheit der Softwarelieferkette angezeigt werden, z. B. Informationen zur Compliance auf SLSA-Build-Ebene, zur Build-Herkunft und zu Sicherheitslücken in ausgeführten Diensten. Eine Anleitung zum Aufrufen von Sicherheitsinformationen im Bereich mit den Cloud Run-Sicherheitsinformationen finden Sie unter In Cloud Run bereitstellen und Sicherheitsinformationen ansehen.

Vertrauenskette durch Richtlinien aufbauen

Mit der Binärautorisierung können Sie eine Vertrauenskette entlang Ihrer Softwarelieferkette einrichten, pflegen und verifizieren. Dazu werden attestations eingeholt. Dabei handelt es sich um digitale Dokumente zur Zertifizierung von Images. Eine Attestierung gibt an, dass das verknüpfte Image durch erfolgreiches Ausführen eines bestimmten, erforderlichen Prozesses erstellt wurde. Basierend auf diesen erfassten Attestierungen hilft die Binärautorisierung beim Definieren, Prüfen und Durchsetzen vertrauenswürdiger Richtlinien. Er sorgt dafür, dass das Image nur bereitgestellt wird, wenn die Attestierungen der Richtlinie Ihrer Organisation entsprechen. Außerdem kann es so eingestellt werden, dass Sie benachrichtigt werden, wenn Richtlinienverstöße festgestellt werden. Attestierungen können beispielsweise angeben, dass ein Image:

• Von Cloud Build erstellt.
• Enthält keine Sicherheitslücken ab einem bestimmten Schweregrad. Wenn es bestimmte Sicherheitslücken gibt, die nicht auf Ihre Anwendungen zutreffen, können Sie sie einer Zulassungsliste hinzufügen.

Sie können die Binärautorisierung mit GKE und Cloud Run verwenden.

Preise

Die folgende Liste enthält die Preisinformationen für die Dienste in der Software Delivery Shield-Lösung:

• Cloud Workstations
• Cloud Code: Für alle Google Cloud-Kunden kostenlos verfügbar.
• Assured OSS: Informationen zu Preisinformationen erhalten Sie vom Vertriebsteam.
• Artifact Registry
• Artefaktanalyse
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Binärautorisierung

Nächste Schritte

• Anwendungen erstellen und Sicherheitsinformationen ansehen
• In Cloud Run bereitstellen und Sicherheitsinformationen ansehen
• In GKE bereitstellen und Sicherheitsinformationen ansehen