Software Delivery Shield – Übersicht

Software Delivery Shield ist ein vollständig verwaltetes End-to-End-Softwareangebot, Sicherheitslösung einer Kette. Sie bietet ein umfassendes und modulares Set Funktionen und Tools für Google Cloud-Produkte, die Entwickler, DevOps und können Sicherheitsteams den Sicherheitsstatus der Softwarebereitstellung verbessern, Kette hinzufügen.

Software Delivery Shield umfasst:

• Google Cloud-Produkte und -Features mit Best Practices für die Sicherheit für Entwicklung, Build, Test, Scan, Bereitstellung und Richtlinienerzwingung.
• Dashboards in der Google Cloud Console, die Sicherheitsinformationen zu Quelle, Builds, Artefakte, Bereitstellungen und Laufzeit. Zu diesen Informationen gehören Sicherheitslücken in Build-Artefakten, Build-Herkunft und Software Bill of Materials (SBOM) Abhängigkeitsliste.
• Informationen, die den Reifegrad Ihrer Softwarelieferkette identifizieren Sicherheit mithilfe der SLSA-Framework (Supply Chain Levels for Software Artifacts)

Komponenten von Software Delivery Shield

Das folgende Diagramm zeigt, wie die verschiedenen Dienste Software Delivery Shield schützt gemeinsam Ihre Softwarelieferkette:

In den folgenden Abschnitten werden die Produkte und Funktionen des Software Delivery Shield-Lösung:

Komponenten für eine sichere Entwicklung

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz der Softwarequelle bei Code:

• Cloud Workstations

  Cloud Workstations bietet vollständig verwaltete Entwicklungsumgebungen auf Google Cloud IT- und Sicherheitsadministratoren können damit ihre Entwicklungsumgebungen verwalten und schützen und auf Entwicklungsumgebungen mit konsistenten Konfigurationen und anpassbare Tools.

  Cloud Workstations verbessert die Sicherheit den Sicherheitsstatus Ihrer Anwendungsentwicklungsumgebungen. Sie enthält Sicherheitsfunktionen wie VPC Service Controls, privater eingehender oder ausgehender Traffic, erzwungen Image-Update und Zugriffsrichtlinien für Identity and Access Management. Weitere Informationen finden Sie in der Dokumentation zu Cloud Workstations

• Cloud Code Source Protect (Vorabversion)

  Cloud Code bietet IDE-Unterstützung zum Erstellen, Bereitstellen und Anwendungen in Google Cloud zu integrieren. Entwickler können damit eine neue Anwendung anhand von Beispielvorlagen erstellen und anpassen und den abgeschlossene Bewerbung. Cloud Code Source Protect bietet Entwicklern Sicherheitsfeedback in Echtzeit, z. B. zur Identifizierung von Schwachstellen Abhängigkeiten und Lizenzberichte, da sie in ihren IDEs funktionieren. Sie bietet schnelles und umsetzbares Feedback, das es den Entwickelnden ermöglicht, ihren Code zu Beginn des Softwareentwicklungsprozesses.

  Verfügbarkeit von Funktionen: Cloud Code Source Protect ist nicht verfügbar. für den öffentlichen Zugriff. Um auf diese Funktion zuzugreifen, besuche die Seite für Zugriffsanfragen.

Komponenten zur Sicherung der Softwarebereitstellung

Die Absicherung der Softwarebereitstellung – Build-Artefakte und Anwendungsabhängigkeiten – ist ein entscheidender Schritt zur Verbesserung der Sicherheit der Softwarelieferkette. Das Allgegenwärtige Open-Source-Software macht dieses Problem besonders schwierig.

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz von Build-Artefakten bei und Anwendungsabhängigkeiten:

• Assured OSS

  Mit dem Assured OSS-Dienst können Sie auf das OSS zugreifen und es einbinden die von Google verifiziert und getestet wurden. Es bietet Java- und Python-Pakete, die mit den sicheren Pipelines von Google erstellt werden. Diese Pakete werden regelmäßig gescannt, analysiert und auf Schwachstellen getestet. Weitere Informationen finden Sie in der Dokumentation zu Assured-Open-Source-Software

• Artifact Registry und Artefaktanalyse

  Mit Artifact Registry können Sie Build-Artefakte verwalten und Artefaktanalyse erkennt Artefakte in Artifact Registry proaktiv. Artifact Registry bietet die folgenden Features zur Verbesserung der Sicherheit Status Ihrer Softwarelieferkette:

  • Die Artefaktanalyse bietet integrierte On demand oder automatisches Scannen für Basiscontainer-Images und Sprachpakete in Containern.
  • Mit der Artefaktanalyse können Sie Software-Materialliste (SBOM) erstellen und laden Sie Vulnerability Exploitability eXchange (VEX)-Erklärungen für die Images in Artifact Registry.
  • Die Artefaktanalyse bietet eigenständige Scans, die identifiziert bestehende Schwachstellen und neue Schwachstellen im offenen Quellabhängigkeiten, die von Ihren Maven-Artefakten verwendet werden (Vorschau). Der Scan wird jedes Mal durchgeführt, wenn Sie ein Java-Projekt per Push an Artifact Registry. Nach dem ersten Scan führt die Artefaktanalyse überwacht kontinuierlich die Metadaten für gescannte Images in Artifact Registry nach neuen Schwachstellen suchen.
  • Artifact Registry unterstützt Remote-Repositories und virtuelle Repositories. Remote-Repositories speichern Artefakte aus voreingestellten externen Quellen wie Docker Hub, Maven Central, der Python Package Index (PyPI), Debian oder CentOS sowie benutzerdefinierte Quellen für unterstützten Formaten. Das Caching von Artefakten in Remote-Repositories reduziert die Downloadzeit, verbessert Paketverfügbarkeit und beinhaltet beim Scannen auf Sicherheitslücken scannen aktiviert ist. Virtuelle Repositories konsolidieren Repositorys mit denselben hinter einem einzelnen Endpunkt platzieren und die Suchreihenfolge festlegen können, in vorgelagerten Repositories. Sie können Ihre privaten Pakete priorisieren, wodurch das Risiko von Verwirrungsangriffe auf Abhängigkeiten.

Komponenten zum Schutz der CI/CD-Pipeline

Angreifer können Softwarelieferketten angreifen, indem sie die CI/CD manipulieren Pipelines. Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz des CI/CD-Pipeline:

• Cloud Build

  Cloud Build führt Ihre Builds in Google Cloud aus und Infrastruktur. Sie bietet Sicherheitsfunktionen wie detaillierte IAM-Berechtigungen, VPC Service Controls und isolierte und flüchtigen Build-Umgebungen. Darüber hinaus bietet sie folgende Funktionen: um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern:

  • Unterstützt SLSA Level 3-Builds für Container-Images
  • Sie generiert authentifizierte und nicht fälschbare Daten. Build-Herkunft für Containeranwendungen.
  • Sicherheitsinformationen für entwickelte Anwendungen. Dazu zählen:
    • Der SLSA-Build-Level, der den Reifegrad Ihrer Software angibt in Übereinstimmung mit der SLSA-Spezifikation
    • Sicherheitslücken in Build-Artefakten
    • Build-Herkunft, d. h. eine Sammlung überprüfbarer Metadaten zu einem erstellen. Es enthält Details wie die Digests der erstellten Images, Speicherorte der Eingabequellen, die Build-Toolchain, die Build-Schritte und die Build-Dauer.

  Eine Anleitung zum Aufrufen von Sicherheitsinformationen für erstellte Anwendungen finden Sie unter Anwendung erstellen und Sicherheitsinformationen ansehen

• Cloud Deploy

  Mit Cloud Deploy können Sie die in einer definierten Abfolge in einer Reihe von Zielumgebungen. Es unterstützt Continuous Delivery direkt in Google Kubernetes Engine, GKE Enterprise und Cloud Run mit Genehmigungen und Rollbacks mit nur einem Klick, Enterprise Sicherheit und Prüfung sowie integrierte Messwerte für die Lieferung. Außerdem Sicherheitsinformationen für bereitgestellte Anwendungen

Komponenten zum Schutz von Anwendungen in der Produktion

GKE und Cloud Run den Sicherheitsstatus Ihrer Laufzeitumgebungen. Beide verfügen über zum Schutz Ihrer Anwendungen während der Laufzeit.

• GKE

  GKE kann den Sicherheitsstatus von Containern bewerten und Informationen zu Clustereinstellungen, Arbeitslastkonfiguration und Sicherheitslücken. Es umfasst das Dashboard für den Sicherheitsstatus, mit dem Ihre GKE-Cluster und -Arbeitslasten, um Ihnen umsetzbare Empfehlungen zur Verbesserung Ihres Sicherheitsstatus. Anleitungen zum Ansehen von Sicherheitsinformationen im GKE-Sicherheitsstatus Dashboard finden Sie unter In GKE bereitstellen und Sicherheitsinformationen ansehen

• Cloud Run

  Cloud Run enthält einen Sicherheitsbereich, in dem Software Informationen zur Sicherheit der Lieferkette wie die Compliance-Informationen auf der SLSA-Build-Ebene, Build-Herkunft und Schwachstellen, die in ausgeführten Diensten gefunden wurden. Für Anleitung zum Ansehen von Sicherheitsinformationen in der Cloud Run-Sicherheit Bereich „Statistiken“ unter In Cloud Run bereitstellen und Sicherheitsinformationen ansehen

Vertrauenskette durch Richtlinien aufbauen

Mit der Binärautorisierung können Sie eine Vertrauenskette schaffen, Ihre Softwarelieferkette durch Einholen von Bescheinigungen, die digital sind Dokumente zur Zertifizierung von Bildern. Eine Attestierung besagt, dass die zugehörige Image wurde durch erfolgreiches Ausführen eines bestimmten, erforderlichen Prozesses erstellt. Basierend auf Mit der Binärautorisierung definieren, verifizieren und vertrauenswürdige Richtlinien durchzusetzen. Das Image wird nur bereitgestellt, wenn die Attestierungen der Richtlinie Ihrer Organisation entsprechen. Dieser Wert kann auch auf Sie werden benachrichtigt, wenn Richtlinienverstöße festgestellt werden. Attestierungen können beispielsweise geben an, dass ein Bild

• Von Cloud Build erstellt.
• Enthält keine Sicherheitslücken ab einem bestimmten Schweregrad. Wenn es bestimmte Sicherheitslücken gibt, können Sie sie auf eine Zulassungsliste setzen.

Sie können die Binärautorisierung mit GKE und Cloud Run

Preise

Die folgende Liste verweist auf die Preisinformationen für die Dienste im Software Delivery Shield-Lösung:

• Cloud Workstations
• Cloud Code: Kostenlos für alle Google Cloud-Kunden verfügbar zu laden.
• Assured OSS: Preisinformationen erhalten Sie vom Vertriebsteam Informationen.
• Artifact Registry
• Artefaktanalyse
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Binärautorisierung

Nächste Schritte

• Anwendungen erstellen und Sicherheitsinformationen ansehen
• In Cloud Run bereitstellen und Sicherheitsinformationen ansehen
• In GKE bereitstellen und Sicherheitsinformationen ansehen