Software Delivery Shield 개요

Software Delivery Shield는 완전 관리형 엔드 투 엔드 소프트웨어 공급망 보안 솔루션입니다. 이는 개발자, DevOps, 보안팀이 소프트웨어 공급망의 보안 상태를 개선하는 데 사용할 수 있는 포괄적이고 모듈화된 기능 및 도구 모음을 Google Cloud 제품 전반에서 제공합니다.

Software Delivery Shield는 다음으로 구성됩니다.

• 개발, 빌드, 테스트, 스캔, 배포, 정책 적용을 위한 보안 권장사항이 포함된 Google Cloud 제품 및 기능
• 소스, 빌드, 아티팩트, 배포, 런타임에 대한 보안 정보를 표시하는 Google Cloud 콘솔의 대시보드. 이 정보에는 빌드 아티팩트의 취약점, 빌드 출처, Software Bill of Materials(SBOM) 종속 항목 목록이 포함됩니다.
• Supply chain Levels for Software Artifacts(SLSA) 프레임워크를 사용하여 소프트웨어 공급망 보안의 성숙도 수준을 식별하는 정보

Software Delivery Shield 구성요소

다음 다이어그램은 소프트웨어 공급망 보호를 위해 Software Delivery Shield 내에서 여러 서비스가 작동하는 방식을 보여줍니다.

다음 섹션에서는 Software Delivery Shield 솔루션에 포함된 제품 및 기능에 대해 설명합니다.

안전한 개발을 도와주는 구성요소

Software Delivery Shield의 다음 구성요소는 소프트웨어 소스 코드를 보호하는 데 도움이 됩니다.

• Cloud Workstations

  Cloud Workstations는 Google Cloud의 완전 관리형 개발 환경을 제공합니다. 이를 통해 IT 및 보안 관리자가 개발 환경을 프로비저닝, 확장, 관리, 보호할 수 있고 개발자가 일관된 구성과 맞춤설정 가능한 도구를 사용하여 개발 환경에 액세스할 수 있습니다.

  Cloud Workstations는 애플리케이션 개발 환경의 보안 상황을 향상시켜 보안 원점 회귀를 도와줍니다. VPC 서비스 제어, 비공개 인그레스 또는 이그레스, 강제 이미지 업데이트, Identity and Access Management 액세스 정책과 같은 보안 기능이 있습니다. 자세한 내용은 Cloud Workstations 문서를 참조하세요.

• Cloud Code source protect(미리보기)

  Cloud Code는 Google Cloud로 애플리케이션을 생성, 배포, 통합하기 위한 IDE 지원을 제공합니다. 개발자는 샘플 템플릿에서 새 애플리케이션을 만들고 맞춤설정할 수 있으며 완성된 애플리케이션을 실행할 수 있습니다. Cloud Code source protect는 개발자가 IDE에서 작업할 때 취약한 종속 항목 및 라이선스 보고와 같은 실시간 보안 피드백을 제공합니다. 개발자가 소프트웨어 개발 프로세스를 시작할 때 코드를 수정할 수 있는 빠르고 실행 가능한 피드백을 제공합니다.

  기능 제공 여부: Cloud Code source protect 기능은 공개적으로 액세스할 수 없습니다. 이 기능에 액세스하려면 액세스 요청 페이지를 참조하세요.

소프트웨어 공급망 보안에 도움이 되는 구성요소

소프트웨어 공급(빌드 아티팩트 및 애플리케이션 종속 항목) 보호는 소프트웨어 공급망 보안을 향상시키는 데 중요한 단계입니다. 오픈소스 소프트웨어가 광범위하게 사용되고 있기 때문에 이 문제는 특히 까다롭습니다.

Software Delivery Shield의 다음 구성요소는 빌드 아티팩트와 애플리케이션 종속 항목을 보호하는 데 도움이 됩니다.

• Assured OSS

  Assured OSS 서비스를 사용하면 Google에서 확인하고 테스트한 OSS 패키지에 액세스하고 통합할 수 있습니다. Google의 보안 파이프라인을 사용하여 빌드된 자바 및 Python 패키지를 제공합니다. 이러한 패키지의 취약점을 파악하기 위한 스캔, 분석, 테기트가 정기적으로 수행됩니다. 자세한 내용은 Assured 오픈소스 소프트웨어 문서를 참조하세요.

• Artifact Registry 및 Artifact Analysis

  Artifact Registry를 사용하면 빌드 아티팩트를 저장, 보호, 관리할 수 있으며 Artifact Analysis는 Artifact Registry에서 아티팩트의 취약점을 사전에 감지합니다. Artifact Registry는 소프트웨어 공급망의 보안 상태를 개선하기 위해 다음 기능을 제공합니다.

  • Artifact Analysis는 기본 컨테이너 이미지 및 컨테이너의 언어 패키지에 통합 주문형 또는 자동 스캔을 제공합니다.
  • Artifact Analysis를 사용하면 소프트웨어 재료명세서(SBOM)를 생성하고 Artifact Registry의 이미지에 대한 Vulnerability Exploitability eXchange(VEX) 문을 업로드할 수 있습니다.
  • Artifact Analysis는 Maven 아티팩트에 사용되는 오픈소스 종속 항목 내의 기존 취약점 및 새 취약점을 식별하는 독립형 스캔을 제공합니다(미리보기). 스캔은 자바 프로젝트를 Artifact Registry에 푸시할 때마다 수행됩니다. 초기 스캔 후 Artifact Analysis는 Artifact Registry에서 스캔한 이미지의 메타데이터를 지속적으로 모니터링하여 새로운 취약점이 있는지 확인합니다.
  • Artifact Registry는 자바 패키지에 대해 원격 저장소(미리보기) 및 가상 저장소(미리보기)를 지원합니다. 원격 저장소는 Maven Central의 종속 항목에 대한 캐싱 프록시로 작동하여, 다운로드 시간을 줄이고, 패키지 가용성을 향상시키고, 스캔이 사용 설정된 경우 취약점 스캔을 포함합니다. 가상 저장소는 단일 엔드포인트 뒤에 동일한 형식의 저장소를 통합하고 업스트림 저장소 전반에서 검색 순서를 제어할 수 있습니다. 비공개 패키지의 우선순위를 정할 수 있으므로 종속 항목 혼동 공격 위험을 줄일 수 있습니다.

CI/CD 파이프라인 보호에 도움이 되는 구성요소

악의적인 행위자는 CI/CD 파이프라인을 손상시켜서 소프트웨어 공급망을 공격할 수 있습니다. Software Delivery Shield의 다음 구성요소는 CI/CD 파이프라인을 보호하는 데 도움이 됩니다.

• Cloud Build

  Cloud Build는 Google Cloud 인프라에서 빌드를 실행합니다. 세분화된 IAM 권한, VPC 서비스 제어, 격리된 임시 빌드 환경과 같은 보안 기능을 제공합니다. 또한 소프트웨어 공급망의 보안 상태를 개선할 수 있는 다음과 같은 기능을 제공합니다.

  • 컨테이너 이미지를 위한 SLSA 레벨 3 빌드를 지원합니다.
  • 컨테이너화된 애플리케이션에 대해 위조 불가능한 인증된 빌드 출처를 생성합니다.
  • 빌드된 애플리케이션의 보안 통계를 표시합니다. 여기에는 다음이 포함됩니다.
    • SLSA 사양에 따라 소프트웨어 빌드 프로세스의 성숙도 수준을 식별하는 SLSA 빌드 수준
    • 빌드 아티팩트의 취약점
    • 빌드 출처: 빌드에 대한 검증 가능한 메타데이터의 모음. 빌드된 이미지의 다이제스트, 입력 소스 위치, 빌드 도구 모음, 빌드 단계, 빌드 기간과 같은 세부정보가 포함됩니다.

  빌드된 애플리케이션의 보안 통계를 보는 방법은 애플리케이션 빌드 및 보안 통계 보기를 참조하세요.

• Cloud Deploy

  Cloud Deploy는 정의된 시퀀스에 따라 애플리케이션을 일련의 대상 환경으로 자동으로 전송합니다. 기본 제공 전송 측정항목은 물론 클릭 한 번으로 승인 및 롤백, 기업 보안 및 감사, Google Kubernetes Engine, GKE Enterprise 및 Cloud Run으로의 지속적 배포를 지원합니다. 또한 배포된 애플리케이션에 대한 보안 인사이트를 표시합니다.

프로덕션 단계의 애플리케이션을 보호하는 데 도움이 되는 구성요소

GKE 및 Cloud Run은 런타임 환경의 보안 상태를 보호하는 데 도움이 됩니다. 두 가지 모두 런타임에서 애플리케이션을 보호하는 보안 기능과 함께 제공됩니다.

• GKE

  GKE는 컨테이너 보안 상태를 평가하고 클러스터 설정, 워크로드 구성, 취약점에 대한 적극적인 안내를 제공합니다. 여기에는 GKE 클러스터 및 워크로드를 스캔하여 보안 상태를 개선할 수 있는 실행 가능한 독자적인 권장사항이 제공되는 보안 상태 대시보드가 포함됩니다. GKE 보안 상태 대시보드에서 보안 통계를 보는 방법은 GKE에 배포 및 보안 통계 보기를 참조하세요.

• Cloud Run

  Cloud Run에는 보안 패널이 포함되어 있습니다. 이 패널은 SLSA 빌드 수준 규정 준수 정보, 빌드 출처, 실행 중인 서비스에서 발견된 취약점과 같은 소프트웨어 공급망 보안 통계를 표시합니다. Cloud Run 보안 통계 패널에서 보안 통계를 보는 방법은 Cloud Run에 배포 및 보안 통계 보기를 참조하세요.

정책을 통해 신뢰 사슬 구축

Binary Authorization은 이미지를 인증하는 디지털 문서인 증명을 수집하여 소프트웨어 공급망에서 신뢰 사슬을 구축, 유지, 확인하는 데 도움이 됩니다. 증명은 특정한 필수 프로세스를 성공적으로 실행하여 연결된 이미지가 빌드되었음을 나타냅니다. 수집된 증명을 기반으로 Binary Authorization은 신뢰 기반 정책을 정의, 확인, 적용하는 데 도움을 줍니다. 증명이 조직 정책에 부합할 때만 이미지가 배포되도록 하고, 정책 위반이 발견되면 알림을 제공하도록 설정할 수도 있습니다. 예를 들어 증명으로 이미지에 대한 다음과 같은 사실을 확인할 수 있습니다.

• Cloud Build로 빌드됨
• 지정된 심각도보다 높은 취약점이 포함되어 있지 않습니다. 애플리케이션에 적용되지 않는 특정 취약점이 있는 경우 허용 목록에 추가할 수 있습니다.

GKE 및 Cloud Run에 Binary Authorization을 사용할 수 있습니다.

가격 책정

다음 목록은 Software Delivery Shield 솔루션의 서비스에 대한 가격 책정 정보를 보여줍니다.

• Cloud Workstations
• Cloud Code: 모든 Google Cloud 고객에게 무료로 제공됩니다.
• Assured OSS: 가격 책정 정보는 영업팀에 문의하세요.
• Artifact Registry
• Artifact Analysis
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Binary Authorization

다음 단계

• 애플리케이션을 빌드하고 보안 통계를 보는 방법 알아보기
• Cloud Run에 배포 및 보안 인사이트 확인 방법 알아보기
• GKE에 배포 및 보안 인사이트 확인 방법 알아보기