Software Delivery Shield ist ein vollständig verwaltetes End-to-End-Softwareangebot, Sicherheitslösung einer Kette. Sie bietet eine umfassende und modulare Reihe von Funktionen und Tools für Google Cloud-Produkte, mit denen Entwickler, DevOps- und Sicherheitsteams die Sicherheit der Softwarelieferkette verbessern können.
Software Delivery Shield besteht aus:
- Google Cloud-Produkte und -Funktionen, die Best Practices für die Sicherheit bei Entwicklung, Build, Tests, Scans, Bereitstellung und Richtliniendurchsetzung umfassen.
- Dashboards in der Google Cloud Console mit Sicherheitsinformationen zu Quellcode, Builds, Artefakten, Bereitstellungen und Laufzeit Dazu gehören Sicherheitslücken in Build-Artefakten, die Herkunft des Builds und die Abhängigkeitsliste der Software Bill of Materials (SBOM).
- Informationen zur Reife der Sicherheit Ihrer Softwarelieferkette anhand des Frameworks „Supply Chain Levels for Software Artifacts“ (SLSA).
Komponenten von Software Delivery Shield
Das folgende Diagramm zeigt, wie die verschiedenen Dienste in Software Delivery Shield zusammenarbeiten, um Ihre Softwarelieferkette zu schützen:
In den folgenden Abschnitten werden die Produkte und Funktionen der Software Delivery Shield-Lösung erläutert:
Komponenten zur sicheren Entwicklung
Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz der Softwarequelle bei Code:
Cloud Workstations
Cloud Workstations bietet vollständig verwaltete Entwicklungsumgebungen auf Google Cloud Es ermöglicht IT- und Sicherheitsadministratoren, ihre Entwicklungsumgebungen bereitzustellen, zu skalieren, zu verwalten und zu sichern. Außerdem können Entwickler mit einheitlichen Konfigurationen und anpassbaren Tools auf Entwicklungsumgebungen zugreifen.
Cloud Workstations verbessert die Sicherheit den Sicherheitsstatus Ihrer Anwendungsentwicklungsumgebungen. Es bietet Sicherheitsfunktionen wie VPC Service Controls, privaten eingehenden und ausgehenden Traffic, erzwungene Image-Updates und IAM-Zugriffsrichtlinien. Weitere Informationen finden Sie in der Dokumentation zu Cloud Workstations
Cloud Code Source Protect (Vorabversion)
Cloud Code bietet IDE-Unterstützung zum Erstellen, Bereitstellen und Einbinden von Anwendungen in Google Cloud. Damit können Entwickler eine neue Anwendung aus Beispielvorlagen erstellen und anpassen sowie die fertige Anwendung ausführen. Cloud Code Source Protect bietet Entwicklern Sicherheitsfeedback in Echtzeit, z. B. zur Identifizierung von Schwachstellen Abhängigkeiten und Lizenzberichte, da sie in ihren IDEs funktionieren. Sie bietet schnelles und umsetzbares Feedback, das es Entwickelnden ermöglicht, ihren Code zu Beginn des Softwareentwicklungsprozesses.
Verfügbarkeit der Funktion: Der Cloud Code-Quellcodeschutz ist nicht für den öffentlichen Zugriff verfügbar. Informationen zum Zugriff auf diese Funktion finden Sie auf der Seite Zugriffsanfrage.
Komponenten zur Sicherung der Softwarebereitstellung
Die Sicherheit der Softwarebereitstellung – Build-Artefakte und Anwendungsabhängigkeiten – ist ein wichtiger Schritt zur Verbesserung der Sicherheit der Softwarelieferkette. Die weit verbreitete Verwendung von Open-Source-Software macht dieses Problem besonders schwierig.
Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz von Build-Artefakten und Anwendungsabhängigkeiten bei:
Assured OSS
Mit dem Assured OSS-Dienst können Sie auf OSS-Pakete zugreifen, die von Google geprüft und getestet wurden, und diese einbinden. Es bietet Java- und Python-Pakete, die mit den sicheren Pipelines von Google erstellt werden. Diese Pakete werden regelmäßig gescannt, analysiert und auf Sicherheitslücken geprüft. Weitere Informationen finden Sie in der Dokumentation zu Assured-Open-Source-Software
Artifact Registry und Artefaktanalyse
Mit Artifact Registry können Sie Build-Artefakte verwalten und Artefaktanalyse erkennt Artefakte in Artifact Registry proaktiv. Artifact Registry bietet die folgenden Funktionen, um die Sicherheit Ihrer Softwarelieferkette zu verbessern:
- Artifact Analysis bietet integriertes On-Demand-Scannen oder automatisches Scannen für Basiscontainer-Images und Sprachpakete in Containern.
- Mit der Artefaktanalyse können Sie eine Software-Materialliste (SBOM) generieren und VEX-Anweisungen (Vulnerability Exploitability eXchange) für die Images in Artifact Registry hochladen.
- Die Artefaktanalyse bietet eigenständige Scans, die identifiziert bestehende Schwachstellen und neue Schwachstellen im offenen Quellabhängigkeiten, die von Ihren Maven-Artefakten verwendet werden (Vorschau). Der Scan wird jedes Mal durchgeführt, wenn Sie ein Java-Projekt per Push an Artifact Registry. Nach dem ersten Scan überwacht Artefaktanalyse kontinuierlich die Metadaten für gescannte Images in Artifact Registry auf neue Sicherheitslücken.
- Artifact Registry unterstützt Remote-Repositories und virtuelle Repositories. Remote-Repositories speichern Artefakte aus voreingestellten externen Quellen wie Docker Hub, Maven Central, der Python Package Index (PyPI), Debian oder CentOS sowie benutzerdefinierte Quellen für unterstützten Formaten. Das Caching von Artefakten in Remote-Repositories reduziert die Downloadzeit, verbessert Paketverfügbarkeit und beinhaltet beim Scannen auf Sicherheitslücken scannen aktiviert ist. Virtuelle Repositories konsolidieren Repositories desselben Formats hinter einem einzigen Endpunkt und ermöglichen die Steuerung der Suchreihenfolge in Upstream-Repositories. Sie können Ihre privaten Pakete priorisieren, wodurch das Risiko von Verwirrungsangriffe auf Abhängigkeiten.
Komponenten zum Schutz der CI/CD-Pipeline
Angreifer können Softwarelieferketten angreifen, indem sie die CI/CD manipulieren Pipelines. Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz der CI/CD-Pipeline bei:
Cloud Build
Cloud Build führt Ihre Builds in der Google Cloud-Infrastruktur aus. Sie bietet Sicherheitsfunktionen wie detaillierte IAM-Berechtigungen, VPC Service Controls und isolierte und sitzungsspezifische Build-Umgebungen. Darüber hinaus bietet er die folgenden Funktionen, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern:
- Unterstützt SLSA Level 3-Builds für Container-Images
- Es generiert eine authentifizierte und fälschungssichere Build-Herkunft für containerisierte Anwendungen.
- Hier werden Sicherheitsinformationen für erstellte Anwendungen angezeigt. Dazu zählen:
- Der SLSA-Build-Level, der den Reifegrad Ihrer Software angibt in Übereinstimmung mit der SLSA-Spezifikation
- Sicherheitslücken in Build-Artefakten
- Build-Herkunft, eine Sammlung überprüfbarer Metadaten zu einem Build. Sie enthalten Details wie die Digests der erstellten Images, die Quell-Speicherorte, die Build-Toolchain, die Build-Schritte und die Build-Dauer.
Eine Anleitung zum Ansehen von Sicherheitsstatistiken für erstellte Anwendungen finden Sie unter Anwendung erstellen und Sicherheitsstatistiken ansehen.
Cloud Deploy
Cloud Deploy automatisiert die Bereitstellung Ihrer Anwendungen in einer Reihe von Zielumgebungen in einer definierten Reihenfolge. Es unterstützt Continuous Delivery direkt in Google Kubernetes Engine, GKE Enterprise und Cloud Run mit Genehmigungen und Rollbacks mit nur einem Klick, Enterprise Sicherheit und Audit sowie integrierte Messwerte für die Bereitstellung. Außerdem Sicherheitsinformationen für bereitgestellte Anwendungen
Komponenten zum Schutz von Anwendungen in der Produktion
GKE und Cloud Run den Sicherheitsstatus Ihrer Laufzeitumgebungen. Beide bieten Sicherheitsfunktionen, um Ihre Anwendungen zur Laufzeit zu schützen.
GKE
GKE kann den Sicherheitsstatus von Containern bewerten und Informationen zu Clustereinstellungen, Arbeitslastkonfiguration und Sicherheitslücken. Es umfasst das Dashboard für den Sicherheitsstatus, mit dem Ihre GKE-Cluster und -Arbeitslasten, um Ihnen umsetzbare Empfehlungen zur Verbesserung Ihres Sicherheitsstatus. Anleitungen zum Ansehen von Sicherheitsinformationen im GKE-Sicherheitsstatus Dashboard finden Sie unter In GKE bereitstellen und Sicherheitsinformationen ansehen
Cloud Run
Cloud Run enthält einen Sicherheitsbereich, in dem Software Informationen zur Sicherheit der Lieferkette, wie z. B. die Compliance-Informationen auf der SLSA-Build-Ebene, Build-Herkunft und Schwachstellen, die in ausgeführten Diensten gefunden wurden. Eine Anleitung zum Aufrufen von Sicherheitserkenntnissen im Bereich „Sicherheitserkenntnisse“ von Cloud Run finden Sie unter In Cloud Run bereitstellen und Sicherheitserkenntnisse ansehen.
Vertrauenskette durch Richtlinien aufbauen
Mit der Binärautorisierung können Sie eine Vertrauenskette schaffen, Ihre Softwarelieferkette durch Einholen von Bescheinigungen, die digital sind Dokumente zur Zertifizierung von Bildern. Eine Attestierung besagt, dass die zugehörige Image wurde durch erfolgreiches Ausführen eines bestimmten, erforderlichen Prozesses erstellt. Basierend auf Mit der Binärautorisierung definieren, verifizieren und vertrauenswürdige Richtlinien durchzusetzen. Das Image wird nur bereitgestellt, wenn die Attestierungen der Richtlinie Ihrer Organisation entsprechen. Dieser Wert kann auch auf Sie werden benachrichtigt, wenn Richtlinienverstöße festgestellt werden. Attestierungen können beispielsweise geben an, dass ein Bild
- Mit Cloud Build erstellt
- Enthält keine Sicherheitslücken mit einem höheren Schweregrad als angegeben. Wenn es bestimmte Sicherheitslücken gibt, können Sie sie auf eine Zulassungsliste setzen.
Sie können die Binärautorisierung mit GKE und Cloud Run
Preise
Die folgende Liste verweist auf die Preisinformationen für die Dienste im Software Delivery Shield-Lösung:
- Cloud Workstations
- Cloud Code: Kostenlos für alle Google Cloud-Kunden verfügbar zu laden.
- Assured OSS: Preisinformationen erhalten Sie vom Vertriebsteam.
- Artifact Registry
- Artefaktanalyse
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Binärautorisierung
Nächste Schritte
- Weitere Informationen zum Erstellen von Anwendungen und zum Ansehen von Sicherheitsstatistiken
- Weitere Informationen zum Bereitstellen in Cloud Run und zum Ansehen von Sicherheitserkenntnissen
- In GKE bereitstellen und Sicherheitsinformationen ansehen